25. Februar 2022
May - Data sharing – 1 von 6 Insights
Immer mehr Alltagsgegenstände, Gebäude, Maschinen und Fahrzeuge werden mit Sensoren, Computern und Datenverbindungen ausgestattet. Die Datenmenge, die durch die Interaktion von Menschen und Maschinen miteinander, mit ihrer Umwelt aber auch durch Selbstüberwachung produziert werden, steigt massiv. Dementsprechend werden die Datenströme der europäischen Unternehmen im Jahr 2030 fünfzehnmal größer sein als noch im Jahr 2020 (vgl. Studie der EU-Kommission zur Quantifizierung der Datenströme in Europa „Study on Mapping Data Flows – Final Report“, veröffentlicht am 3. Februar 2022).
Die Nutzungsmöglichkeiten für diese Daten und damit mögliche Geschäftsideen lassen sich nicht abschließend überblicken: Verkehrsteuerung, rechtzeitige Wartung von Maschinen und Gesundheitsdienstleistungen sind nur wenige Beispiele. Im Hinblick auf die effektive Nutzung dieser massiven Datenmengen für die neue Datenwirtschaft bestehen nach Ansicht der EU-Kommission im Lichte fortschreitender Digitalisierung noch Verbesserungsmöglichkeiten. Durch eine Verordnung für einen fairen Zugang zu Daten und deren Nutzung soll ein Binnenmarkt für Daten entstehen, auf dem Startups sowie kleine und mittlere Unternehmen zu privilegierten Bedingungen ihre Dienste anbieten können. Dazu soll festgelegt werden, wer aus Daten Wert schöpfen, und zu welchen Kosten und Vertragsbedingungen mit den Daten Handel getrieben werden kann. Grundlage soll der am 23. Februar 2022 veröffentlichte Verordnungsentwurf („Datengesetz-E“) werden, der später durch weitere Verordnungen zu bestimmten Datenräumen ergänzt werden soll.
Das Datengesetz soll die rechtssichere Verwertung von Daten für jedermann ermöglichen. Dafür enthält die Verordnung Vorschriften zur Regelung der Beziehungen der verschiedenen Akteure auf dem Datenbinnenmarkt sowie Regelungen zur internationalen Datenübertragung, zu Cloudswitching, zur Interoperabilität von Daten und von Prozessen zur Datenteilung.
Nach dem Datengesetz-E finden die darin enthaltenen Regelungen sowohl Anwendung auf die Hersteller von vernetzten und in der Union in Verkehr gebrachten Produkten und auf die Anbieter damit verbundener Dienstleistungen, als auch auf die Nutzer dieser Produkte oder Dienstleistungen. Aber auch anknüpfend an Daten werden Dateninhaber, welche Daten an Datenempfänger in der Europäischen Union weitergeben, Datenempfänger in der Union, denen Daten zur Verfügung gestellt werden, und Datenverarbeitungsdienste, welche ihre Dienste Kunden in der Union anbieten, umfasst.
Der Datengesetz-E enthält weitere Vorschriften für öffentliche Stellen und Organe, Agenturen oder Einrichtungen der Europäischen Union, welche Dateninhaber unter bestimmten Voraussetzungen auffordern können, ihnen Daten zur Verfügung zu stellen. Der Begriff der Daten ist sehr weit gefasst. Es werden jegliche digitalen Darstellungen von Handlungen, Tatsachen oder Informationen sowie jede Vermengung dieser Handlungen, Tatsachen oder Informationen, auch in Form von Ton, Bild oder audiovisuellen Aufzeichnungen erfasst.
Produkte und damit verbundene Dienstleistungen sollen derart gestaltet werden, dass der Zugang zu dadurch generierten Daten möglichst unkompliziert ist. Vor Abschluss eines Vertrages sind Nutzer darüber zu informieren, welche Daten durch die Nutzung von Produkten oder digitalen Diensten produziert werden können und ob die Generierung von Daten dauerhaft und in Echtzeit erfolgt. Außerdem ist der Inhaber der Daten dazu verpflichtet dem Nutzer mitzuteilen, ob und wenn ja, wie er die Daten selbst verwendet. Schließlich muss der Nutzer darauf hingewiesen werden, wie er auf die Daten zugreifen kann und sie selbst nutzen bzw. weitergeben kann.
Zentral ist das Zugangsrecht der Nutzer. Danach können Nutzer (soweit ein Zugriff auf die generierten Daten nicht direkt möglich ist) vom Dateninhaber die unverzügliche, kostenlose Zugänglichmachung verlangen. Weiter dürfen die freigegebenen Daten nicht dazu verwendet werden, Konkurrenzprodukte zu entwickeln. Der Dateninhaber wiederum darf die Daten nur innerhalb des vertraglich abgesprochenen Rahmens nutzen.
Auf Anfrage der Nutzer müssen Daten auch unverzüglich und kostenlos an Dritte weitergegeben werden. Ausgeschlossen ist die Teilung von Daten mit einem sogenannten „Gatekeeper“. Dies betrifft große Internetunternehmen wie etwa Google, Amazon und Facebook. Diese hingegen sind ihrerseits nicht von der Teilung dieser Daten ausgeschlossen. Damit soll verhindert werden, dass sie ihre Vormachtstellung im Internet auch auf den Datenbinnenmarkt ausweiten. Um Geschäftsgeheimnisse zu sichern, können Dateninhaber und Nutzer bestimmte Vereinbarungen in Bezug auf die Teilung der Daten mit Dritten treffen. Der Dritte, der die Daten erhalten hat, darf diese nur auf die Art und Weise verwerten, wie vertraglich mit dem Nutzer vereinbart worden ist.
Schließlich sind Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU) von den oben genannten Verpflichtungen ausgeschlossen, es sei denn sie sind von anderen Großunternehmen abhängig. Zu Kleinstunternehmen und KMU zählen Unternehmen, welche nicht mehr als 49 Beschäftigte haben und einen Jahresumsatz von höchstens EUR 10 Mio. erwirtschaftet oder eine Bilanzsumme von max. EUR 10 Mio. aufweisen.
Der Datengesetz-E enthält weiter allgemeine Bedingungen für die Bereitstellung von Daten durch einen hierzu nach dem Datengesetz-E, EU-Recht oder nationalen Gesetz verpflichteten Dateninhaber. Die Bereitstellung hat unter fairen, angemessenen und nichtdiskriminierenden Voraussetzungen sowie unter Wahrung von größtmöglicher Transparenz zu erfolgen.
Ferner sollen Dateninhaber und Datenempfänger die Bedingungen für die Bereitstellung der Daten vertraglich festlegen. Dabei sind unfaire Vertragsklauseln zu Datenzugang und -nutzung gegenüber Kleinstunternehmen und KMU laut des Datengesetz-E als stets unwirksam zu betrachten. Unwirksam sind Vertragsklauseln zum Beispiel bei einem generellen Gewährleistungsausschluss. Aber auch die einseitige Auferlegung von Klauseln zu Datenzugang und Datennutzung, die berechtigte Interessen der anderen Vertragspartei beeinträchtigen, ist unwirksam. Wird eine Diskriminierung behauptet, liegt es an dem Verwender der Vertragsklauseln, deren Fairness zu beweisen.
Weiterhin ist der Dateninhaber dazu berechtigt, geeignete Schutzmaßnahmen gegen einen unbefugten Zugriff auf geteilte Daten zu ergreifen. Bei unbefugter Verwendung oder Weitergabe von Daten ist der Datenempfänger dazu verpflichtet, diese umgehend zu vernichten.
Für öffentliche Stellen sowohl auf europäischer als auch auf nationaler und lokaler Ebene wird ein Rechtsrahmen geschaffen, der ihnen bei Bestehen eines „außergewöhnlichen Bedarfs“ die Möglichkeit gibt, die Herausgabe von Daten von Dateninhabern zu verlangen. Art. 15 listet Umstände auf, unter denen ein solcher Bedarf angenommen werden kann. Dies ist unter anderem der Fall, wenn die Daten notwendig sind, um auf öffentliche Notfälle wie Naturkatastrophen, Terroranschläge oder auch die Corona-Pandemie zu reagieren. Das Verlangen der öffentlichen Stelle muss dabei in einem angemessenen Verhältnis zum außergewöhnlichen Bedarf stehen und sich, soweit möglich, auf nicht personenbezogene Daten beschränken. Wenn die öffentliche Stelle die Daten weiter überträgt oder öffentlich verfügbar macht, muss dies dem Dateninhaber mitgeteilt werden.
Der Dateninhaber muss die Daten unverzüglich bereitstellen. Liegen öffentliche Notfälle dem Verlangen auf Herausgabe zugrunde, erhält der Dateninhaber keine Entschädigung. In den anderen Fällen ist eine Entschädigung des Dateninhabers auf die technischen und organisatorischen Kosten für die Herausgabe zuzüglich einer angemessenen Kompensation beschränkt. Die Berechnungsgrundlagen für diese angemessene Kompensation sind auf Verlangen offenzulegen. Die angemessene Kompensation bestimmt sich nach dem marktüblichen Gewinnanteil. Dessen Höhe wird sich erst nach einer Marktuntersuchung festlegen lassen; Erfahrungswerte aus dem Kartellrecht lassen Werte von 5-10 % des Umsatzes erwarten.
Zudem dürfen die Daten von den öffentlichen Stellen an andere öffentliche Stellen und für die wissenschaftliche Forschung, insbesondere die Statistik, weitergegeben werden. Bei einer Weitergabe an andere öffentliche Stellen wird der Inhaber auch in Kenntnis gesetzt. Die empfangende Stelle muss den Zweck beachten, für den die Daten ursprünglich herausgegeben worden sind.
Eines der wesentlichen Ziele des Datengesetz-E ist die Erleichterung des Wechsels von Kunden von Cloud-, Edge- oder ähnlichen Datenverarbeitungsanbietern zu anderen Datenverarbeitungsarchitekturen oder -anbietern. Damit sollen kommerzielle, technische, vertragliche und organisatorische Hindernisse abgebaut werden, welche Unternehmen bisher von einem Wechsel der Cloudanbieter abhalten.
Dabei wird vom bisherigen, auf Freiwilligkeit basierenden Regulierungsansatz abgesehen und es werden erstmals verbindliche regulatorische Anordnungen getroffen. Der Datengesetz-E schreibt zwar unmittelbar keine spezifischen technischen Standards oder Schnittstellen vor, aber er verlangt, dass Dienste – wo verfügbar - mit offenen Standards und Schnittstellen kompatibel sein müssen. Dies soll die Interoperabilität zwischen den Diensten erhöhen. Der Datengesetz-E sieht auch vor, dass die EU-Kommission eine oder mehrere Normungsorganisationen mit der Ausarbeitung europäischer Standards für bestimmte Arten von Datenverarbeitungsdiensten beauftragen kann. Sollten keine Standards entstehen oder sollten diese von der EU-Kommission als ungeeignet angesehen werden, kann die Kommission auch Interoperabilitätsstandards durch eine delegierte Verordnung festlegen.
Eine besondere praktische Bedeutung dürfte auch die Befugnis der EU-Kommission erlangen, für die verschiedenen Datenräume der EU die technischen Spezifikationen festzulegen. Damit würden Daten von vorneherein in einem Format gespeichert und Standards etabliert, die eine Interoperabilität mittelfristig weiter erleichtern könnten.
Der Datengesetz-E enthält auch vertragliche Vorgaben, welche erhebliche Auswirkungen auf den jetzigen Cloud-Markt haben dürften. So wird eine maximale Kündigungsfrist von 30 Tagen vorgeschrieben. Langfristige Kundenbindungen, welche für die Umsatzrealisierung (Revenue Recognition) vieler Cloud-Anbieter essenziell sind, werden damit abgeschafft.
Zudem muss der Wechsel zwischen Anbietern in ebenfalls maximal 30 Tagen durchgeführt werden und während des Wechsels muss der Anbieter die Verfügbarkeit der Dienste garantieren. Nur bei technisch schwer zu realisierenden Wechseln kann die Frist für die Durchführung auf 6 Monate verlängert werden. Nach erfolgtem Wechsel muss dem Unternehmen beim neuen Anbieter ein Mindestmaß an Funktionalität (funktionale Äquivalenz) zur Verfügung stehen.
Die Gebühren für einen Wechsel werden erst auf ein reduziertes Maß, welches nur die tatsächlich anfallenden Kosten für den Wechsel umfasst, beschränkt. In einem zweiten Schritt sollen die Dateninhaber drei Jahre nach Inkrafttreten des Datengesetz-E gar keine Gebühren mehr verlangen dürfen.
Der Datengesetz-E schreibt zudem vor, dass die Datenverarbeitungsdienste alle angemessenen technischen, rechtlichen und organisatorischen Maßnahmen treffen müssen, um einen internationalen Transfer von nicht personenbezogenen Daten oder den Zugriff von Drittländern auf diese zu verhindern, wenn dies europäisches oder nationales Recht der Mitgliedsstaaten verletzt. Wenn ein Drittland nicht personenbezogene Daten aus der Union auf irgendeine Art nutzen möchte, kann dies nur auf Basis eines internationalen Abkommens geschehen. Ist kein solches Abkommen vorhanden, kann nur unter bestimmten Voraussetzungen ein Datentransfer aus der Union in ein Drittland stattfinden.
Wohl mit Blick auf die durch die DSGVO ausgelösten Unsicherheiten im Umgang mit Drittstaaten sollen die Unternehmen nach einer Anfrage eine zuständige Behörde um eine Entscheidung ersuchen können um herauszufinden, ob eine Datenübertragung zulässig ist. Weiterhin soll die EU-Kommission Leitlinien erarbeiten, die eine Bewertung der Zulässigkeit erleichtern sollen.
Die EU-Kommission hat mit dem Datengesetz-E einen weiteren grundlegenden Baustein für die europäische Daten-Strategie vorgestellt. Daten sind als Grundlage für viele neue digitale Produkte und Dienstleistungen einer der großen Wachstumstreiber in Zukunft. Mit dem Datengesetz hat die EU-Kommission nun die Grundlage vorgestellt, mit welcher Europa auf diesem Markt der Zukunft eine Vorreiterstellung einnehmen will. Gleichzeitig bedeutet der Entwurf für Unternehmen eine große Herausforderung, da eine grundlegende Umstellung bei der Erhebung, Erstellung und Weitergabe der Daten durchgeführt werden muss.
Stephanie Richter and Gabriel Drewek look at the draft Data Act which is intended to unlock industrial data, clarifying who can create value from data and under what conditions.
25. February 2022
von Stephanie Richter, LL.M. (Torino), CIPP/E, Gabriel Danyeli, LL.M. (Köln/Istanbul Bilgi)
Debbie Heywood and Alex Walton look at EU and UK proposals to tackle the big data advantage of the major digital players.
1. May 2022
von Debbie Heywood
There's a lot going on in the data and digital space in terms of incoming EU legislation. Here is a summary of key proposals which will impact the use of data (personal and non-personal) and likely timelines, as at 10 May 2022.
17. May 2022
Anna Taylor and Jo Joyce look at the data sharing requirements for the proposed pensions dashboard and resulting data protection considerations.
17. May 2022
von Anna Taylor, Jo Joyce
Debbie Heywood looks at the recently announced draft Trans-Atlantic Data Privacy Framework to facilitate frictionless EU-US data flows – what does this mean for the UK?
13. April 2022
von Debbie Heywood
Miles Harmsworth looks at the ICO's Code of Practice on data sharing.
1. May 2022
von Miles Harmsworth