Der Data Act – Neues Datengesetz der EU-Kommission und Auswirkungen für Unternehmen

Die EU-Kommission hat am 23. Februar 2022 ihren Entwurf einer neuen Verordnung zur Regelung des fairen Zugangs zu und der Nutzung von Daten („Data Act“) vorgestellt. Der Data Act soll neben dem Data Governance Act die zweite Säule einer neuen europäischen Datenstrategie einnehmen. Ziel ist es, durch neue Regelungen das wirtschaftliche Potential der immer größer werdenden Datenmenge besser zu nutzen.

Technische, rechtliche aber auch rein organisatorische Hindernisse stehen der Ausschöpfung des vollen Potentials der Datenwirtschaft bisher im Weg. Und dieses Potential ist alleine in Europa gewaltig: Prognosen zufolge werden die Datenströme der europäischen Unternehmen im Jahr 2030 fünfzehnmal größer sein, als noch im Jahr 2020 (vgl. Studie der EU-Kommission zur Quantifizierung der Datenströme in Europa „Study on Mapping Data Flows – Final Report“, veröffentlicht am 3. Februar 2022). Die wirtschaftliche Gesamtleistung des „Internet of Things" („IoT“) wird 2030 auf 5 bis 11 Billionen Euro geschätzt (vgl. Factsheet der EU-Kommission zum Data Act vom 23. Februar 2022).

In sieben Kapiteln enthält der Entwurf des Data Acts unter anderem Regelungen zum Datenaustausch zwischen den Akteuren, zur Bereitstellung von Daten, zu unfairen Vertragsklauseln sowie zur Interoperabilität und zum Wechsel von Datenverarbeitungsdiensten.

1. Anwendungsbereich (Art. 1)

Definition von Daten

• Dem Entwurf des Data Acts liegt ein sehr weiter Begriff von Daten zugrunde. Es werden jegliche digitalen Darstellungen von Handlungen, Tatsachen oder Informationen sowie jede Vermengung dieser Handlungen, Tatsachen oder Informationen, auch in Form von Ton, Bild oder audiovisuellen Aufzeichnungen erfasst.

Hersteller von Produkten und Anbieter damit verbundener Dienstleistungen 

• Die Regelungen des Entwurfs des Data Acts sollen sowohl auf die Hersteller von vernetzten und in der EU in Verkehr gebrachten Produkten als auch auf die Anbieter damit verbundener Dienstleistungen sowie Nutzer der Produkte und Dienstleistungen anwendbar sein. 
• Darüber hinaus werden aber auch all diejenigen erfasst, die Daten austauschen und dabei einen Bezug zur EU haben – beispielsweise auch Dateninhaber mit Sitz in der Europäischen Union und solche aus Drittstaaten, die Daten an Empfänger in der EU weitergeben sowie Datenverarbeitungsdienste, die ihre Dienste Kunden in der EU anbieten.

Beschränkung auf physische Produkte

• Allerdings soll der Anwendungsbereich auf physische Produkte beschränkt sein, welche durch ihre Funktionen Daten sammeln und diese eigenständig über einen elektronischen Kommunikationsdienst übermitteln. Andere Produkte, wie zum Beispiel Tablets oder Smartphones, welche in erster Linie zur Anzeige oder Wiedergabe von Inhalten oder zur Aufzeichnung und Übertragung von Inhalten, unter anderem für die Nutzung durch einen Online-Dienst bestimmt sind, sollen vom Anwendungsbereich ausgenommen werden. 
• Der Ausschluss rein digital ausgerichteter Produkte wirkt vor dem allgegenwärtigen Thema der Digitalisierung widersprüchlich. Denn gerade hier dürften typischerweise sehr große Mengen an Daten erzeugt werden. In der praktischen Umsetzung würde dies bedeuten, dass zum Beispiel ein Plattenspieler, welcher Daten über die Hörvorlieben seiner Nutzer sammelt, vom Anwendungsbereich erfasst wäre, während ein rein online angebotener Streaming-Service außen vor bliebe.

Schwierigkeiten in der Praxis

• Unternehmen stehen hierbei vor der Herausforderung zu beurteilen, ob ihre Produkte vom Anwendungsbereich des Entwurfs des Data Acts umfasst sind. Insoweit ist dringend eine frühzeitige Auseinandersetzung hiermit geboten. Auch aufgrund der Vielzahl an Produkten mit unterschiedlichen technischen Möglichkeiten und der teilweisen nur nuancenhaften Unterscheidbarkeit dieser, wird die Beurteilung der Eröffnung des Anwendungsbereichs nicht immer einfach zu beurteilen sein.

2. Privilegierung von Kleinst- sowie kleinerer und mittlerer Unternehmen (Art. 7)

• Eines der wichtigsten Regelungsziele des Entwurfs des Data Acts ist es, eine gerechte Verteilung der Werte der Daten zu erreichen. Hierfür sieht der Entwurf eine Privilegierung von Kleinst- sowie kleineren und mittleren Unternehmen vor und nimmt diese von vielen der geplanten Regelungen aus.
• Zu Kleinstunternehmen sowie kleinen und mittleren Unternehmen zählen Unternehmen, welche nicht mehr als 49 Beschäftigte haben und einen Jahresumsatz von höchstens EUR 10 Mio. erwirtschaften oder eine Bilanzsumme von max. EUR 10 Mio. aufweisen. 
• Die Privilegierung soll jedoch wiederum nicht für solche Unternehmen gelten, welche mit einem Großunternehmen verbunden oder von einem solchen zum Beispiel im Rahmen einer Partnerschaft abhängig sind. 
• Die Auswirkungen dieser Privilegierung dürften enorm sein. So zählen allein in Deutschland rund 99,4% der Unternehmen als Kleinst-, kleineres oder mittleres Unternehmen, so dass viele Unternehmen von den nachfolgend dargestellten Regelungen des Entwurfs des Data Acts profitieren dürften, während vor allem die Großunternehmen verpflichtet werden.

3. Zugangsrecht und Produktgestaltung (Art. 3, Art. 4)

Gewährung von Zugang

• Großunternehmen sollen nach dem Entwurf des Data Acts verpflichtet sein, Produkte und damit verbundene Dienstleistungen derart zu gestalten, dass der Zugang für Nutzer zu den durch sie generierten Daten möglichst unkompliziert ist. Daneben sollen Nutzer – soweit ein Zugriff auf die generierten Daten nicht direkt möglich ist – vom Dateninhaber die unverzügliche und kostenlose Zugänglichmachung der Daten verlangen können. Unternehmensinteressen würden nur insoweit geschützt, als Nutzer die freigegebenen Daten nicht dazu verwenden dürfen, Konkurrenzprodukte zu entwickeln.
• Die Zugänglichmachung von personenbezogenen Daten gegenüber Nutzern, die nicht selbst Betroffene sind, wird an das Erfordernis einer Rechtsgrundlage (Art. 6 DSGVO, Art. 9 DSGVO) geknüpft. Nicht-personenbezogene Daten sind streng entsprechend der vertraglichen Vereinbarung mit dem Nutzer zu verwenden, wobei eine Verwendung zur Ausforschung der Nutzer hinsichtlich deren Vermögen und wirtschaftlicher Lage, verboten ist. Unternehmen müssen folglich unter Beachtung des anwendbaren Datenschutzrechts entsprechende Prozesse zur Umsetzung des Zugangsrechts implementieren.

Informationspflichten 

• Zudem sind Nutzer vor Abschluss eines Vertrages über den Kauf, die Miete oder das Leasing eines Produkts oder einer damit verbundenen Dienstleistung umfangreich über die Nutzung der durch sie generierten Daten zu informieren. 

• Hierzu zählt insbesondere eine Information darüber,
  • welche Daten und in welchem Umfang diese durch die Nutzung von Produkten oder digitalen Diensten generiert werden,
  • ob die Generierung von Daten dauerhaft und in Echtzeit erfolgt,
  • wie der Nutzer auf die Daten zugreifen kann,
  • ob und für welche Zwecke die Daten durch den Hersteller des Produkts oder den Anbietern der damit verbundenen Dienstleistung selbst verwendet werden oder ob einem Dritten die Verwendung der Daten gestattet wird, und wenn ja, für welche Zwecke dieser die Daten verwendet,
  • wie mit dem Dateninhaber Kontakt aufgenommen werden kann und
  • wie Nutzer auf ihre Daten zugreifen, diese nutzen und weitergeben können.
• Der Entwurf des Data Acts privilegierte Kleinstunternehmen sowie kleinere und mittlere Unternehmen auch bezüglich der in Verträgen getroffenen Bedingungen für die Bereitstellung der Daten. So sind Vertragsklauseln zu Datenzugang und -nutzung, die einem dieser privilegierten Unternehmen einseitig auferlegt werden, für diese nicht verbindlich, wenn sie missbräuchlich sind.
• Eine Vertragsklausel ist missbräuchlich, wenn sie so beschaffen ist, dass ihre Verwendung in grober Weise von der guten kaufmännischen Praxis des Datenzugangs und der Datennutzung abweicht oder gegen Treu und Glauben oder gegen die guten Sitten verstößt. Dies ist zum Beispiel bei einem generellen Gewährleistungsausschluss der Fall. 
• Der Entwurf des Data Acts enthält hier klare Bestimmungen dahingehend, welche vertraglichen Regelungen als missbräuchliche Vertragsklauseln anzusehen sind. 
• Da im Falle einer behaupteten Diskriminierung der Verwender missbräuchlicher Klauseln die Beweislast dafür trägt, dass die Klausel nicht einseitig auferlegt worden ist, sollten Unternehmen bei der Vertragsgestaltung für Datenzugang und Datennutzung hierauf ein besonderes Augenmerk legen.

4. Vereinfachter Wechsel von Cloud-Anbietern und erhöhte Interoperabilität (Art. 23 - 26)

Ein weiterer wesentlicher Schritt zur Schaffung und Stärkung des europäischen Datenmarktes ist die Förderung von mehr Wettbewerb. Bislang gestaltet sich für Unternehmen der Wechsel von Cloud-, Edge- oder ähnlichen Datenverarbeitungsdiensten aufgrund kommerzieller, technischer, vertraglicher oder auch organisatorischer Hindernisse meist schwierig. 

Viele Nutzer sehen von einem Wechsel des Anbieters ab, da eine durchgehende Verfügbarkeit der Dienste während des Wechsels nicht garantiert ist, die Übertragung zwischen den Diensten aufwendig ist und großer Anpassungen auf Unternehmensseite bedarf. Dadurch geht ein Wechsel bisher meist mit hohen Kosten einher.

Festlegung europäischer Standards

• Um dieser Problematik zu begegnen, benennt der Entwurf des Data Acts erstmals verbindliche regulatorische Vorgaben. Zwar werden unmittelbar keine spezifischen technischen Standards oder Schnittstellen vorgeschrieben. Der Entwurf des Data Acts verlangt jedoch, dass Dienste – wo verfügbar – mit offenen Standards und Schnittstellen kompatibel sein müssen. Dies soll die Interoperabilität zwischen den Diensten erhöhen. 
• Die EU-Kommission kann auch eine oder mehrere Normungsorganisationen mit der Ausarbeitung europäischer Standards für bestimmte Arten von Datenverarbeitungsdiensten beauftragen. Sollten keine Standards entstehen oder sollten diese von der EU-Kommission als ungeeignet angesehen werden, kann die Kommission selbst auch Interoperabilitätsstandards durch eine delegierte Verordnung festlegen.
• Eine besondere praktische Bedeutung dürfte auch die Befugnis der EU-Kommission erlangen, für die verschiedenen Datenräume der EU die technischen Spezifikationen festzulegen. Damit würden Daten von vornherein in einem Format gespeichert und Standards etabliert, die eine Interoperabilität mittelfristig weiter erhöhen könnten.

Zeitliche Vorgaben zum Wechsel von Cloud-Anbietern

• Der Entwurf des Data Acts enthält darüber hinaus auch konkrete vertragliche Vorgaben, welche erhebliche Auswirkungen auf den jetzigen Cloud-Markt haben dürften. So wird eine maximale Kündigungsfrist von 30 Tagen vorgeschrieben. Damit werden langfristige Kundenbindungen, welche für die Umsatzrealisierung („Revenue Recognition“) vieler Cloud-Anbieter essenziell sind, abgeschafft.
• Zudem muss der Wechsel zwischen Anbietern in ebenfalls maximal 30 Tagen durchgeführt werden und während des Wechsels muss der Anbieter die Verfügbarkeit der Dienste garantieren. Nur bei technisch schwer zu realisierenden Wechseln kann die Frist für die Durchführung auf 6 Monate verlängert werden. Nach erfolgtem Wechsel muss dem Unternehmen beim neuen Anbieter ein Mindestmaß an Funktionalität („funktionale Äquivalenz“) zur Verfügung stehen.

Regelung zu Gebühren für den Anbieterwechsel

• Auch hinsichtlich der Gebühren für einen Wechsel trifft der Entwurf des Data Acts Regelungen. Die Kosten für den Wechsel werden in einem ersten Schritt auf ein reduziertes Maß, welches nur die tatsächlich anfallenden Kosten umfasst, beschränkt. 
• In einem zweiten Schritt sollen die Dateninhaber drei Jahre nach Inkrafttreten des Data Act überhaupt keine Gebühren mehr verlangen dürfen.
  Potenzielle Auswirkungen
• Für Datenverarbeitungsdienste bedeuten die Vorgaben aus dem Entwurf eines Data Acts große Veränderungen ihres Geschäftsmodells. Da Kunden zukünftig viel leichter einen Wechsel des Cloud-Anbieters vollziehen können sollen, dürfte auch der Wettbewerb stark zunehmen.
• Daraus folgende Verluste der Cloud-Anbieter spiegeln sich jedoch direkt in dem Kosteneinsparpotenzial auf Unternehmensseite wider, da diese mit zunehmenden Wettbewerb auch günstigere Angebote hoffen dürfen.

5. Fazit

Der von der EU-Kommission vorgestellte Entwurf eines Data Acts dürfte nach der DSGVO zu einem weiteren bedeutenden Umbruch im europäischen Datenmarkt führen. Sollte er in dieser Form verabschiedet werden, wird seine Anwendung in der Praxis zu vielen Herausforderungen führen. Es bleibt dann auch abzuwarten, inwieweit die EU dadurch das von ihr gesteckte Ziel erreichen wird, eine Vorreiterstellung bei der Ausschöpfung des auf dem Markt vorhandenen Datenpotentials einzunehmen.