Update Datenschutz Nr. 158
Data Act (Update): EU-Parlament beschließt neues Datengesetz, welche Schritte müssen Unternehmen jetzt umsetzen?
Bereits im Juni dieses Jahres hatten sich EU-Parlament und EU-Rat auf eine gemeinsame Position zum Entwurf der neuen EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung („Data Act“) geeinigt (wir hatten berichtet). Am 9. November 2023 erfolgte mit großer Mehrheit die formelle Verabschiedung des Entwurfes im EU-Parlament. Der verabschiedete Text des Entwurfes ist hier abrufbar. Nach Zustimmung des EU-Rates dürfte nun mit einem baldigen Inkrafttreten zu rechnen sein, allerdings mit einer Umsetzungsfrist bis 2025.
Wesentliche Inhalte des Data Act
Ziel des Data Act ist es, Anforderungen für die Nutzung und Wertschöpfung von Daten festzulegen, indem er den Nutzern vernetzter Produkte oder verbundener Dienst mehr Rechte einräumt und den Wettbewerb auf digitalen Märkten stärkt, insbesondere durch die Unterstützung von kleinen und mittleren Unternehmen.
Der Data Act definiert hierzu die Bedingungen für das Recht auf Zugang zu Nutzerdaten, die von vernetzten Produkten und verbundenen Diensten generiert werden. Der Verordnungsentwurf enthält auch Regelungen für Fälle, in denen öffentliche Stellen Zugang zu solchen Daten erhalten können. Auch bietet der Data Act Schutzmaßnahmen gegen die unrechtmäßige Nutzung durch Dritte, die Offenlegung von Geschäftsgeheimnissen und den Missbrauch von Vertragsklauseln der Anbieter vernetzter Produkte. Der Zugang von Regierungen aus internationalen Ländern und Drittländern zu nicht personenbezogenen Daten, die in der EU gespeichert sind, unterliegt hiernach Einschränkungen. Darüber hinaus legt der Data Act Interoperabilitätsstandards für Anbieter von Cloud- und anderen Datenverarbeitungsdiensten fest, um den Anbieterwechsel zu erleichtern. Bei Nichteinhaltung drohen Strafen, die von den EU-Ländern verhängt und durchgesetzt werden, mit Bußgeldern bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes.
Die überwiegende Anzahl der neuen Bestimmungen gelten für sog. „Dateninhaber“, in der Regel Hersteller von vernetzten Produkten (z. B. Smart-TV) und Anbieter verbundener Dienste (z. B. cloudbasierte Smart-TV-Plattformen). Der Data Act wird über die Grenzen der EU hinaus von Bedeutung sein. Er betrifft insoweit auch ausländische Hersteller von vernetzten Produkten und Anbieter von vernetzten Diensten, die ihre Produkte in der EU verkaufen.
Wichtige Umsetzungsschritte
Unternehmen sollten sich rechtzeitig auf die Umsetzung der neuen Maßnahmen vorbereiten, auch wenn die gesetzlichen Vorgaben des Data Act wohl erst im Jahr 2025 final umgesetzt sein müssen. Die nachfolgenden Schritte sind hervorzuheben:
- Produktdesign: Vernetzte Produkte oder verbundene Dienste müssen so gestaltet und bereitgestellt werden, dass die Nutzerdaten (einschließlich Metadaten) entweder per Datenzugriff oder notfalls per elektronischer Übermittlung einfach und schnell zur Verfügung gestellt werden können.
- Datenweitergabe an Dritte: Auf Anfrage eines Nutzers muss der Hersteller vernetzter Produkte oder verbundener Dienste die obigen Nutzerdaten auch an einen Dritten (beispielsweise bei einem Produktwechsel an ein Konkurrenzunternehmen) weitergeben.
- Datenaustausch mit öffentlichen Stellen: Die Hersteller müssen die Nutzerdaten in außergewöhnlichen Fällen an öffentliche Einrichtungen weitergeben, etwa in Notfallsituation wie Waldbränden oder Hochwasser, wenn die Nutzerdaten zur effektiven Gefahrbegegnung benötigt werden.
- Informationspflichten: Vor Abschluss eines Vertrags über den Kauf, die Miete oder das Leasing eines vernetzten Produktes oder Inanspruchnahmen eines verbundenen Dienstes muss der Hersteller dem Nutzer bestimmte Informationen in einem klaren und verständlichen Format zur Verfügung stellen.
- Missbräuchliche Vertragsklauseln: Der Verordnungsentwurf verbietet missbräuchliche Vertragsklauseln, um den Missbrauch von Vertragsungleichgewichten in B2B-Beziehungen zu verhindern.
- Interoperabilität: Bei einem Anbieterwechsel von Cloud- oder Datendiensten legt der neue Data Act Interoperabilitätsspezifikationen fest, um die technische Übermittlung der notwendigen Nutzerdaten zu gewährleisten.
Datenschutz
Datenschutzrechtlich tritt der neue Data Act neben die DSGVO. Während die DSGVO allerdings nur den Umgang mit personenbezogenen Daten regelt, gilt der Data Act auch für nicht-personenbezogene Daten. Überschneidungen sind insbesondere beim Recht auf Auskunft und Herausgabe einer Datenkopie (Art. 15 DSGVO) sowie dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegeben. Es gilt der Grundsatz, dass die DSGVO bei personenbezogenen Daten Vorrang besitzt.
Fazit
Der Data Act bietet kleineren und mittleren Unternehmen die Gelegenheit, an Nutzerdaten großer (internationaler) Hersteller von vernetzten Produkten und verbundenen Diensten zu gelangen, allerdings stets nur nach Beauftragung durch den jeweiligen Nutzer. Interessant wird diese Möglichkeit etwa für Autowerkstätten, die von den großen Autoherstellern im Auftrag ihrer Kunden wichtige IoT-Datenbestände herausverlangen können.
Auf Hersteller solcher vernetzten Produkte oder verbundenen Dienste kommen dagegen umfassende, technische und organisatorische Umstellungsmaßnahmen zu, denn diese müssen u. a. schon bald – bestenfalls vollautomatisch und unter Verwendung von Schnittstellen – die Produktdaten und verbundene Dienstdaten ihrer Nutzer einfach, sicher, unentgeltlich sowie in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format herausgeben können.