05.07.2023Fachbeitrag

Update Datenschutz Nr. 148

DATA ACT: Europäisches Parlament einigt sich auf ein Datengesetz mit weitreichenden Rechtsfolgen für Unternehmen

Nachdem die Europäische Kommission Anfang 2022 einen ersten Entwurf für den EU Data Act  (Datengesetz) vorgelegt hat, haben sich in der Nacht auf den 26. Juni 2023 auch die Mitgliedsstaaten mit dem Europäischen Parlament auf einen Entwurf geeinigt. Damit sind die Trilog-Verhandlungen beendet und der Weg ist frei für eine förmliche Bestätigung durch das EU-Parlament sowie den Rat der Europäischen Union. Mit einer Einigung wird noch im Herbst gerechnet, nach Inkrafttreten beginnt eine Übergangsfrist von 24 Monaten (nach aktuellem Stand der Verhandlungen).

Die Verordnung, soll einen rechtlichen Rahmen für den Handel mit nicht-personenbezogenen Daten schaffen. Gestärkt werden vor allem die Rechte von Verbraucherinnen und Verbrauchern, aber auch kleiner und mittelständischer Unternehmen, die Zugriff auf Daten erhalten sollen, die sich bisher ausschließlich in den Händen der großen Plattformen befinden. Neben den personenbezogenen Daten, für die der Data Act neben die DSGVO tritt, sind auch nicht-personenbezogene Daten betroffen, die beim Betrieb mit dem Internet verbundener Geräte entstehen. Daneben enthält der Data Act Interoperabilitätsanforderungen für Datenverarbeitungsanbieter sowie Regelungen zu behördlichem Datenzugriff in Ausnahmefällen und Katastrophensituationen.

Im Folgenden geben wir Ihnen einen Überblick darüber, welche Regelungen der Data Act voraussichtlich enthalten wird und welche Maßnahmen sie ergreifen können, um die Anforderungen umzusetzen und Bußgelder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes zu vermeiden.

1. Anwendungsbereich

Der Data Act erfasst in erster Linie Daten, die von vernetzten Objekten („Produkte“) erzeugt werden, etwa von vernetzten Haushaltsgeräten, Sprachassistenten oder Industrieanlagen sowie Autos, die mit dem Internet verbunden sind. Daneben sind auch fest mit einem Produkt „verbundene Dienste“ erfasst, etwa die Software einer Fitnessuhr. Der Fokus des Gesetzes liegt also auf Daten aus dem Internet der Dinge (IoTInternet of Things). Dabei ist der verwendete Datenbegriff sehr weit und erfasst jede digitale Darstellung von (personenbezogenen und nicht-personenbezogenen) Informationen. Diese Daten sind für viele Unternehmen wertvoll, wenn sie neue Produkte entwickeln oder vernetzte Geräte warten oder reparieren sowie als Trainingsdaten für Algorithmen, werden aktuell in der Regel jedoch ausschließlich von den Herstellern oder Verkäufern solcher Produkte gespeichert.

Im Data Act kommt wie auch in der DSGVO das Marktortprinzip zur Anwendung, er gilt also auch für nicht-europäische Unternehmen, sofern diese in der Europäischen Union aktiv sind, insbesondere wenn die entsprechenden Produkte und Dienste in der EU in Verkehr gebracht werden oder wenn die Datenempfänger sich in der EU befinden.

2. Welche Rechte und Pflichten gibt es?

a) Bereitstellung von Daten an Nutzer und Dritte

Die meisten Pflichten des Data Act gelten grundsätzlich nicht für kleine und Kleinstunternehmen, also Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter 10 Mio. EUR (vgl. Art. 7 Data Act), es sei denn, sie sind Partnerunternehmen oder verbundene mit Unternehmen, die nicht als Kleinst- oder Kleinunternehmen gelten. Bereits mittlere Unternehmen, die weniger als 250 Mitarbeiter und einen Jahresumsatz von unter 50 Mio. EUR bzw. eine Jahresbilanz von unter 43 Mio. EUR haben, müssen die anschließend im Detail dargestellten Pflichten voraussichtlich umsetzen. Lediglich für mittlere Unternehmen, die vor weniger als einem Jahr die Grenze zur Qualifikation als mittlere Unternehmen überschritten haben oder für Produkte mittlerer Unternehmen, die seit weniger als einem Jahr auf dem Markt verfügbar sind, soll es Ausnahmen geben. Eine vertragliche Einschränkung dieser Vorgaben ist grundsätzlich ausgeschlossen.

Nutzer, also sowohl Verbraucher als auch Unternehmen, sofern sie ein vernetztes Produkt besitzen, mieten oder leasen oder eine Dienstleistung in Anspruch nehmen, müssen die Möglichkeit haben, IoT-Daten (inklusive Metadaten) vom Dateninhaber zu erhalten und an Dritte in derselben Qualität weiterzugeben. Im Idealfall soll der Zugriff direkt von dem jeweiligen Produkt aus erfolgen, alternativ sollen die Daten den Nutzern jedenfalls in Echtzeit, kostenlos und ggf. kontinuierlich in einem maschinenlesbaren Format zur Verfügung gestellt werden. Das führt beispielsweise bei Fitnessuhren dazu, dass den Nutzern neben den Ergebnissen der Datenauswertung auch auf die erhobenen Rohdaten zur Verfügung gestellt werden müssen. Sofern es sich um personenbezogene Daten handelt, bleibt es dabei, dass diese nur an die betroffene Person selbst herausgegeben werden dürfen, es sei denn es existiert eine entsprechende datenschutzrechtliche Rechtsgrundlage (Art. 4 Abs. 5 Data Act).

Darüber, wie der Datenzugriff erfolgt und wie die Daten an Dritte weitergegeben werden können, müssen Hersteller und Verkäufer solcher Produkte die Nutzer bereits vor Abschluss des Vertrages informieren, aufgrund dessen die Nutzung des vernetzten Produktes oder Dienstes erfolgt (Art. 3 Abs. 2 Data Act). Zudem müssen Nutzern bei Vertragsschluss die folgenden Informationen zur Verfügung gestellt werden.

  • Art und Umfang der Daten, die bei der Nutzung voraussichtlich erzeugt werden;
  • Information darüber, ob die Daten voraussichtlich kontinuierlich und in Echtzeit erzeugt werden;
  • die Absicht des Herstellers (bzw. Dienstleisters), die Daten selbst zu nutzen oder Dritten zur Verfügung zu stellen, und wenn ja, für welche Zwecke;
  • Angaben zur Identität des Dateninhabers;
  • Kommunikationsmittel zur schnellen Kontaktaufnahme mit dem Dateninhaber;
  • das Recht des Nutzers, bei der zuständigen Behörde Beschwerde einzulegen.

Zudem darf der Dateninhaber die entstandenen Daten nur zu eigenen Zwecken nutzen, wenn dies mit dem Nutzer ebenfalls ausdrücklich vertraglich vereinbart worden ist.

Datenempfänger erhalten die Daten in der Regel also als Dritte auf Veranlassung des Nutzers. Folglich dürfen sie die Daten, die sie infolge des Herausgabeverlangens eines Nutzers erhalten auch nur für die Zwecke und unter den Bedingungen verarbeiten, die mit dem Nutzer vereinbart worden sind. Werden die Daten für diese Zwecke nicht mehr benötigt, sind sie zu löschen (Art. 6 Abs. 1 Data Act). Eine Ausnahme von dem Recht der Nutzer, von dem Dateninhaber die Herausgabe an einen Dritten zu verlangen, sieht der Data Act für die Herausgabe an Gatekeeper im Sinne des Digital Markets Act vor. Gatekeeper dürfen solche Daten weder als Datenempfänger noch mittelbar über den Nutzer selbst erhalten (Art. 5 Abs. 2 Data Act).

Im Verhältnis zu einem Datenempfänger (B2B) darf die Bereitstellung der Daten nur zu „fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise“ erfolgen (Art. 8 Abs. 1 Data Act). Dabei sind insbesondere folgende Vereinbarungen unzulässig:

(1) Der Dateninhaber darf nicht festlegen, dass die Bereitstellung exklusiv an nur einen Datenempfänger erfolgt, es sei denn, der Nutzer wünscht dies ausdrücklich (Art. 8 Abs. 4 Data Act);

(2) diskriminierende Bedingungen sind unzulässig, dem Dateninhaber obliegt der Beweis, dass es sich um nicht-diskriminierende Bedingungen handelt (Beweislastumkehr, Art. 8 Abs. 3 Data Act);

(3) missbräuchlichen Klauseln zu Lasten des Datenempfängers sollen (unabhängig davon, ob es sich bei dem Empfängern um KMU handelt) unwirksam sein (siehe Ziff. 3).

Als Gegenleistung für die Bereitstellung von Daten an einen Datenempfänger darf der Dateninhaber eine angemessene Gegenleistung verlangen (Art. 9 Abs. 1 Data Act). Dabei darf die von kleinen und Kleinstunternehmen erhobene Gebühr die Kosten für Sammlung und Bereitstellung der Daten nicht überschreiten.

b) Interoperabilität

Datenverarbeitungsanbieter (insbesondere Cloud- oder Edge-Dienste) müssen einen einfachen Wechsel des Dienstleisters über entsprechende Schnittstellen sowie durch Einhaltung entsprechender Interoperabilitätsstandards ermöglichen und vertraglich festhalten, sodass auch beim Wechsel des Anbieters alle Funktionalitäten erhalten bleiben (Funktionsäquivalenz). Grundsätzlich gelten kurze Kündigungsfristen von 30 Tagen, sofern keine abweichende Vereinbarung erforderlich ist. Daneben müssen sie eine Übergangsfrist von ebenfalls 30 Tagen vorsehen, in denen der Datenverarbeitungsdienstleister den Wechselvorgang unterstützt und die uneingeschränkte Kontinuität der Dienste sowie ein hohes Sicherheitsniveau sicherstellt. Vor dem geplanten Wechsel kann eine Vorlaufsfrist vorgesehen werden, die jedoch nicht länger als zwei Monate ist. Nach dem Wechsel sind alle Daten und Metadaten zu löschen. Zudem darf ab Inkrafttreten des Data Act nur noch ein ermäßigtes Wechsel- oder Datenübertragungsentgelt verlangt werden, drei Jahre nach dem Inkrafttreten des Data Act gar keines mehr.

Der aktuelle Entwurf sieht zudem vor, dass Datenverarbeitungsdienstleister darüber informieren müssen, wenn sie IT-Infrastruktur in Drittländern unterhalten. Dabei müssen sie alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen treffen, um den unionsrechtswidrigen staatlichen Zugriff auf nicht personenbezogene Daten in Drittländern zu verhindern (Art. 27 Data Act).

c) Behördlicher Zugriff

Unter außergewöhnlichen Umständen sollen auch öffentliche Stellen sowie Einrichtungen der Union Zugriff auf Daten erhalten können. Dies gilt etwa bei öffentlichen Notfällen wie Naturkatastrophen sowie für die Erfüllung einer Aufgabe im öffentlichen Interesse, wenn die öffentliche Stelle nicht in der Lage ist, die Daten auf andere Weise rechtzeitig und effizient unter gleichwertigen Bedingungen zu erhalten. Sofern es um die Erfüllung von Aufgaben im öffentlichen Interesse geht, ist der Erwerb der Daten am Markt zudem vorrangig.

Erhält ein Unternehmen ein solches Herausgabeverlangen, müssen die angeforderten Daten unverzüglich bereitgestellt werden (Art. 18 Abs. 1 Data Act), es sei denn, die Daten sind für den Dateninhaber nicht verfügbar oder das Datenzugangsverlangen erfüllt nicht die gesetzlichen Voraussetzungen. Sofern sinnvoll, müssen personenbezogene Daten vor der Herausgabe anonymisiert oder zumindest pseudonymisiert werden.

3. Unzulässig: Missbräuchliche Klauseln

Die Verordnung soll die Verwendung missbräuchlicher Vertragsklauseln zwischen Dateninhabern und Datenempfängern verhindern (Art. 13 Data Act). Diese sind nicht bindend, wenn sie der einen Seite einseitig von der anderen auferlegt wurden (vgl. AGB). Dabei bedient sich der Gesetzgeber zunächst einer Generalklausel, nach der eine Klausel missbräuchliche ist, „wenn ihre Verwendung gröblich von der guten Geschäftspraxis beim Datenzugang und der Datennutzung abweicht und gegen das Gebot von Treu und Glauben und des redlichen Geschäftsverkehrs verstößt.“ Der Data Act nennt hierfür einige Beispiele, namentlich:

  • Beschränkung oder Ausschluss der Haftung des Verwenders für Vorsatz oder grobe Fahrlässigkeit;
  • Ausschluss der Rechtsbehelfe im Falle der Nichterfüllung von Vertragspflichten bzw. Ausschluss der Haftung der auferlegenden Partei sowie unangemessen Beschränkungen der Rechtsmittel in diesem Fall;
  • das einseitige Recht zu bestimmen, ob gelieferte Daten vertragsgemäß sind oder Vertragsklauseln auszulegen;
  • ein Recht der auferlegenden Partei zu Zugang zu Daten der anderen Seite, die deren berechtigten Interessen erheblich schadet;
  • die Hinderung der anderen Partei, die von ihr bereitgestellten oder erzeugten Daten zu nutzen;
  • die Hinderung der anderen Partei, eine Kopie der von ihr bereitgestellten oder erzeugten Daten während der Vertragslaufzeit oder innerhalb einer angemessenen Frist nach Kündigung des Vertrags zu erhalten;
  • ein Recht der auferlegenden Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen.

Die Kommission soll außerdem Mustervertragsklauseln erlassen, die zur Vermeidung missbräuchlicher Klauseln verwendet werden können.

Im Data Act finden sich hingegen keine Regelungen zu Datennutzungsverträgen, die mit Verbrauchern geschlossen werden, um größere Mengen von Daten zu erlangen. Aktuell gibt es noch keine Leitlinien, wie diese rechtskonform formuliert werden können. Gerade im Hinblick auf das AGB-Recht sollten Unternehmen bei der Formulierung solcher Datennutzungsverträge zumindest darauf achten, dass diese verständlich formuliert sind und Verbraucher zumindest nicht pauschal sämtliche Rechte an ihren Daten aufgeben.

4. Wie werden Geschäftsgeheimnisse geschützt?

Viele Unternehmen sind aktuell besorgt, dass der Data Act zu einer Offenlegung ihrer Geschäftsgeheimnisse führen wird. Dabei besteht unter dem Data Act ausdrücklich keine Pflicht, Geschäftsgeheimnisse offenzulegen (Art. 8 Abs. 6 Data Act). Vielmehr dürfen Dateninhaber grundsätzlich alle erforderlichen Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse ergreifen, bevor sie diese offenlegen. Wenn das nicht ausreicht, kann außerdem vertraglich vereinbart werden, dass der Nutzer oder Datenempfänger verpflichtet ist, weitere technische und organisatorische Maßnahmen zum Schutz der Daten zu ergreifen. Ausnahmsweise dürfen Dateninhaber die Herausgabe sogar ablehnen, wenn das Unternehmen ernste und irreparable wirtschaftliche Schäden erwartet. Allerdings muss die Ablehnung an die zuständige Behörde gemeldet werden, die diese wiederum auf ihre Plausibilität prüft. Eine Nutzung der Daten zur Entwicklung konkurrierender Produkte ist ohnehin in jedem Fall untersagt (Art. 4 Abs. 4 Data Act).

Selbst wenn der Dateninhaber die Herausgabe der Daten unberechtigterweise verweigert, dürfen Nutzer zudem nicht unter Ausnutzung von Sicherheitslücken auf die Daten zugreifen. Schutzmaßnahmen gegen unbefugten Zugang sind hingegen zulässig, solange diese nicht verhindern, dass der Nutzer sein Recht zur Bereitstellung der Daten an ihn oder Dritte ausübt.

Erlangt oder nutzt ein Empfänger dennoch unbefugt Daten des Dateninhabers, muss diese sowie ggf. davon abgeleitete Waren vernichten sowie eine Entschädigung zahlen (Art. 11 Abs. 2 Data Act), es sei denn, es ist kein Schaden entstanden oder dies ist unverhältnismäßig.

5. Checkliste: Vorbereitung auf den Data Act

Mittlere und große Unternehmen:

  • Vernetzte Produkte so anpassen oder entwickeln, dass alle erfassten Daten direkt über das Produkt, jedenfalls aber in Echtzeit, kostenlos und kontinuierlich in einem maschinenlesbaren Format zur Verfügung gestellt werden können;
  • Vor Vertragsschluss: Information darüber, wie Datenzugriff und die Weitergabe an Dritte veranlasst werden kann (Datenportabilität);
  • Bei Vertragsschluss: Information über Art und Umfang der Daten, Datenerzeugung kontinuierlich oder in Echtzeit, Nutzung für eigene Zwecke oder Bereitstellung an Dritte, Identität des Dateninhabers, Kommunikationsmittel, Beschwerderecht;
  • Verwendung der Daten zu eigenen Zwecken nur nach ausdrücklicher vertraglicher Vereinbarung;
  • Behördliche Empfehlungen und Rechtsprechung zu Datennutzungsverträgen mit Verbrauchern beobachten und umsetzen;
  • Verträge mit Datenempfängern bestenfalls auf Mustervertragsklauseln stützen (sobald verfügbar);
  • Folgende Fallstricke meiden: Missbräuchliche Vertragsklauseln, Diskriminierung einzelner Datenempfänger, exklusive Bereitstellung an nur einen Datenempfänger;
  • Vereinbarung angemessener Gegenleistungen, die bei kleinen und Kleinstunternehmen die Kosten für Sammlung und Bereitstellung der Daten nicht überschreiten;
  • Bei Herausgabeverlangen sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen oder aufgrund einer datenschutzrechtlichen Rechtsgrundlage herausgegeben werden;
  • Geschäftsgeheimnisse bei der Bereitstellung von Daten schützen;
  • Bereitstellung bestimmter Daten, wenn Behörden diese bei Vorliegen einer Ausnahmesituation von großem öffentlichem Belang (bspw. Überschwemmungen, Waldbrände) verlangen (bspw. aggregierte und anonymisierte Daten von Mobilfunkbetreibern), personenbezogene Daten, wenn möglich, anonymisieren oder pseudonymisieren.

Datenverarbeitungsanbieter:

  • Datenübertragbarkeit und Interoperabilität ermöglichen, indem die einfache (kostenlose) Datenweitergabe gewährleistet wird;
  • Verträge anpassen, insbesondere im Hinblick auf Kündigungs- und Übergangsfristen.

Kleine und Kleinstunternehmen sollten vor allem darauf achten, dass sie bei der Datenherausgabe durch große Unternehmen faire Vertragsbedingungen vereinbaren, bestenfalls die Mustervertragsbedingungen, sobald diese von der Kommission zur Verfügung gestellt werden.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.