Der Data Act und der Data Governance Act sind die Eckpfeiler neuer Daten-Ökosysteme, um jenseits der dominanten Plattformbetreiber neue Daten-Ökosysteme entstehen zu lassen. Sie stehen im Rahmen der europäischen Digital- und Datenstrategie neben dem Digital Markets Act (wettbewerbliche Regulierung der sog. Gatekeeper), dem Digital Services Act (Content-Regulierung der Plattformbetreiber), der KI-Verordnung und der EU-Richtlinie zur KI-Haftung. Unternehmen und Institutionen stehen damit tiefgreifende Veränderungen im Umgang mit Daten bevor, die weit über das Datenschutzrecht hinausgehen.
Der Data Act als neue Horizontal-Regulierung
Der Data Act wird voraussichtlich Mitte 2025 in Kraft treten (20 Monate nach Veröffentlichung im Amtsblatt). Er verbindet zwei fundamentale Ziele:
(a) Stärkung der Datensouveränität für gewerbliche und private Nutzer konnektierter Geräte (IoT-Produkte) durch Transparenzpflichten der Datenhalter und Datenzugangsrechte;
(b) Eröffnung eines Datenkreislaufs durch Datenweitergaberechte, an dem auch kleine und mittlere Unternehmen (KMU) teilhaben und der die Innovation und Wertschöpfung aus Daten erhöht.
Die EU strebt damit eine in europäischen Werten verankerte Alternative zur plattform-basierten Datenwirtschaft an, die bislang von wenigen – überwiegend nicht-europäischen – „Hyper-Scalern“ dominiert ist. Das „Recht auf Datenübertragbarkeit“ der Datenschutz-Grundverordnung (DSGVO) dient als Leitbild, selbst wenn es dort eine bislang untergeordnete Rolle spielt.
Der Data Act wirkt extraterritorial für Hersteller von IoT-Produkten und Datenhalter mit Sitz auch außerhalb der EU, wenn die Nutzung der Produkte und zugehöriger Dienste innerhalb der EU erfolgt. Er gilt branchenübergreifend und legt erklärtermaßen die Grundlage für weitere sektorspezifische Regulierung. Mit der FIDA-Verordnung hat die EU-Kommission unmittelbar im Anschluss an den sog. Trilog (den finalen Verhandlungen zwischen EU-Parlament, EU-Kommission und dem Europäischen Rat zum Data Act) den ersten Entwurf einer Open Data-Regulierung im Finanzwesen vorgelegt. Erhöhte Transparenzanforderungen und Nutzerkontrolle, u.a. durch „Financial Data Access Permission Dashboards“ werden – unabhängig von IoT-Produkten – auch dort tiefgreifende Veränderungen auslösen.
Datenzugang und Weiternutzung als Kern der Regulierung
Im Zentrum des Data Acts steht das Rechtsverhältnis zwischen dem Datenhalter kraft seiner faktischen Kontrolle über IoT-Daten und dem Nutzer des Produkts und Bezieher zugehöriger Dienste. Der Data Act stärkt die Position des Nutzers und gibt ihm – über eine bestehende vertragliche Beziehung hinaus – den Anspruch auf Zugang und Bereitstellung der „leichtgängig verfügbaren Daten“ („readily available data“) in einem gängigen maschinenlesbaren Format. Hersteller haben ihre IoT-Produkte für eine entsprechende Datenherausgabe auszulegen und zu entwickeln. Der Herausgabeanspruch umfasst auch die Metadaten, also die Beschreibungselemente der erhobenen Rohdaten. Hersteller bzw. Verkäufer oder Vermieter von IoT-Produkten haben den Nutzer bereits bei Vertragsschluss über die Art, Quantität, Eigennutzung und Verfügbarkeit der erhobenen Daten zu informieren.
Soweit der Nutzer diese Daten mit einem Dritten teilen möchte, gelten gewisse Beschränkungen. Insbesondere darf der Dritte daraus keine konkurrierenden IoT-Produkte herstellen. Ihm steht es aber frei, mit Zustimmung des Nutzers neue, datenbasierte Dienste und Produkte anhand der geteilten Daten zu entwickeln. Darin liegt der entscheidende regulatorische Schritt hin zu einer diversifizierten Datenwirtschaft, um unter Mitwirkung des Nutzers über die linearen Datennutzungs- und Monetarisierungsmodelle der Gerätehersteller hinauszukommen.
Die Folgen dieser „ermöglichenden Regulierung“ („enabling regulation“) sind erheblich: Hersteller müssen ihre Data Governance umfassend gestalten und zugleich ihre Datenstrategie über einer reine Compliance- und Datensicherheits-Perspektive hinaus entwickeln. Auf Innovation ausgerichtete Unternehmen blicken bereits jetzt in die Möglichkeiten proaktiver Datenbeschaffung und strategischer Datenweitergabe.
Datenzugang und Geschäftsgeheimnisse
Eine der zentralen Herausforderungen, aber auch Besorgnisse der Datenhalter ist die Balance zwischen Zugangs- und Weitergabeansprüchen einerseits und dem Schutz von Geschäftsgeheimnissen des Datenhalters andererseits. Der Data Act nimmt dem Datenhalter die Möglichkeit, sich vorschnell auf (angebliche) Geschäftsgeheimnisse zu berufen, um Datenzugangs- und Herausgabeansprüche abzuwehren. Er muss grundsätzlich auch solche Daten herausgeben, deren Informationsgehalt unter ein Geschäftsgeheimnis fallen. Dazu muss er die dem Geheimnisschutz unterfallenden Datensätze genau bezeichnen und die erforderlichen technischen Schutzmaßnahmen anordnen. Nur wenn der Datenhalter das Risiko eines erheblichen wirtschaftlichen Schadens durch die Aufdeckung eines Geschäftsgeheimnisses glaubhaft machen kann, darf er den Zugang bzw. die Herausgabe der betreffenden Daten verweigern. Aber damit nicht genug: Er muss seine nachvollziehbar begründete Ablehnung der zuständigen Aufsichtsbehörde melden.
Ob dieser Ansatz verfängt, bleibt abzuwarten: Gerade KMU als Adressaten von Herausgabeansprüchen sind verunsichert, wenn es um die Auslesbarkeit von Geschäftsprozessen aus großen Datenmengen im industriellen Umfeld geht (Maschinenauslastung, effiziente Fertigungsabläufe etc.). Gerichtliche Entscheidungen über den Umfang des Geschäftsgeheimnisschutzes dürften erst über die Zeit für mehr Klarheit sorgen.
Was macht der Datenschutz?
Der Data Act schlägt ein neues Regulierungskapitel zur Verarbeitung von personenbezogenen und nicht-personenbezogenen IoT-Daten auf. Soweit die Identifizierbarkeit einer natürlichen Person gegeben ist (z.B. den privaten Nutzervernetzter Geräte), greift die DSGVO. Der Data Act selbst schafft dafür keine neuen Rechtfertigungstatbestände. Vielmehr hat der Datenhalter als Verantwortlicher alle einschlägigen Pflichten nach der DSGVO einzuhalten (u.a. Rechtsgrundlage der Datenverarbeitung, Informations- und Dokumentationspflichten, technischer Datenschutz, Sicherstellung der Betroffenenrechte etc.). Wenn der gewerbliche Nutzer seine Herausgabeansprüche gegen ein anderes Unternehmen (B2B – Business-to-Business) geltend gemacht hat und die empfangenen Daten mit Dritten teilen möchte, kann er möglicherweise in die Rolle des Verantwortlichen für personenbezogene Daten anderer Personen geraten (z.B. Endgerätdaten seiner Mitarbeitenden). Dann treffen ihn alle einschlägigen Pflichten der DSGVO, insbesondere zur Bestimmung der passenden Rechtsfertigungsgrundlage (z.B. Einwilligung, Vertragserfüllung eines Vertrages mit dem Betroffenen, berechtigtes Interesse oder andere Rechtfertigungen).
„Jedes Unternehmen muss sich im Rahmen seiner zukünftigen Datenstrategie Gedanken zur Einlizensierung und Auslizensierung von Daten machen.“
Vertragsgestaltung
Jedes Unternehmen muss sich im Rahmen seiner zukünftigen Datenstrategie Gedanken zur Einlizensierung und Auslizensierung von Daten („inbound“ und „outbound“) machen – die Nutzer zur systematischen Geltendmachung von Zugangs- und Herausgabeansprüchen („inbound“) und hinsichtlich der Weitergabe an Dritte („outbound“), die Datenhalter über die Datenherausgabe, ggf. auch direkt an die vom Nutzer benannten Dritten.
Der Datenhalter unterliegt der generellen Verpflichtung zur nicht-diskriminierenden Datenteilung (FRAND-Prinzipien) und darf im B2B-Bereich eine angemessene Vergütung zur Kostendeckung zzgl. einer Gewinnmarge fordern. Der Datenhalter hat bei der Datenteilung mit anderen Unternehmen (B2B) einen Regelkatalog unzulässiger, einseitig auferlegter Vertragsklauseln zu beachten, der allgemeine Billigkeitsregeln zur Datenlizenzierung einschließlich Fragen möglicher Sekundäransprüche (Haftung und Gewährleistung für Schlechtleistung) und Kündigungsregeln formuliert. Wer mit dem deutschen AGB-Recht vertraut ist, dem kommen diese Klauselverbote bekannt vor. Dabei ist durchaus fraglich, ob solche Regeln des Zivilvertragsrechts für den B2B-Bereich überhaupt in die Regelungskompetenz der EU-Kommission fallen. Streitverfahren zur Verfassungsmäßigkeit dieser Regeln des Data Acts sind vorprogrammiert.
Cloud-Switching
Unabhängig von dem Bezug auf IoT-Produkte regelt der Data Act auch das Thema des Anbieterwechsels von „Daten-Verarbeitungsdiensten“ (nicht mit der Auftragsverarbeitung i.S. der DSGVO zu verwechseln). Detaillierte Regeln zielen auf Abbau der „Lock-in“-Effekte, die aus Sicht der EU-Kommission durch technische, vertragliche und wirtschaftliche Parameter zum Nachteil der Kunden entstanden sind. Anbieter von Cloud-Diensten müssen sich auf informatorische, technische und vertragliche Anforderungen an Datenherausgabe und aktive Unterstützung eines Wechsels zu Wettbewerbern und Regulierung der Wechselkosten einrichten. Auch hier steht ein tiefgreifender Wandel bevor, der die großen Anbieter wie auch spezialisierte Nischen-Anbieter von Cloud-Diensten gleichermaßen erfasst.
Rechtsdurchsetzung und Streiterledigung
Der Data Act bleibt dem Regulierungsansatz der DSGVO treu, nationale Aufsichtsbehörden und ein europäisches Gremium (den Europäischen Daten-Innovations-Ausschuss) für die Aufsicht, Auslegung und Rechtsdurchsetzung vorzusehen. Der Aufbau eigener Aufsichtsbehörden ist nicht trivial. Im Gegensatz zur DSGVO, die auf der EU-Datenschutzrichtlinie und dem etablierten aufsichtsbehördlichen Rahmen aufsetzte, muss eine neue Fachkompetenz u.a. mit vertragsrechtlichem Einschlag aufgebaut werden. Die Ansiedlung bei den Datenschutzbehörden (so die Indikation aus einigen Mitgliedstaaten wie Deutschland) wird jedenfalls in Mitgliedstaaten, die einen sehr restriktiven, beschränkenden Regulierungsansatz verfolgen, einen erheblichen „Mind-Shift“ erfordern, um den Schwenk zu einer ermöglichenden Praxis zu schaffen („from restricting to enabling“).
Der Europäische Daten-Innovations-Ausschuss wird als Koordinationsgremium zwischen den nationalen Aufsichtsbehörden und in Unterstützung der EU-Kommission bei der Rechtsfortentwicklung tätig. Er soll Leitlinien und Empfehlungen zur Rechtsdurchsetzung, der Entwicklung von Implementierungsmaßnahmen, Zertifizierungen, Smart Contracts zum Datenaustausch und angemessenen Kosten für Cloud-Switching sowie zu Interoperabilitätsstandards im Bereich europäischer Datenräume herausgeben. Hier wird in Kürze erhebliche juristische und nicht-juristische Fachkenntnis in Fragen der Datenwirtschaft benötigt, die in der Kombination bislang am Markt nur spärlich vorhanden ist.
Bemerkenswert ist das im Data Act geregelte Schiedsverfahren, für das die Mitgliedstaaten zertifizierte Schiedsstellen einzurichten haben. Sie stehen Datenhaltern, Nutzern und Drittempfängern von IoT-Daten bei Streitigkeiten über die Zugangs- und Weitergaberechte, ebenso wie auch Cloud-Dienstleistern und Kunden bei Auseinandersetzungen über den Wechsel zu einem anderen Cloud-Anbieter, zur Verfügung. Schiedsstellen haben innerhalb von 90 Tagen ihre Entscheidung einschließlich einer Kostenentscheidung nach Anhörung der Parteien und Schriftsatzverkehr zu erlassen. Die Entscheidungen sind verbindlich, soweit dies Parteien zu Beginn des Verfahrens einvernehmlich bekundet haben. Ein solches Schiedsverfahren schließt aber den Weg zur ordentlichen Gerichtsbarkeit nicht aus. Die Schiedsstellen werden jährliche Erfahrungsberichte, einschließlich etwaiger Empfehlungen zur Streitvermeidung und „best practices“ veröffentlichen. Dieser innovative Ansatz zur Rechtsfortentwicklung ist angesichts der neuen Regelungsmaterie ausdrücklich zu begrüßen. Es bleibt zu hoffen, dass Datenhalter, Nutzer und Dritte diesen Weg zur schnellen Entwicklung einer Rechtspraxis auf breiter Basis nutzen.
Data Governance und Datenräume
Im Bemühen um tragfähige Alternativen zur Plattform-Ökonomie hat die EU-Kommission ihre Datenraum-Strategie 2020 proklamiert. Darin nehmen Datenintermediäre eine zentrale Rolle ein, um Datensouveränität von Datenanbietern und Datennutzern in dezentralen Netzwerkstrukturen zu realisieren. Der Data Governance Act setzt dort mit einer „weichen Regulierung“ an, indem Datenintermediäre sich bei der zuständigen Behörden anmelden müssen (keine Genehmigungspflicht), im Rahmen ihrer Tätigkeit für hinreichende Unabhängigkeit sorgen müssen und selbst keine Datenauswertung oder Kommerzialisierung von Daten über die Erbringung der technischen Dienstleistungen zum Erhalt des Datenraums und der darin angebotenen Dienste hinaus betreiben dürfen.
Catena-X ist das erste Referenzmodell, das nach den Grundsätzen der International Data Spaces Association und Gaia-X das Prinzip der Datensouveränität durch dezentrale, plattform-unabhängige Datenaustauschmodelle umsetzt. Manufacturing-X könnte dem nachfolgen. Die geplante Verordnung über einen europäischen Datenraum für Gesundheitsdaten und das Gesundheitsdatennutzungsgesetz zeigt, dass für Datenräume eine spannende Entwicklung bevorsteht, in der erheblicher Gestaltungsbedarf und in Zukunft auch unvermeidlich Streitpotenziale liegen.
Header © NicoElNino – IStock ID:1448152453
Mehr aus dem ICC Germany Magazin Nr. 17 finden Sie >>hier.