Der Grundsatz scheint schon so alt wie Methusalem: Daten sind das Gold des 21. Jahrhunderts. Im Zeitalter einer datenagilen Wirtschaft ist es dementsprechend nicht verwunderlich, dass sich die EU-Kommission, allen voran die Kommissionspräsidentin Ursula von der Leyen, in ihrer Datenstrategie auf die Fahne geschrieben hat, die „Nutzung von Daten kanalisieren und gleichzeitig hohe ethische Datenschutz- und Sicherheitsstandards wahren“ zu wollen. Diesem Ziel nähert sich die EU nun durch den Entwurf des Data Act bzw. Datengesetz. Ein erster Entwurf des Data Act stammt bereits aus Februar 2022. Das Europäische Parlament hat mit großer Mehrheit nun seine Position zum Entwurf der EU-Kommission beschlossen. Damit nimmt dieses wichtige Gesetzgebungsvorhaben mit den folgenden Trilog Verhandlungen seinen weiteren Lauf und könnte bereits Ende 2023 abgeschlossen werden und in einem Gesetz münden.
Alle, die Produkte oder Dienste entwickeln, die Daten generieren, sollten nun hellhörig werden, denn das Gesetzesvorhaben bringt weitreichende Änderungen mit sich, die bereits in der Produktentwicklung Berücksichtigung finden müssen. Insofern ist Eile geboten, sind Entwicklungszyklen von neuen Produkten doch üblicherweise recht lang und mit einem Inkrafttreten des Data Act wäre bereits Ende 2024 zu rechnen. Dies gilt insbesondere vor dem Hintergrund, dass sich der Data Act – anders als die DSGVO – nicht auf personenbezogene Daten beschränkt. Er erfasst alle Arten von Daten - beispielsweise aus Fahrzeugen, Haushaltsgeräten und Konsumgütern, Gesundheits- und Lifestyleprodukten. Die im ursprünglichen Entwurf aus 2022 noch ausgenommenen Produkte wie Smartphones, Server oder Tablets fallen nach dem aktuellen Entwurf nun in den Anwendungsbereich. Damit sind diese Produkte nunmehr zum einen selbst, zum anderen aber auch die damit verbundenen digitalen Dienste, einschließlich essenzieller Software, vom Data Act umfasst.
Ein primäres Ziel des neuen Gesetzes ist es, den Datenzugang und die Datennutzung für Verbraucher und Unternehmen zu erleichtern. Hierzu bestimmt der Entwurf des Data Act, dass Produkte so konzipiert und hergestellt werden müssen, dass die bei ihrer Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sein müssen. Gleiches gilt für verbundene Dienste. Der aktuell im Entwurf verwendete Begriff der Daten reicht sehr weit und umfasst jede digitale Darstellung von Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellen Material. Verbundene Produkte im Sinne des Data Acts sind solche, die Daten über seine Nutzung erlangt, erzeugt oder sammelt und diese über einen elektronischen Kommunikationsdienst übermitteln kann (zumeist als Internet der Dinge bezeichnet). Derartige Produkte können beispielsweise Haushaltsgeräte und Konsumgüter sein, ebenso Medizin- und Gesundheitsprodukte oder industrielle Maschinen. Vom neuen Entwurf ebenfalls umfasst sind virtuelle Sprachassistenten und Chatbots.
Als Idealfall bestimmt der Entwurf des Data Act, dass der Nutzer direkt vom Produkt aus auf seine Daten zugreifen können soll. Andernfalls sollen nach dem geänderten Entwurf des Data Act Dateninhaber verpflichtet werden, die entsprechend generierten Daten dem Nutzer zur Verfügung zu stellen. Dies soll unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit geschehen. Nutzer im Sinne dieser Vorschrift können dabei sowohl natürliche Personen als auch Unternehmen sein. Für Nutzer hätte dies den Vorteil, dass sie beispielsweise Wartungsdienste nicht beim Originalhersteller eines Produkts, sondern auch von einem anderen Unternehmen durchführen lassen könnten.
Damit nicht genug. Der Entwurf des Data Act erfordert ferner, dass der Hersteller bzw. der Verkäufer vor Abschluss von Verträgen über Produkte, seien es Kauf-, Miet- oder Leasingverträge, dem Nutzer klare und ausreichende Informationen bereitgestellt werden, wie auf die erzeugten Daten zugegriffen werden kann. Hierzu zählen beispielsweise Informationen über Art und Umfang der Daten, die voraussichtlich bei der Nutzung des Produkts erzeugt werden, und ferner darüber, ob die Daten voraussichtlich kontinuierlich und in Echtzeit erzeugt werden. Darüber hinaus verlangt der Data Act, dass Hersteller bzw. Verkäufer dem Nutzer vor Vertragsschluss mitteilen, ob sie beabsichtigen, die Daten selbst zu nutzen oder Dritten die Nutzung der Daten zu gestatten und falls ja, für welche Zwecke. Ferner muss der Hersteller konkrete Angaben zur Identität des Dateninhabers machen, sofern er dies nicht selbst ist. Ähnliche Regelungen enthält der Entwurf für die Anbieter von verbundenen Diensten.
Schließlich bürdet der Entwurf des Data Act den Unternehmen auf, dass sie den Nutzer vor Vertragsabschluss darüber informieren, wie er auf diese Daten zugreifen kann und wie er veranlassen kann, dass die Daten an einen Dritten weitergegeben werden können. Diese Pflichten sollen für Transparenz sorgen und werden es sicherlich auch. Es bedeutet aber gleichzeitig, dass diese weitreichende Datenbereitstellungspflicht, die nach dem Willen des Gesetzgebers unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zu erfolgen hat, von Unternehmen frühzeitig bei der technischen Umsetzung berücksichtigt werden sollte. Die Anpassung der entsprechenden Verträge wird dabei das geringste Übel sein.
Sofern ein Dateninhaber nach den Bestimmungen zur Bereitstellung von Daten verpflichtet ist, so hat dies zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise zu erfolgen. Hier werden sich möglicherweise ähnliche Diskussionen entfachen wir im Rahmen der Lizenzvergabe von Patenten zu FRAND Bedingungen.
Zu begrüßen ist, dass der Data Act auch die Interessen des Dateninhabers im Blick hat und Geschäftsgeheimnisse nur dann offengelegt werden müssen, wenn alle erforderlichen Maßnahmen getroffen wurden, um eine Vertraulichkeit von Geschäftsgeheimnissen, insbesondere gegenüber Dritten, zu wahren. Ferner wird explizit bestimmt, dass der Nutzer die herausverlangten Daten nicht zur Entwicklung eines konkurrierenden Produktes nutzen darf. Da der Industrie diese Regelungen noch nicht weitreichend genug sind und sie deshalb Auswirkungen auf die Innovationsbereitschaft befürchtet, dürfte dieser im Ansatz richtige Interessensausgleich noch weitere Anpassungen und Verästelungen erfahren.
Auch mit dem Data Act gelangt wieder das Marktortprinzip zur Anwendung. Dieses bereits aus der DSGVO und aus dem Digital Service Act bekannte Prinzip besagt, dass alle Anbieter dieser Verordnung unterfallen, die ihre Produkte in der Europäischen Union in den Verkehr bringen.
Ein weiteres Ziel ist eine bessere Datenübertragbarkeit durch eine Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten wie Cloud- und Edge-Diensten. Ein solcher wird als eine wesentliche Voraussetzung für eine florierende Datenwirtschaft angesehen. Dies leuchtet ein, vermeidet dies doch „Lock-in“-Effekte und fördert damit den Wettbewerb zwischen den Anbietern. Hierfür sieht der Entwurf des Data Act vor, dass ein Kunde in der Lage sein muss, den Vertrag mit einem Datenverarbeitungsdienst zu kündigen und einen neuen Vertrag mit einem neuen Datenverarbeitungsdienst zu schließen und dabei alle seine digitalen Vermögenswerte, einschließlich Daten, zu den betreffenden anderen Anbieter zu übertragen. Hierfür soll der Anbieter verpflichtet sein, die erforderliche Unterstützung zu leisten, um den Wechselvorgang erfolgreich und wirksam zu gestalten. Aktuell sind im ursprünglichen Kommissionsentwurf sehr kurze Kündigungsfristen von höchstens 30 Kalendertagen vorgesehen, sofern vertraglich nichts anderes vereinbart. Der vorgesehene Übergangszeitraum von Daten in der Hand eines Datenverarbeitungsdienstleisters auf den Kunden soll ebenfalls höchstens 30 Kalendertage betragen und darf in Ausnahmefällen – sofern technisch schwierig und nur mit entsprechender schriftlicher Begründung– ausgedehnt werden auf maximal sechs Monate. Allerdings zeichnet sich bereits jetzt ein Sturm der Entrüstung seitens der Industrie ab – zu Recht, müssen doch Investitionen berücksichtigt werden. Auch mag eine Demigration von Daten bei Verbrauchern zwar möglicherweise innerhalb kurzer Zeit möglich sein, bei einer langjährigen komplexen Geschäftsbeziehung – man denke beispielsweise nur an Banken und deren IT-Dienstleistungen- dürfte eine solche eher Jahre in Anspruch nehmen. Hier dürfte es im Rahmen des Trilogs aller Voraussicht nach noch zu Nachbesserungen kommen. Zu begrüßen ist es daher, dass bereits die jetzige Position des EU-Parlaments schon längere Fristen vorsieht.
Der Entwurf des Data Act statuiert ferner einen gesetzliche Datenbereitstellungspflicht: In Fällen außergewöhnlicher Situationen soll es zur Wahrung von Aufgaben im öffentlichen Interesse möglich sein, dass öffentliche Stellen auf Daten, die sich im Besitz von Unternehmen befinden, zurückgreifen. Hierfür sieht der Entwurf des Data Act detaillierte Regelungen vor. Als Beispiele solcher außergewöhnlichen Situationen werden Notlagen im Bereich der öffentlichen Gesundheit, aufgrund von Umweltschäden und großen Naturkatastrophen angeführt. In derartigen Fällen sollen Dateninhaber verpflichtet werden, die Daten den öffentlichen Stellen auf deren Verlangen bereitzustellen.
Vorgesehen sind ferner Regelungen zur Interoperabilität, zu missbräuchlichen Vertragsklauseln im Sinne Allgemeiner Geschäftsbedingungen sowie zu Smart Contracts, gegen deren Regulierung sich die Bundesregierung explizit ausgesprochen hatte, um Innovationen im Bereich Kryptowährungen zu gewährleisten. Schließlich ist im Entwurf ein ausführlicher Mechanismus zur Streitbeilegung enthalten. Im Rahmen der vorgesehenen Sanktionen greift der Entwurf des Data Act auf das inzwischen bewährte Regime der DSGVO zurück, wonach Bußgelder bis zur Höhe von 4 % des gesamten weltweit erzielten Jahresumsatzes verhängt werden können.
Kleinere und mittlere Unternehmen können aufatmen: Sie sind von den Regelungen des Data Act ausgenommen. Dies gilt allerdings dann nicht, wenn sie als Partnerunternehmen oder verbundene Unternehmen einzuordnen sind.
Der Data Act bringt die EU ihren Zielen, einen Binnenmarkt für Daten zu verwirklichen und Innovationen durch die verstärkte Nutzung von Daten zu ermöglichen, ein Stück näher. Der Data Act befindet sich zwar noch im Stadium des Gesetzesentwurfs. Mit dem Eintritt in den Trilog kann daraus aber schnell ein Gesetz werden. Der Data Act ist als unmittelbar in der EU geltende Verordnung ausgestaltet, so dass sich Unternehmen auch nicht zunächst noch bequem zurücklehnen können, wie es zumeist bei Richtlinien der Fall ist, für deren Umsetzung den Mitgliedsstaaten meist zwei Jahre Zeit gewährt wird und die - wie beispielsweise im Fall der EU Whistleblowing Richtlinie - auch dann manchmal erst verspätet umgesetzt werden und in Kraft treten.
Der Data Act wird tiefgreifende Auswirkungen für eine Vielzahl von Unternehmen mit sich bringen. Daher besteht dringender Handlungsbedarf bei allen, deren Produkte oder Dienste in irgendeiner Form mit Daten agieren – getreu dem Grundsatz „Better safe than sorry" sollten frühzeitig Abstimmungen mit der Produktentwicklung erfolgen, damit die entsprechenden Vorgaben des Data Act rechtzeitig implementiert werden können, betrifft der Data Act doch sämtliche Industriesektoren.