01.03.22
EU-Kommission veröffentlicht Data Act – Datenteilungspflicht für Hersteller vernetzter Geräte kommt
EU-Kommission veröffentlicht Data Act – Datenteilungspflicht für Hersteller vernetzter Geräte kommt
Die EU-Kommission hat am 23. Februar 2022 ihren Vorschlag für einen EU „Data Act“ vorgelegt, der die europäische Datenwirtschaft entscheidend voranbringen soll. Der Data Act deckt eine ganze Reihe teils recht unterschiedlicher Regelungsbereiche ab, die alle darauf abzielen, den Austausch und die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und der öffentlichen Hand (B2G) zu verbessern. Anfang Februar war ein erster Entwurf des Data Act durchgesickert (näher zu den Vorversionen vgl. cepInput Nr. 3/2022).
Anmerkung: Ziel dieses cepAktuell ist es, Sie zeitnah über den Inhalt des EU-Datengesetzes [Vorschlag COM(2022) 68 vom 23. Februar 2022 für eine Verordnung über harmonisierte Vorschriften für einen fairen Zugang zu Daten und deren Nutzung (Datengesetz)] zu informieren. Erste Bewertungen sind vorläufig und erfolgen nur zu ausgewählten Punkten. Eine cepAnalyse im gewohnten Format folgt.
1 Überblick
► Nach dem Kommissionsvorschlag sollen Unternehmen vermehrt ihre Daten teilen. Hersteller von vernetzten Produkten wie Industriemaschinen, Autos, Smart-TVs, Sprachassistenten und Smart Watches sollen dazu verpflichtet werden, geschäftlichen und privaten Nutzern oder von diesen beauftragten Dritten die vom Produkt generierten Daten bereitzustellen (Kapitel II Data Act). Zugleich stellt der Data Act klar, dass die Hersteller diese Bereitstellung nicht unter Berufung auf ein Sui-Generis-Datenbankschutzrecht verweigern können (Kapitel X Data Act).
► Weiter legt der Data Act grundlegende einheitliche Bedingungen fest, unter denen Datenhalter einem geschäftlich handelnden Dritten Daten bereitstellen müssen, wenn sie gesetzlich dazu verpflichtet sind (Kapitel III Data Act).
► Ferner regelt er, wann Vertragsklauseln in Datenaustauschverträgen, die kleinen und mittleren Unternehmen einseitig auferlegt werden, missbräuchlich und daher nicht bindend sind (Kapitel IV Data Act).
► Zudem ermächtigt der Data Act auch öffentliche Stellen, private Unternehmensdaten für eigene Zwecke zu nutzen, wenn hierfür ein „außergewöhnlicher Bedarf“ besteht (Kapitel V Data Act).
► Daneben verpflichtet der Data Act Anbieter von Cloud-Computing- und anderen Datenverarbeitungsdiensten,
– geschäftlichen und privaten Nutzern den Wechsel zu anderen Anbietern zu ermöglichen (Kapitel VI Data Act) und
– vertrauliche nicht-personenbezogene Daten gegen unautorisierte Zugriffe aus Drittstaaten zu schützen (Kapitel VII Data Act).
► Schließlich will der Data Act die Interoperabilität von Datenräumen, Datenverarbeitungsdiensten und intelligenten Verträgen verbessern, deren Fehlen als ein wesentliches Hindernis für den Datenaustausch angesehen wird. Hierzu legt der Data Act u.a. wesentliche Anforderungen an die Interoperabilität sowie Konformitätsvermutungen fest und bereitet die Grundlage für die Erstellung harmonisierter Normen und gemeinsamer Spezifikationen (Kapitel VIII Data Act).
► Die Durchsetzung der Regelungen des Data Acts soll den Mitgliedstaaten überlassen bleiben (Kapitel IX Data Act).
2 Besondere Pflichten für Hersteller vernetzter Produkte (Datenaustausch B2C und B2B, Kapitel II Data Act)
2.1 Kontrolle über IoT-Daten
► Um die Datenwirtschaft anzukurbeln, will der Data Act Verbrauchern und Unternehmen, die vernetzte Produkte aus dem Bereich des sogenannten „Internets der Dinge“ (IoT) erwerben, mieten oder leasen und nutzen, Kontrolle über die Daten geben, die von den meist mit Sensoren ausgestatteten Produkten oder damit verbundenen Dienstleistungen erzeugt werden (IoT-Daten).
► Gemeint sind etwa Daten, die von vernetzten Autos, industriellen oder landwirtschaftlichen Maschinen oder intelligenten Haushaltsgeräten wie Smart-TVs oder damit verbundenen Dienstleistungen generiert oder durch mit dem Produkt interagierende intelligente Assistenten wie z.B. Amazons Alexa aufgezeichnet werden. Diese Daten sind derzeit häufig in den Händen großer Unternehmen konzentriert.
2.2 Datenzugang “by design and by default”
► Hersteller und Anbieter müssen in der EU angebotene Produkte, verbundene Dienstleistungen und virtuelle Assistenten so ausgestalten, dass die durch ihre Verwendung erzeugten IoT-Daten für den Nutzer standardmäßig leicht, sicher und – soweit angemessen – direkt zugänglich sind (Art 3 Abs. 1).
► Zudem müssen Kunden schon vor dem Erwerb des Produkts auf verständliche Weise u.a. darüber informiert werden, welche Daten das Produkt, der Dienst oder Assistent sammelt, wie der Nutzer auf die Daten zugreifen kann ob und zu welchem Zweck sie selbst oder von ihnen ermächtigte Dritte die generierten Daten ebenfalls zu nutzen beabsichtigen (Art. 3 Abs. 2).
2.3 Datenteilungspflicht – Bereitstellung von IoT-Daten an den Nutzer
► Sind die bei der Nutzung des Produkts erzeugten IoT-Daten nicht direkt zugänglich, verpflichtet der Data Act die Datenhalter, dem privaten oder geschäftlichen Nutzer die Daten auf Antrag schnell und kostenlos zur Verfügung zu stellen – und zwar kontinuierlich und in Echtzeit. Der Antrag soll – sofern technisch machbar – durch eine einfache Anfrage auf elektronischem Weg gestellt werden können (Art. 4 Abs. 1).
► Datenhalter sind Personen, die nach dem Data Act oder anderen Rechtsvorschriften der EU oder der Mitgliedstaaten zur Bereitstellung von Daten berechtigt oder verpflichtet, bzw. bei nicht-personenbezogenen Daten aufgrund ihrer Kontrolle der technischen Gestaltung eines Produkts oder verbundenen Dienstes dazu in der Lage sind (Art. 2 Abs. 6); dies sind i.d.R. die Hersteller des vernetzten Produkts.
► Geschäftsgeheimnisse muss der Datenhalter allerdings nur übermitteln, wenn alle erforderlichen Maßnahmen ergriffen werden, um deren Vertraulichkeit zu wahren. Ein Vertrag zwischen Datenhalter und Nutzer soll ggf. weitere Details regeln. Darin kann der Datenhalter mit dem Nutzer bestimmte Maßnahmen zur Wahrung der Vertraulichkeit vereinbaren (Art. 4 Abs. 3).
► Personenbezogene IoT-Daten darf der Datenhalter nur bereitstellen, wenn er dafür eine Rechtsgrundlage nach Art. 6 bzw. 9 der Datenschutzgrundverordnung hat (Art. 4 Abs. 5). Nicht-personenbezogene IoT-Daten darf er nur dann selbst nutzen, wenn er dies mit dem Nutzer vertraglich vereinbart hat (Art. 4 Abs. 6).
► Soweit der Nutzer ihn selbst betreffende personenbezogene IoT-Daten vom Datenhalter verlangt, ergänzen die Regelungen zur Datenteilungspflicht sein Recht auf Datenübertragbarkeit nach Art. 20 der Datenschutzgrundverordnung (Art. 1 Abs. 3).
► Ist der Nutzer ein Unternehmen und damit kein „Betroffener“ i.S.d. DSGVO, kann er durch den Erhalt der IoT-Daten selbst zum Datenhalter werden (Erwägungsgrund 30) und wäre dann seinerseits seinen Nutzern gegenüber zur Datenteilung verpflichtet.
► Der Nutzer darf die Daten nicht verwenden, um ein Konkurrenzprodukt zu entwickeln (Art. 4 Abs. 4).
2.4 Weitergabe der Daten an Dritte
► Der Datenhalter muss die IoT-Daten ggf. auch einem Dritten bereitstellen, wenn der Nutzer – oder der Dritte im Auftrag des Nutzers – dies verlangt (Art. 5 Abs. 1). Der Nutzer kann so beispielsweise eine freie Werkstatt mit der Reparatur seines Haushaltsgeräts beauftragen oder die IoT-Daten einer Forschungseinrichtung oder einer gemeinnützigen Organisation zur Verfügung stellen lassen.
► Der Dritte darf den Nutzer aber nicht in irgendeiner Weise – z.B. durch manipulative Online-Designtechniken (sogenannte „Dark Patterns“) – zwingen, täuschen oder manipulieren, um ihn z.B. dazu zu bewegen, die IoT-Daten gerade an ihn weiterzugeben (Art. 6 Abs. 2 lit. a).
► Der Datenhalter darf IoT-Daten dem Dritten nicht in einer schlechteren Qualität bereitstellen, als sie ihm selbst zur Verfügung stehen (Art. 5 Abs. 1).
► Zudem dürfen IoT-Daten weder direkt durch den Datenhalter noch indirekt über den Nutzer oder vom Dritten (Art. 5 Abs. 2, Art. 6 Abs. 2 lit. d) an sogenannte „Gatekeeper“ weitergegeben werden – das sind Anbieter zentraler Plattformdienste i.S. der Definition des derzeit noch im Trilogverfahren verhandelten Digital Markets Act (siehe dazu cepInput Nr. 12/2021, cepAnalyse Nr. 14/2021 und Nr. 15/2021). Dadurch soll verhindert werden, dass sich der Datenschatz dieser besonders marktmächtigen Anbieter weiter zu Lasten der kleineren Anbieter vergrößert. Gatekeeper dürfen die Nutzer weder auffordern, ihnen IoT-Daten bereitzustellen, noch sie z.B. durch Versprechen einer Vergütung beeinflussen, um sie dazu zu bewegen.
► Der Datenhalter muss gegenüber den Dritten ggf. auch Geschäftsgeheimnisse offenlegen, soweit dies unbedingt erforderlich ist, um den vom Nutzer mit dem Dritten vereinbarten Zweck zu erfüllen, und der Dritte alle mit dem Datenhalter vertraglich vereinbarten Schutzmaßnahmen ergreift. Hierzu muss der Datenhalter mit dem Dritten einen Vertrag schließen, in dem Maßnahmen zur Wahrung der Vertraulichkeit der Geschäftsgeheimnisse festgelegt werden (Art. 5 Abs. 8).
► Ein Dritter, der IoT-Daten auf Antrag eines Nutzers erhält, darf die Daten nur für die mit dem Nutzer vereinbarten Zwecke (z.B. zur Erbringung einer Reparaturdienstleistung) und unter den mit dem Nutzer vereinbarten Bedingungen nutzen (Art. 6 Abs. 1) und sie nicht (Art. 6 Abs. 2)
– an andere Dritte weitergeben, es sei denn, dies ist erforderlich, um die vom Nutzer angeforderte Dienstleistung zu erbringen;
– zum Zweck des Profilings – d.h. der Erstellung eines Profils natürlicher Personen – oder
– zur Entwicklung von Konkurrenzprodukten nutzen. Der Dritte darf die IoT-Daten aber zur Entwicklung von Dienstleistungen nutzen, bei denen er mit dem Datenhalter in Wettbewerb steht. Während der zuvor geleakte Entwurf des Data Act dem Dritten auch die Entwicklung konkurrierender Dienstleistungen untersagte, findet sich dieses Verbot im finalen Kommissionsvorschlag nicht mehr wieder.
► Der Datenhalter darf die Daten nicht dazu verwenden, um Erkenntnisse über die wirtschaftliche Lage, die Produktionsmethoden oder Nutzungsgewohnheiten des Nutzers (Art. 4 Abs. 6) oder des Dritten (Art. 5 Abs. 5) zu gewinnen, die die wirtschaftliche Position des Nutzers oder des Dritten beeinträchtigen könnten. Er darf daher weder Erkenntnisse über die Gesamtleistung des Unternehmens des Nutzers direkt oder indirekt zu dessen Nachteil verwenden – ihm etwa bei Vertragsverhandlungen entgegenhalten – noch seine Position missbrauchen, um sich einen Wettbewerbsvorteil auf Märkten zu verschaffen, auf denen er mit dem Dritten in Wettbewerb steht (Erwägungsgründe 25 und 29).
2.5 Ausnahme für kleine und Kleinstunternehmen
► Kleine und Kleinstunternehmen sind von den genannten Pflichten ausgenommen, es sei denn, sie haben größere Partnerunternehmen oder verbundene Unternehmen (Art. 7) bzw. wurden von einem größeren Unternehmen mit der Herstellung oder dem Design des Produkts beauftragt (Erwägungsgrund 37).
3 Grundlegende Regeln bei Datenteilungspflichten (Kapitel III)
► Darüber hinaus legt der Data Act grundlegende einheitliche Bedingungen fest, unter denen Datenhalter Zugang zu Daten gewähren müssen, wann immer sie nach dem Data Act oder künftigen sektorspezifischen Vorschriften gesetzlich dazu verpflichtet sind – d.h. nicht freiwillig Daten teilen. Allerdings gelten diese Regelungen nur für die Bereitstellung von Daten an einen geschäftlich handelnden Dritten, der per Definition nicht der Nutzer eines vernetzten Produkts oder verbundenen Dienstes ist („Datenempfänger“, Art. 2 Abs. 7). Sie gelten daher nicht für die Bereitstellung von IoT-Daten an den Nutzer selbst, sondern für die Bereitstellung an ein von diesem autorisiertes Unternehmen.
► Der Datenhalter muss zur Erfüllung der Datenteilungspflicht mit dem Datenempfänger einen Datennutzungsvertrag schließen. Dieser Vertrag muss u.a. folgende grundlegende Anforderungen erfüllen:
– Die Bereitstellung muss transparent und unter sogenannten FRAND-Bedingungen erfolgen, d.h. die Vertragsbedingungen müssen fair, angemessen und nichtdiskriminierend sein. Die Beweislast dafür, dass eine Vertragsklausel nichtdiskriminierend ist, trägt der Datenhalter (Art. 8 Abs. 1, 3).
– Unfaire Vertragsklauseln sind nicht bindend, wenn sie missbräuchlich sind (näher dazu Kapitel IV des Data Act, siehe unten) oder die Rechte des Nutzers nach dem Kapitel II (s.o.) beschränken (Art. 8 Abs. 2).
– Daten dürfen nicht einem Empfänger auf ausschließlicher Basis bereitgestellt werden (Art. 8 Abs. 4).
– Die vereinbarte Vergütung muss angemessen und nichtdiskriminierend sein und darf bei Bereitstellung der Daten an Kleinstunternehmen und kleine und mittlere Unternehmen („KMU“) nicht über die unmittelbaren Bereitstellungskosten hinausgehen (Art. 9 Abs. 1, 2, Art. 8 Abs. 3).
► Der Datenhalter darf technische Schutzmaßnahmen – z.B. intelligente Verträge – einsetzen, um die Daten gegen unbefugte Nutzung und Weitergabe zu schützen und sich abzusichern, dass die gesetzlichen und vertraglichen Bedingungen für die Bereitstellung der Daten eingehalten werden (Art. 11 Abs. 1).
► Intelligente Verträge (Smart Contracts) sind Computerprogramme, die in einem elektronischen Vorgangsregister (electronic Ledger) fälschungssicher gespeichert sind, auf der Grundlage vorher festgelegter Bedingungen Transaktionen ausführen und das Ergebnis der Ausführung in dem Register aufzeichnen (Art. 2 Abs. 16, S. 3).
► Ferner verpflichtet der Data Act die Mitgliedstaaten, ein Streitbeilegungsverfahren einzuführen und es beiden Vertragsparteien zu ermöglichen, Streitigkeiten über die Angemessenheit von Vertragsbedingungen vor von den Mitgliedstaaten zertifizierten Streitbeilegungsstellen zu lösen (Art. 10).
► Für den Fall, dass der Empfänger sich die Daten durch unrichtige Angaben oder technische Manipulationen erschleicht oder gegen Nutzungs- und Weitergabebeschränkungen verstößt, sieht der Data Act gravierende Konsequenzen vor: der Datenempfänger soll in diesen Fällen verpflichtet sein, die Daten einschließlich aller Kopien unverzüglich zu vernichten, die Herstellung, das Angebot oder die Nutzung von Waren, abgeleiteten Daten oder Diensten, die auf Basis des durch die Daten erlangten Wissens erzeugt wurden, zu unterlassen und alle rechtsverletzenden Waren zu vernichten, es sei denn, dies wäre unverhältnismäßig oder der Datenhalter hat durch den Verstoß keinen erheblichen Schaden erlitten (Art. 11 Abs. 2, 3).
4 Missbräuchliche Vertragsklauseln zwischen Unternehmen und KMU (Kapitel IV)
► Der Data Act soll es KMU mit traditionell schwächerer Verhandlungsposition erleichtern, mit marktstärkeren Unternehmen für beide Parteien faire Datennutzungsverträge abzuschließen. Um zu verhindern, dass Vertragspartner mit einer stärkeren Verhandlungsposition KMU, die vom Vertragspartner kontrollierte Daten nutzen wollen, unfaire Bedingungen für den Zugang zu Daten oder für deren Nutzung aufzwingen, regelt Kapitel IV des Data Act, wann solche einem KMU einseitig auferlegten Vertragsklauseln in Datenaustauschverträgen missbräuchlich sind.
► Vertragsklauseln sind für KMU nicht bindend, wenn sie (Art. 13 Abs. 1) nicht ausgehandelt wurden, sondern
– einem KMU einseitig auferlegt (also quasi vom „Verwender“ der Klausel aufgezwungen) wurden, ohne dass das KMU auf ihren Inhalt Einfluss nehmen konnte, und
– missbräuchlich sind.
► Eine Vertragsklausel ist missbräuchlich, wenn sie
– unter die „Blacklist“ – d.h. unter die im Data Act geregelte Liste von Regelbeispielen missbräuchlicher Vertragsklauseln – fällt (Art. 13 Abs. 3); dies ist z.B. der Fall, wenn die Klausel
- die Haftung des Verwenders für Vorsatz oder grobe Fahrlässigkeit einschränkt,
- die Haftung des Verwenders oder die Gewährleistungsrechte des KMU bei Verletzung von Vertragspflichten ausschließt, oder
- dem Verwender das alleinige Recht zur Bestimmung der Vertragsmäßigkeit bereitgestellter Daten oder zur Auslegung einer Klausel vorbehält;
– unter die „Greylist“, d.h. unter die im Data Act geregelte Liste von Regelbeispielen fällt, bei denen die Missbräuchlichkeit der Klausel widerlegbar vermutet wird, und der Verwender die Vermutung der Missbräuchlichkeit nicht widerlegt hat (Art. 13 Abs. 4); dies ist z.B. der Fall, wenn die Klausel
- die Haftung des Verwenders oder die Gewährleistungsrechte des KMU bei Verletzung von Vertragspflichten unangemessen einschränkt,
- dem Verwender Zugangs- oder Nutzungsmöglichkeiten in Bezug auf die Daten eröffnet, die die berechtigten Interessen des Vertragspartners erheblich beeinträchtigen,
- die Möglichkeit des Vertragspartners unangemessen einschränkt, Daten selbst zu nutzen, zu deren Generierung er beigetragen hat,
- dem Vertragspartner verbietet, eine Kopie der Daten zu erhalten, zu deren Generierung er beigetragen hat, oder
- dem Verwender eine unangemessen kurze Kündigungsfrist einräumt;
– nach der Generalklausel des Art. 13 Abs. 2 missbräuchlich ist, weil ihre Verwendung gegen Treu und Glauben und den fairen Handel verstößt und in grober Weise von der guten kaufmännischen Praxis beim Datenzugang und bei der Datennutzung abweicht.
► Ist eine Klausel unwirksam, gilt der Vertrag im Übrigen weiter, es sei denn, die missbräuchliche Klausel ist vom Rest des Vertrags nicht trennbar (Art. 13 Abs. 6).
► Um ausgewogene Verträge zu unterstützen, will die Kommission zusätzlich zu diesen Regeln nicht-bindende Mustervertragsklauseln für den Datenzugang und die Datennutzung entwickeln (Art. 34).
5 Zugang zu Daten für öffentliche Stellen (Datenaustausch B2G, Kapitel V):
5.1 Datenteilungspflicht für Unternehmen bei „außergewöhnlichem Bedarf“ des Staates
► Neben Nutzern und Unternehmen soll künftig auch der Staat Zugang zu den Daten privater Unternehmen erhalten, um wichtige politische Herausforderungen besser zu bewältigen. Öffentliche Stellen sollen u.a. in öffentlichen Krisensituationen wie einer Pandemie schnell und unentgeltlich Zugriff auf die nötigen Daten haben. Darüber hinaus sollen sie Unternehmensdaten aber auch in anderen Ausnahmesituationen zur Förderung faktengestützter und effizienter öffentlicher Maßnahmen und Dienstleistungen nutzen können.
► Öffentliche Stellen der Mitgliedstaaten sowie EU-Organe, Agenturen und Einrichtungen sollen von den Unternehmen Daten anfordern dürfen, wann immer sie einen „außergewöhnlichen Bedarf“ für die Nutzung solcher Daten haben. Alle Unternehmen – mit Ausnahme von kleinen und Kleinstunternehmen – sollen dann verpflichtet sein, der beantragenden Stelle die angeforderten Daten ohne unangemessene Verzögerung bereitzustellen und ihr deren Nutzung zu ermöglichen (Art. 14).
5.2 Wann besteht ein „außergewöhnlicher Bedarf“ des Staates?
► Ein „außergewöhnlicher Bedarf“ soll laut dem Kommissionsvorschlag bestehen, wenn (Art. 15)
– die Daten erforderlich sind, um auf einen „öffentlichen Notstand“ zu reagieren – d.h. auf eine außergewöhnliche Situation wie eine Pandemie, eine Umwelt- oder Naturkatastrophe oder einen Cybersicherheitsvorfall größeren Ausmaßes –, die sich negativ auf die Bevölkerung der EU, eines Mitgliedstaats oder eines Teils derselben auswirkt und schwerwiegende und dauerhafte Auswirkungen auf die Lebensbedingungen oder die wirtschaftliche Stabilität haben haben oder Vermögenswerte erheblich beeinträchtigen könnte (Reaktion auf einen öffentlichen Notstand);
– ein Anfordern der Daten zeitlich und vom Umfang her begrenzt und notwendig ist, um einen öffentlichen Notstand abzuwenden oder die Erholung von einem öffentlichen Notstand zu unterstützen, und eine „angemessene Nähe“ zu dem betreffenden Notstand besteht (Erwägungsgrund 58; Verhinderung eines öffentlichen Notstands oder wirtschaftliche Erholung), oder
– eine öffentliche Stelle aufgrund des Mangels an verfügbaren Daten ohne die Daten eine ausdrücklich ge-setzlich vorgesehene, im öffentlichen Interesse liegende Aufgabe nicht wirksam erfüllen könnte, sich die Daten aber nicht rechtzeitig anderweitig – z.B. über den Markt – beschaffen kann (Erwägungsgrund 58);
– die Behörde ohne die angeforderten Daten eine amtliche Statistik nicht rechtzeitig erstellen könnte, weil sie sich die nötigen Daten nicht rechtzeitig anderweitig beschaffen kann. Aber auch wenn sich die Behörde die Daten anderweitig beschaffen könnte, soll sie die Daten ad hoc anfordern dürfen, wenn der dadurch ausgelöste administrative Aufwand für das in Anspruch genommene Unternehmen im Vergleich zur alternativen Beschaffungsmöglichkeit „erheblich geringer“ ist (Erwägungsgrund 58).
► Wann ein öffentlicher Notfall vorliegt, soll von den Mitgliedstaaten oder internationalen Organisationen „nach dem jeweiligen Verfahren“ festgestellt werden (Erwägungsgrund 57).
► In allen Fällen, die nicht mit einem öffentlichen Notstand zusammenhängen, soll die Behörde darlegen müssen, dass keine alternativen Möglichkeiten zur Erlangung der angeforderten Daten bestehen und entsprechende Datenteilungspflichten gesetzlich nicht rechtzeitig geschaffen werden können (Erwägungsgrund 58).
► Daten, die zur Reaktion auf einen öffentlichen Notstand angefordert werden, müssen kostenlos bereitgestellt werden, in allen anderen Fällen dürfen die Datenhalter eine Entschädigung in Höhe der für die Beantwortung des Ersuchens angefallenen technischen und organisatorischen Kosten (einschließlich der Bereitstellungs-, Anpassungs- und Anonymisierungskosten) zuzüglich einer angemessenen Marge verlangen (Art. 20).
5.3 Welche Daten müssen bereitgestellt werden?
► Bereitgestellt werden müssen grundsätzlich die von der öffentlichen Stelle in ihrem Ersuchen näher bezeichneten Daten (Art. 18 Abs. 1, 17 Abs. 1).
► Dabei müssen Datenhalter auch Geschäftsgeheimnisse offenlegen, soweit dies für die Erreichung des Zwecks des Ersuchens „unbedingt notwendig“ ist (Art. 19 Abs. 2).
► Welche Daten vom Staat konkret nachgefragt werden könnten, präzisiert der Data Act nicht. Ausweislich u.a. der von der Kommission zuvor durchgeführten öffentlichen Konsultation könnten aber u.a. Mobilitätsdaten von Telekommunikationsbetreibern, Schadensdaten von Versicherungsunternehmen, Preisdaten von Supermärkten, Emissionsdaten von Produktionsbetrieben, Kraftstoffverbrauchsdaten von Verkehrsbetrieben und Beschäftigungsdaten von Unternehmen in Betracht kommen.
5.4 Wie darf der Staat die Daten nutzen?
► Der Staat darf die Daten nur in einer Weise verwenden, die mit dem Zweck vereinbar ist, zu dem die Daten angefordert wurden – also z.B. um einen öffentlichen Notstand zu bewältigen (Art. 19 Abs. 1 lit. a).
► Sobald die Daten nicht mehr benötigt werden, müssen sie gelöscht und der Datenhalter darüber informiert werden (Art. 19 Abs. 1 lit. c).
► Die im geleakten Entwurf enthaltene Pflicht, die Daten nicht in einer Weise zu verwenden, die dem Datenhalter schaden könnte, findet sich im finalen Kommissionsvorschlag nicht wieder.
► Der Data Act schließt es ausdrücklich aus, dass öffentliche Stellen für Zwecke der Strafverfolgung oder -vollstreckung oder zur Zoll- und Steuerverwaltung Daten anfordern und nutzen dürfen (Art. 16 Abs. 2).
5.5 Wie werden sensible Daten geschützt?
► Um personenbezogene Daten zu schützen, sollen öffentliche Stellen möglichst nur nicht-personenbezogene Daten anfordern (Art. 17 Abs. 2 lit. d). Benötigen sie dennoch personenbezogene Daten, sollen die Datenhalter angemessene Anstrengungen unternehmen, um die Daten vor der Bereitstellung zu anonymisieren oder zumindest zu pseudonymisieren, es sei denn die öffentliche Stelle ist im Einzelfall auf die Klardaten angewiesen (Art. 18 Abs. 5, Erwägungsgrund 64).
► Zudem muss die öffentliche Stelle technische und organisatorische Schutzmaßnahmen ergreifen, um personenbezogene Daten zu schützen (Art. 19 Abs. 1 lit. b). Auch wenn Geschäftsgeheimnisse offengelegt werden müssen, muss die öffentliche Stelle geeignete Maßnahmen ergreifen, um deren Vertraulichkeit zu wahren (Art. 19 Abs. 2).
5.6 Darf der Staat die Daten weitergeben?
► Öffentliche Stellen dürfen die angeforderten Daten nicht als offene Daten zur Weiterverwendung zur Verfü-gung stellen; die PSI-Richtlinie (EU) Nr. 2019/1024 (EU) über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors findet auf die angeforderten Daten keine Anwendung (Art. 17 Abs. 3).
► Öffentliche Stellen dürfen die Daten aber
– zur Erfüllung ihrer Aufgaben, für die die Daten angefordert wurden, mit anderen öffentlichen Stellen austauschen (Art. 17 Abs. 4),
– Dritten zur Verfügung stellen, an die sie technische Kontrollen oder andere Aufgaben im Rahmen einer öffentlich zugänglichen Vereinbarung ausgelagert haben (Art. 17 Abs. 4),
– zu an nationale statistische Ämter und an Eurostat zur Erstellung amtlicher Statistiken weitergeben; auf Basis angeforderter Daten erstellte Statistiken – nicht aber die bereitgestellten Daten als solche – dürfen aber ggf. als „offene Daten“ frei nutzbar gemacht werden (Art. 21 Abs. 1),
– zur Durchführung wissenschaftlicher Forschung an Einzelpersonen oder Organisationen weitergeben, die ohne Erwerbszweck oder in einem nach EU- oder nationalem Recht anerkannten Auftrag im öffentlichen Interesse handeln (Art. 21 Abs. 1, 2),
– zum Zweck einer Datenanalyse an Einzelpersonen oder Organisationen weitergeben, wenn sie diese Analyse nicht selbst durchführen können – weil sie möglicherweise nicht die Kompetenz zur Auswertung bereitgestellter Rohdaten haben. Die Analyse muss mit dem Zweck vereinbar sein, für den die Daten angefordert wurden (Art. 21 Abs. 1).
– Daten dürfen nur an Einzelpersonen oder Organisationen zu Forschungs- oder Analysezwecken weitergegeben werden (Art. 21 Abs. 2),
- die ohne Erwerbszweck oder in einem nach EU- oder nationalem Recht anerkannten Auftrag im öffentlichen Interesse handeln,
- auf welche kommerzielle Unternehmen keinen entscheidenden Einfluss haben und
- die keinen bevorzugten Zugang zu den Forschungsergebnissen gewähren könnten.
► Für Dritte, die die Daten erhalten, gelten die gleichen Nutzungs- und Weitergabebeschränkungen (Zweckbindung, keine offenen Daten) und die gleichen Pflichten (Information, Schutzmaßnahmen, Löschpflicht) wie für die datengebende öffentliche Stelle. Auch diese Empfänger müssen daher u.a. entsprechende Maßnahmen zum Schutz der Daten ergreifen und die Daten nach Zweckerfüllung unverzüglich löschen (Art. 17 Abs. 4, Art. 21 Abs. 3). Für statistische Ämter scheint eine entsprechende Vorgabe allerdings (noch) zu fehlen.
5.7 Dürfen Unternehmen die Bereitstellung der Daten ablehnen?
► Das Ersuchen der staatlichen Stelle muss bestimmte näher geregelte Anforderungen erfüllen, ansonsten dürfen Unternehmen die Bereitstellung der Daten ablehnen oder Änderungen beantragen – allerdings nur binnen 5 Tagen bei der Anforderung zur Reaktion auf einen öffentlichen Notstand oder binnen 15 Tagen bei sonstigen Anforderungen (Art. 18 Abs. 2, Art. 17 Abs. 1, 2). Ein berechtigter Ablehnungsgrund kann u.a. vorliegen,
– wenn die öffentliche Stelle den Zweck des Ersuchens, den außergewöhnlichen Bedarf, für den sie die Daten anfordert und/oder die beabsichtigte Nutzung der Daten nicht darlegt,
– wenn die Daten „nicht verfügbar“ sind, z.B. das Unternehmen die Daten nicht besitzt,
– wenn die Bereitstellung der Daten mit Blick auf den geltend gemachten Bedarf unverhältnismäßig ist, oder
– wenn die Daten zur Reaktion auf einen öffentlichen Notstand angefordert werden und das Unternehmen die angeforderten Daten bereits einer anderen Behörde zur Verfügung gestellt hat – in diesem Fall müssen die Behörden die Daten untereinander austauschen (Art. 18 Abs. 3).
► Bei Streitigkeiten über die Rechtmäßigkeit eines Ersuchens oder dessen Verweigerung durch das Unternehmen können die Beteiligten die Aufsichtsbehörde anrufen, die die Angelegenheit prüfen und über die jeweilige Beschwerde entscheiden muss (Art. 18 Abs. 6, Art. 31).
5.8 Vorläufige Bewertung
► Die Voraussetzungen, unter denen öffentliche Stellen von Unternehmen Daten anfordern dürfen, sind zu offen und zu unbestimmt und bergen die Gefahr von Rechtsunsicherheit und Rechtszersplitterung. Die Regelungen könnten unverhältnismäßig sein, weil sie eine übermäßige Inanspruchnahme, der Unternehmen sowie einen Missbrauch oder eine Verletzung sensibler Daten (noch) nicht hinreichend ausschließen. Der Data Act versäumt es, den freiwilligen Datenaustausch im B2G-Bereich zu fördern und dafür entsprechende Anreize zu schaffen.
6 Erleichterung des Wechsels von Datenverarbeitungsdiensten (Cloud-Portabilität, Kapitel VI)
► Ferner will die Kommission Verbrauchern und geschäftlichen Nutzern von Datenverarbeitungsdiensten (gemeint sind insbesondere Cloud-Computing- und Edge-Computing-Dienste, nachfolgend: „Cloud- und Edge-Dienste“, nicht aber Online-Inhaltedienste wie Netflix und Spotify, Art. 2 Abs. 12) den Wechsel zu anderen (konkurrierenden) Anbietern erleichtern, die einen Dienst der gleichen Art anbieten. Sie geht davon aus, dass die bestehenden freiwilligen SWIPO-Verhaltenskodizes der Branche mit ihren unverbindlichen Grundsätzen zur Erleichterung des Wechsels zwischen Cloud-Anbietern die Marktdynamik nicht wesentlich angekurbelt hätten und daher nicht ausreichen (Erwägungsgrund 70).
► Der Data Act verpflichtet Anbieter von Cloud- und Edge-Diensten daher (Art. 23 Abs. 1),
– Maßnahmen zu ergreifen, um sicherzustellen, dass Nutzer zu einem konkurrierenden Anbieter wechseln können, und insbesondere
– wirtschaftliche, technische, vertragliche und organisatorische Hindernisse zu beseitigen, die den Kunden derzeit den Wechsel bzw. die dafür relevanten Schritte erschweren, nämlich bestehende Verträge zu kündigen, neue Verträge mit anderen Anbietern abzuschließen, digitale Güter zu portieren und die Funktionalität ihrer Dienste aufrechtzuerhalten,
► Anbieter müssen es ihren Kunden künftig u.a. ermöglichen,
– bestehende Verträge mit einer Frist von maximal 30 Kalendertagen zu kündigen,
– einen neuen Vertrag mit einem anderen Anbieter von Datenverarbeitungsdiensten abzuschließen,
– alle digitalen Güter – einschließlich Daten und Anwendungen – zu dem neuen Anbieter zu übertragen (portieren) und
– die funktionale Gleichwertigkeit ihrer Dienste in der IT-Umgebung des neuen Anbieters aufrechtzuerhalten.
6.1 Verbindliches vertragliches Portabilitätsrecht
► Anbieter von Cloud- und Edge-Diensten müssen künftig mit ihren geschäftlichen und privaten Nutzern einen schriftlichen Vertrag schließen (Art. 24 Abs. 1). Dieser muss u.a.
– eine vollständige Spezifikation der exportierbaren Daten und Anwendungskategorien enthalten;
– ein vertragliches Portabilitätsrecht für die Nutzer vorsehen, d.h. Klauseln enthalten, die dem Kunden auf Antrag den Wechsel zu einem anderen Anbieter oder die Übertragung aller vom Kunden generierten Daten, Anwendungen und digitalen Werte auf ein eigenes Vor-Ort-System ermöglichen. Dabei sollen nach Möglichkeit Standardvertragsklauseln verwendet werden, die von nach EU-Recht etablierten Stellen oder Expertengruppen erarbeitet wurden. Insoweit verweist der Data Act auf das bislang unveröffentlichte EU-„Regelwerk“ für Cloud-Dienste, das die Kommission erst noch vorlegen wird. Während der Portierung muss die Kontinuität der Funktionen und Dienste vollständig gewährleistet werden (Erwägungsgrund 75).
► Verlangt der Nutzer die Portierung, muss diese grundsätzlich zwingend innerhalb einer Übergangsfrist von 30 Kalendertagen durchgeführt werden. Ist dies technisch nicht möglich, muss der Anbieter dies dem Kunden mitteilen und detailliert begründen und eine alternative Frist von maximal 6 Monaten vorschlagen (Art. 24).
6.2 Gewährleistung „funktionaler Gleichwertigkeit“
► Anbieter von Cloud- und Edge- Diensten müssen ferner sicherstellen, dass Kunden nach ihrem Wechsel zu einem anderen Anbieter sogenannte „funktionale Gleichwertigkeit“ genießen, d.h. ihnen ein Mindestmaß an Funktionalität des bisherigen Dienstes auch beim neuen Anbieter erhalten bleibt.
► Die Pflicht der Anbieter zur Gewährleistung funktionaler Gleichwertigkeit soll allerdings nicht so weit gehen, dass Anbieter innerhalb oder auf der Grundlage der IT-Infrastruktur konkurrierender Anbieter neue Kategorien von Diensten entwickeln müssten, um die funktionale Gleichwertigkeit in einer Umgebung außerhalb ihrer eigenen Systeme gewährleisten zu können. Sie müssen aber alle Hilfe und Unterstützung leisten, die für einen effektiven Wechsel erforderlich ist (Erwägungsgrund 74).
► Die Gewährleistung „funktionaler Gleichwertigkeit“ soll als technisch machbar angesehen werden, wenn der neue Datenverarbeitungsdienst teilweise oder vollständig denselben Diensttyp abdeckt (Erwägungsgrund 72). Gibt es dennoch Probleme hinsichtlich der technischen Machbarkeit, soll der Diensteanbieter hierfür die Beweislast tragen (S. 14). Der Umfang der Verpflichtung unterscheidet sich je nach dem Modell des Dienstes:
– Anbieter von IAAS-Diensten [einfache Datenspeicherung und -verarbeitung, d.h. Infrastructure-as-a-Service (IaaS)] müssen sicherstellen, dass Kunden nach ihrem Wechsel sogenannte „funktionale Gleichwertigkeit“ beim neuen Anbieter genießen (Art. 26 Abs. 1).
– Für alle übrigen Diensten (Verarbeitung von Daten auf Plattformen [Platform-as-a-Service, PAAS] oder in Anwendungen [Software-as-a-Service, SAAS] müssen die Anbieter
- offene Schnittstellen kostenlos öffentlich verfügbar machen (Art. 26 Abs. 2), und
- die Kompatibilität mit offenen Spezifikationen oder europäischen Normen gewährleisten, die nach den Interoperabilitätsregeln des Data Act festgelegt oder ausgearbeitet und in einen zentralen öffentlichen Normenspeicher aufgenommen werden (Art. 26 Abs. 3, siehe unten Kapitel VIII). Solange noch keine offenen Spezifikationen oder europäische Normen existieren, kann der Kunde die Herausgabe aller (gemeinsam) erzeugten Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format verlangen (Art. 26 Abs. 4).
6.3 Schrittweise Abschaffung der Gebühren für den Wechsel:
► Während Anbieter derzeit für den Wechsel noch Gebühren in Rechnung stellen dürfen, soll der Wechsel nach Ablauf von drei Jahren nach Inkrafttreten des Data Act kostenfrei verlangt werden dürfen. Bis dahin soll die zulässige Gebühr schrittweise beschränkt werden (Art. 25).
7 Internationale Datenübertragungen (Kapitel VII)
► Ferner legt der Data Act Anbietern von Datenverarbeitungsdiensten wie Cloud- und Edge-Diensten zusätzliche Pflichten auf, um vertrauliche Geschäftsdaten wie Geschäftsgeheimnisse, geistiges Eigentum und durch Vertraulichkeitsvereinbarungen (Non-disclosure Agreements, NDA) geschützte Daten besser gegen staatliche Zugriffe aus Drittstaaten zu schützen. So müssen diese Anbieter
– alle angemessenen rechtlichen, technischen und organisatorischen Maßnahmen ergreifen, um zu verhindern, dass in der EU gehostete nicht-personenbezogener Daten in Drittländer übermittelt werden oder Drittstaatsbehörden auf diese Daten zugreifen, wenn dies zu einem Konflikt mit EU-Recht oder mitgliedstaatlichem Recht (und insbesondere mit der Richtlinie über Geschäftsgeheimnisse und den Rechtsvorschriften über geistiges Eigentum) führen würde (Art. 27 Abs. 1);
– den Datenhalter informieren, wenn sie ein behördliches Zugangsersuchen aus Drittstaaten in Bezug auf die Daten erhalten, bevor sie diesem nachkommen, es sei denn, durch diese Information würden Strafverfolgungsmaßnahmen des Drittlands vereitelt. Dabei soll der Anbieter klären, ob von der Anfrage wirtschaftlich sensible Daten betroffen sind, deren rechtlicher Schutz mit dem ausländischen Zugangsersuchen kollidiert (Art. 27 Abs. 5, Erwägungsgrund 77).
► Ordnet ein Gericht oder eine sonstige Behörde eines Drittlands an, dass der Anbieter dieser Behörde Daten übermitteln oder ihr Zugriff auf die Daten gewähren soll, darf der Anbieter dieser Anordnung grundsätzlich nur nachkommen, wenn sie von einer internationalen Übereinkunft – z.B. einem Rechtshilfeabkommen – gedeckt ist (Art 27 Abs. 2). Fehlt es an einem solchen Abkommen, sollen Offenlegungsanordnungen nur befolgt werden dürfen, wenn (Art. 27 Abs. 3)
– das Drittlandsrecht vorschreibt, dass die Entscheidung begründet, verhältnismäßig und spezifisch sein muss – d.h. eine ausreichende Verbindung zu einem bestimmten Verdächtigen oder Verstoß aufweist, also keine Sammlung von Massendaten erlaubt,
– der Adressat die Entscheidung im Drittland gerichtlich anfechten kann und
– das dortige Gericht befugt ist, die in der EU geschützten rechtlichen Interessen des Datenhalters gebührend zu berücksichtigen.
► Der Anbieter, der das Ersuchen erhält, kann die Aufsichtsbehörde um Stellungnahme bitten, ob die Voraussetzungen erfüllt sind und er dem Ersuchen nachkommen darf. Dies gilt insbesondere, wenn sensible Geschäftsdaten oder die nationale Sicherheit oder Verteidigung beeinträchtigt werden könnten (Art. 27 Abs. 3). Auch wenn die Offenlegung zulässig ist, dürfen nur so viele Daten wie nötig übermittelt werden (Stichwort: Datenminimierung, Art. 27 Abs. 4).
► Vorläufige Bewertung:
– Der Data Act will das Spannungsfeld auflösen, das auch bei der internationalen Übermittlung nicht-personenbezogener Daten bestehen kann: Cloud-Anbieter müssen Geschäftsgeheimnisse und das geistige Eigentum ihrer Geschäftskunden in der EU (Art. 17 Abs. 2 GRCh) schützen, unterliegen aber ggf. nach dem Drittlandsrecht dem widersprechenden Offenlegungspflichten. Zugleich müssen die nach WTO-Recht und bilateralen Handelsabkommen bestehenden Pflichten gewahrt werden.
– Eine Pflicht für Cloud-Anbieter, angemessene technische Maßnahmen zum Schutz vertraulicher nicht-personenbezogener Daten zu ergreifen – etwa Daten oder Unternehmensrichtlinien zu verschlüsseln – kann grundsätzlich das Vertrauen in die Nutzung von Cloud-Diensten und die Bereitstellung von Daten fördern. Aus der parallelen Diskussion bei personenbezogenen Daten (Stichwort: Schrems II) ist jedoch u.a. bekannt, dass eine Verschlüsselung der Daten nicht in allen Fällen ausreicht, um behördliche Zugriffe effektiv zu verhindern. Denn wenn der Cloud-Provider Zugriff auf die Klardaten im unverschlüsselten Zustand hat bzw. benötigt, um sie zu verarbeiten, könnte er nach dem Recht des Drittlands ggf. auch verpflichtet sein, einen in seinem Besitz befindlichen Schlüssel herauszugeben (näher zur Problematik vgl. cepStudie „Unzulässigkeit der Datenübermittlung in die USA“).
– Es sollte klargestellt werden, ob es bei den Regelungen im Data Act tatsächlich nur um die Verhinderung von Zugriffen auf in der EU gespeicherte nicht-personenbezogene Daten durch Drittstaaten (Stichwort: US Cloud-Act) geht oder ob die Formulierung „take all reasonable (…) measures (…) in order to prevent international transfer or governmental access to non-personal data held in the Union“ so zu verstehen ist, dass auch nicht-personenbezogene Daten grundsätzlich nicht in Drittländer übermittelt werden dürfen, deren Recht Geschäftsgeheimnissen und geistigem Eigentum aus der EU kein hinreichendes Schutzniveau bietet und in denen ebenfalls ein Risiko behördlicher Zugriffe besteht – das wohl sogar noch größer ist als bei Speicherung der Daten in der EU. In jedem Fall sollte verhindert werden, dass es durch die Regelungen des Data Act bei nicht-personenbezogenen Daten zu spiegelbildlichen Problemen wie beim Transfer personenbezogenen Daten und damit zu vergleichbarer Rechtsunsicherheit kommt. Die Kommission sollte deshalb auch insoweit eine internationale Lösung anstreben.
8 Verbesserung der Interoperabilität (Kapitel VIII)
► Um weitere Hindernisse für die Weiterverwendung von Daten zu beseitigen, will der Data Act schließlich auch die Interoperabilität von Datenverarbeitungsdiensten sowie von intelligenten Verträgen als Hilfsmittel für den Datenaustausch verbessern.
► Ferner legt der Data Act den Grundstein für das Funktionieren interoperabler gemeinsamer Europäischer Datenräume, die die EU in verschiedenen strategischen Sektoren und Gesellschaftsbereichen von öffentlichem Interesse schaffen will. Diese Datenräume sollen eine intensivere gemeinsame Nutzung, Ver-
wendung und Weiterverwendung von Daten innerhalb bestimmter Sektoren ermöglichen. Interoperabilität ist nötig, damit innerhalb und zwischen diesen Datenräumen Daten ausgetauscht werden können. Laut ihrer Datenstrategie plant die EU die Schaffung solcher Datenräume zunächst in den Sektoren bzw. Bereichen Industrie (Fertigung), Green Deal, Mobilität, Gesundheit, Finanzen, Energie, Agrarwirtschaft, öffentliche Verwaltung und Kompetenzen.
8.1 Interoperabilität von Datenräumen
► Kapitel VIII des Data Act legt daher wesentliche Anforderungen an die Interoperabilität von Datenräumen fest (Art. 28 Abs. 1). Diese sollen u.a. sicherstellen, dass Datensätze auffindbar, zugänglich und nutzbar sind und dass die Datenräume die Interoperabilität von intelligenten Verträgen ermöglichen. Die Kommission soll die Anforderungen durch delegierte Rechtsakte ergänzen und präzisieren dürfen (Art. 28 Abs. 2).
► Zudem soll sie die europäischen Normungsinstitute mit der Ausarbeitung von Normen beauftragen dürfen, die den grundlegenden Anforderungen entsprechen (Art 28 Abs. 4).
► Für Betreiber von Datenräumen, die die harmonisierten Normen einhalten, sieht der Data Act eine Konformitätsvermutung mit den wesentlichen Anforderungen vor (Art. 28 Abs. 3).
► Soweit keine harmonisierten Normen existieren oder aus Sicht der Kommission nicht ausreichen, darf die Kommission im Wege von Durchführungsrechtsakten gemeinsame Spezifikationen für Datenräume festlegen (Art. 28 Abs. 5).
► Zudem kann sie Leitlinien zur Festlegung von Interoperabilitätsspezifikationen für das Funktionieren der Datenräume erlassen (Art. 28 Abs. 6).
8.2 Interoperabilität von Datenverarbeitungsdiensten
► Ebenso legt der Data Act Anforderungen an offene Spezifikationen und europäische Normen für die Inter-operabilität von Datenverarbeitungsdiensten fest – etwa, dass diese, soweit technisch möglich, die funktio-nale Äquivalenz zwischen verschiedenen Diensten desselben Typs gewährleisten müssen (Art. 29 Abs. 1).
► Auch hier wird die Kommission ermächtigt, die europäischen Normungsinstitute mit der Ausarbeitung von Normen für bestimmte Arten von Datenverarbeitungsdiensten zu beauftragen (Art. 29 Abs. 4).
► Zudem soll die Kommission berechtigt sein, in delegierten Rechtsakten die Verwendung offener Spezifikationen oder europäischer Normen für bestimmte Arten von Datenverarbeitungsdiensten vorzu-schreiben, die die genannten Anforderungen erfüllen und in einen zentralen EU-Normspeicher aufgenommen wurden, auf den die Kommission dann verweist (Art. 29 Abs 5). PAAS- und SAAS-Anbieter müssen Kompatibilität mit diesen Normen oder Spezifikationen gewährleisten (siehe dazu oben Ziffer 7.2).
8.3 Interoperabilität von intelligenten Verträgen
► Schließlich legt der Data Act grundlegende Anforderungen an „intelligente Verträge“ (Definition s.o. Ziffer 3) fest, damit diese als Hilfsmittel für den Datenaustausch eingesetzt werden können (Art. 30 Abs. 1).
► Intelligente Verträge können ggf. sicherstellen, dass Nutzungsbeschränkungen und sonstige Vertragsbedingungen für die gemeinsame Nutzung von Daten eingehalten, Einwilligungen aufgezeichnet, Entschädigungen automatisch gezahlt und Verstöße gegen Nutzungsbedingungen automatisch sanktioniert werden. Deshalb kann der Datenhalter intelligente Verträge z.B. als Schutzmaßnahme anwenden, um einen unbefugten Zugriff auf die Daten zu verhindern (Art. 11 Abs. 1).
► Anbieter von Anwendungen, die intelligente Verträge nutzen, oder Personen, die intelligente Verträge bei Datenaustauschverträgen geschäftlich für andere einsetzen, müssen insbesondere sicherstellen, dass diese Verträge (Art. 30 Abs. 1)
– robust und manipulationssicher sind,
– sicher beendet und unterbrochen werden können, so dass die weitere Ausführung von Transaktionen gestoppt werden kann,
– eine Möglichkeit zur Archivierung ausgeführter Operationen vorsehen und überprüfbar sind und
– durch strenge Zugangskontrollmechanismen geschützt sind.
► Die Anbieter müssen diesbezüglich eine Konformitätsbewertung durchführen und bei Erfüllung der grund-legenden Anforderungen eine EU-Konformitätserklärung für ihre „Verträge“ ausstellen (Art. 30 Abs. 2).
► Die Kommission darf die europäischen Normungsorganisationen beauftragen, harmonisierte Normen für intelligente Verträge auszuarbeiten, die den grundlegenden Anforderungen entsprechen. (Art. 30 Abs. 5). Erfüllt ein intelligenter Vertrag diese harmonisierten Normen, wird seine Konformität mit den im Data Act geregelten Anforderungen vermutet (Art. 30 Abs. 4).
► Gibt es keine harmonisierten Normen oder reichen diese aus Sicht der Kommission nicht aus, kann sie im Wege von Durchführungsrechtsakten gemeinsame Spezifikationen für die im Data Act geregelten grundlegenden Anforderungen festlegen, um die Interoperabilität weiter zu verbessern (Art. 30 Abs. 6).
8.4 Vorläufige Bewertung
► Da die mangelnde Interoperabilität ein wesentlicher Hindernisfaktor für die gemeinsame Datennutzung ist, ist es sachgerecht, dass die Kommission die Interoperabilität fördern will. Dabei sollte sie sicherstellen, dass der Grundsatz der Technologieneutralität weitestmöglich gewahrt wird und Innovationsanreize beibehalten werden. Denn die fehlende Interoperabilität kann auch die direkte Folge der Entwicklung eines innovativen Dienstes sein. Zudem müssen Normen und Spezifikationen marktrelevant sein, d.h. in enger Abstimmung mit relevanten Wirtschaftsakteuren entwickelt werden.
9 Durchsetzung des Data Act (Kapitel IX)
► Die rechtliche Durchsetzung des Data Act soll allein durch die Mitgliedstaaten erfolgen, die hierfür Aufsichts-behörden benennen oder einrichten und mit den nötigen Kompetenzen ausstatten müssen (Art. 31 Abs. 1, 7).
► Der Data Act könnte in den einzelnen Mitgliedstaaten zur (teilweisen) Zuständigkeit einer Vielzahl unterschiedlicher Aufsichtsbehörden führen (Art. 31 Abs. 2).
► Soweit personenbezogene Daten betroffen sind, sollen die Datenschutzaufsichtsbehörden nach der Datenschutzgrundverordnung für die Überwachung zuständig sein – etwa dann, wenn natürliche Personen Zugang zu Daten verlangen, die ihre vernetzten Geräte erzeugen.
► Für sektorspezifische Datenaustauschfragen sollen die Mitgliedstaaten die jeweils für den Sektor zuständige Aufsichtsbehörde benennen dürfen.
► Für alle übrigen Datenaustauschfragen können die Mitgliedstaaten weitere Behörden für zuständig erklären.
► Die jeweils zuständigen Behörden sollen unter anderem Beschwerden von natürlichen und juristischen Personen wegen behaupteter Verstöße gegen den Data Act entgegennehmen und bearbeiten, Untersuchungen durchführen und im Verletzungsfall abschreckende finanzielle Sanktionen verhängen, deren Höhe die Mitgliedstaaten festlegen (Art. 31 Abs. 3, Art. 32). Bei Beschwerden müssen sie den Beschwerdeführer innerhalb einer angemessenen Frist über das Ergebnis der Untersuchung informieren. Darüber hinaus wird das Beschwerdeverfahren nicht harmonisiert.
► Die Behörden müssen zusammenarbeiten; ein Kohärenzverfahren wie bei der Datenschutzgrundverordnung ist jedoch nur vorgesehen, soweit die Datenschutzaufsichtsbehörden zuständig sind (Art. 31 Abs. 4, 2).
► Vorläufige Bewertung: Weil die Durchsetzung des Data Act weitgehend den Mitgliedstaaten überlassen bleibt, ist eine unterschiedliche Durchsetzung in den Mitgliedstaaten vorprogrammiert. In dem vorgesehenen Durchsetzungsmodell könnte daher eine offene Flanke des Data Act liegen. Zwar sollen die Mitgliedstaaten sicherstellen, dass die beteiligten Behörden strukturiert kooperieren, um Dopplungen zu vermeiden, und auch eine koordinierende Behörde benennen. Es ist jedoch abzusehen, dass dies für eine effektive und EU-weit einheitliche Durchsetzung der Vorschriften des Data Act nicht ausreichen wird. Zudem könnte es zu Kapazitätsproblemen kommen, etwa weil angesichts zahlreicher Unklarheiten eine erhebliche Flut von Beschwerden gegen behördliche Datenzugangsersuchen auf die Behörden zukommen könnte.
Dr. Anja Hoffmann, cep-Expertin für Binnenmarkt und digitale Wirtschaft
|