Vielfältige Wünsche der Wirtschaft an den Rechtsrahmen für Datennutzung

Die Europäische Kommission bereitet derzeit eine Gesetzesinitiative vor, bekannt als sog. „Data Act“, der den Austausch, Zugang und die Nutzung von Daten zwischen Unternehmen und Behörden erleichtern soll. Parallel sollen die Vorschriften zum rechtlichen Schutz von Datenbanken überprüft werden. Als Teil dieser Gesetzesinitiative hat die Kommission eine öffentliche Konsultation durchgeführt, um interessierten Kreisen die Gelegenheit zur Stellungnahmezu dieser Gesetzesinitiative geben. Die Europäische Kommission hat die Antworten auf ihre Konsultation zum vorgeschlagenen Data Act und der Überarbeitung der Datenbankrichtlinie nun ausgewertet und veröffentlicht. Ein Entwurf soll laut Planung noch 2021 veröffentlicht werden.

Ausweislich der Antworten sind sich die Unternehmen weitgehend darüber im Klaren, dass es derzeit sowohl technische als auch rechtliche Hindernisse für diese Art des Datenaustauschs gibt.

Der Data Act wird neben dem Data Governance Act stehen, der das Vertrauen in den Datenaustausch fördern und die gemeinsame Nutzung von Daten sektorübergreifend zwischen Mitgliedstaaten erleichtern soll. Die Europäische Kommission plant außerdem, die Datenbankrichtlinie zu überprüfen und erforderlichenfalls zu aktualisieren.

Was wollte die Kommission von den Unternehmen wissen?

Die Kommission hat zu ihrem Vorhaben die Meinung der Öffentlichkeit eingeholt. Fragen wurden zu folgenden Aspekten gestellt und ausgewertet:

1. Gemeinsame Nutzung von Daten zwischen Unternehmen und Behörden im öffentlichen Interesse
2. Gemeinsame Nutzung von Daten zwischen Unternehmen (Business- to-Business)
3. Werkzeuge für den Datenaustausch: intelligente Verträge
4. Klärung der Rechte an nicht-personenbezogenen Internet- of-Things-Daten, die aus der beruflichen Nutzung stammen
5. Verbesserung der Portabilität für geschäftliche Nutzer von Cloud-Diensten
6. Ergänzung des Rechts auf Datenübertragbarkeit gemäß Artikel 20 DSGVO
7. Rechte des geistigen Eigentums - Schutz von Datenbanken
8. Garantien für nicht-personenbezogene Daten in internationalen Zusammenhängen

Welche Erwartungen haben die Unternehmen an den Data Act und das Datenbankrecht?

Als Hauptfaktoren, die einen Austausch von Daten zwischen Unternehmen und Behörden derzeit behindern, nannten die Befragten Rechtsunsicherheit aufgrund unterschiedlicher Vorschriften in den Mitgliedstaaten (68 % Zustimmung), rechtliche Hindernisse für die Nutzung von Unternehmensdaten im öffentlichen Interesse, einschließlich Wettbewerbsvorschriften (67 %), kommerzielle Hemmnisse/fehlende Anreize (67 %), Fehlen einer geeigneten Infrastruktur und Kosten für die Bereitstellung oder Verarbeitung solcher Daten (z. B. Interoperabilitätsprobleme) (67 %), mangelndes Bewusstsein (Vorteile, verfügbare Datensätze) (66 %) und fehlende Garantien, die sicherstellen, dass die Daten nur für den im öffentlichen Interesse liegenden Zweck verwendet werden, für den sie angefordert wurden (63 %).

Für den Datenaustausch zwischen Unternehmen (z.B. zwischen Krankenhäusern und Arztpraxen) stellen technische Probleme (Format und fehlende Standards) und rechtliche Hindernisse (z.B. fehlende Befugnis zur Weitergabe; keine Weitergabe wettbewerbssensibler Daten) die meistgenannten Probleme dar. Viele - insbesondere kleine - Unternehmen wünschen sich daher Modellverträge und einen Fairnesstest. Von der Kommission entwickelte Modellverträge sollen den Unternehmen ein Muster für Datentauschverträge an die Hand geben. Der Fairnesstest soll eine faire Verteilung der Daten zwischen den Vertragspartnern gewährleisten, indem unfairen einseitigen Regelungen die Wirkung versagt werden soll. Sie wünschen sich auch, dass der Data Act die horizontalen Datenweitergabe sektorübergreifend harmonisiert und nur bei Bedarf noch sektorspezifische Regelungen gelten sollen.

Mittel der Wahl für die praktische wie rechtliche Umsetzung des Datenzugangs und der Datennutzung sind intelligente Verträge/Smart Contracts. Im Blick sind namentlich gemeinsam erzeugte IoT-Daten. Hier wird eine Klarheit der Regelungen in Bezug auf Datenzugangsrechte angemahnt. Smart Contracts seien aber auch ein Instrument der Datenübertragungen von Unternehmen an Einzelpersonen. Freilich dürfte dies auch in die umgekehrte Richtung funktionieren: So sollen nach Ansicht der befragten Hersteller die Nutzer von IoT-Geräten gemeinsam entscheiden, was mit ihren Daten geschehe. Ob und wie die „gemeinsame Verantwortung“ bei personenbezogenen Daten mit der DSGVO in Einklang gebracht werden soll, wird eine wichtige Regelung im Entwurf sein.

Hinsichtlich der Datenübertragung nach Art. 20 DSGVO wünschen sich die Unternehmen klarere Regelungen zur Interoperabilität der Daten, für die in den Anwendungsbereich fallenden Datentypen und die Identifizierungsmethoden für die berechtigten Personen.

Das Datenbankrecht „sui generis“ ist nach Meinung der Befragten überarbeitungsbedürftig. Die größte Schwierigkeit im Zusammenhang mit dem Zugang und der Nutzung von Daten war die mangelnde Klarheit über die Anwendung des „sui generis“-Rechts, insbesondere dessen Anwendbarkeit auf von Maschinen erzeugte Daten.

Die Befragung hat gezeigt, dass die SWIPO-Verhaltenskodizes außerhalb der IT-Branche faktisch unbekannt sind. Diese sollten daher besser bekannt gemacht werden: Das von der EU-Kommission auf Basis von Art. 6 Verordnung (EU) 2018/1807 aufgesetzte „SWIPO“-Projekt, hat erst 2020 die von Cloud-Service-Anbietern und Cloud-Nutzern gemeinsam erarbeiteten Verhaltenskodizes „Infrastructure- as-a-Service“ und „Software-as-a-Service“ im Rahmen dieses Projekts veröffentlicht. Beide Kodizes sollen dabei helfen, einen „Vendor Lock-in“ zu verhindern.

Gewünscht wird ein Portabilitätsrecht auch für gewerbliche Nutzer von Cloud-Computing-Diensten. Die Meinungen, ob dies verbindlich geregelt werden sollte, gehen zwischen Unternehmen, die dies befürworten, und Behörden und Wissenschaft, die dies skeptischer sehen, auseinander. Einigkeit besteht insoweit, dass eine solche Regelung jedenfalls Sektor übergreifend ausgestaltet sein sollte.

Was die Normung betrifft, so halten 51 % die Entwicklung von Standard-APIs, offene Standards und interoperable Datenformate im Rahmen eines legislativen Ansatzes für die Übertragbarkeit von Cloud-Diensten für sinnvoll.

Was schließlich das Thema Schutzmaßnahmen für nicht personenbezogene Daten im internationalen Kontext betrifft, so sehen drei von vier der befragten Unternehmensorganisationen und Verbände den potenziellen Zugriff ausländischer Behörden auf Daten auf der Grundlage ausländischer Rechtsvorschriften als Risiko für ihre Organisation an, darunter 19 %, die dies als hohes Risiko betrachten. Dieser potenzielle Zugang zu Daten führt nach weit überwiegender Ansicht zu einer möglichen Offenlegung von Geschäftsgeheimnissen oder vertraulichen Geschäftsinformationen.