Der Data Act kommt: Einigung im Trilog

18.07.2023

Der Data Act kommt: Einigung im Trilog

Dr. Kristina Schreiber schreibt für unseren Praxis-Newsletter Digitalrecht

Beitrag von Dr. Kristina Schreiber

Im Februar 2022 hat die Europäische Kommission den Entwurf für eine EU-Verordnung mit harmonisierten Vorschriften für einen fairen Datenzugang und eine faire Datennutzung vorgelegt, kurz „Data Act“ (Verfahren 2022/0047 (COD)). Es folgten intensivste Diskussionen, im März 2023 haben dann das Europäische Parlament (EP) und der Rat Änderungen vorgeschlagen. Die grundlegende Struktur des Kommissionsentwurfes ist dabei unverändert geblieben, die Änderungen im Detail waren dennoch bemerkenswert und teils diametral gegensätzlich. Am 27. Juni 2023 kam dann der Durchbruch: Kommission, EP und Rat haben sich im Trilog geeinigt. Damit steht der Data Act informell; derzeit wird der finale Text ausgefertigt und dann müssen noch die formalen Zustimmungen eingeholt werden.

Es ist zu erwarten, dass der Data Act im 2. Halbjahr 2023 im Amtsblatt der EU veröffentlicht werden wird. 20 Tage danach tritt er in Kraft und gilt weitere zwölf Monate später, also voraussichtlich im Herbst 2024 (als EU-Verordnung gilt der Data Act unmittelbar in jedem EU-Mitgliedstaat). Das ist mit Blick auf die enorm weitreichenden Regelungen eine ambitionierte Ziellinie für die von den neuen Regelungen verpflichteten Unternehmen und Grund genug, die wesentlichen Regelungskomplexe in den Blick zu nehmen:

Datenzugang und Datenportabilität

Die wohl fundamentalsten Vorgaben enthält Kapitel II: Dateninhaber – oft die Hersteller vernetzter Produkte – müssen den Nutzern ihrer Produkte Zugang zu den bei der Nutzung erzeugten Daten gewähren. Damit erhält etwa ein Unternehmen, das Roboter eines Herstellers in der Produktion einsetzt, direkten Zugang zu den Nutzungsdaten, aber auch ein Verbraucher erlangt so das Zugriffsrecht auf die Daten, die bei der Nutzung seines Smartphones entstehen. Der Clou für Nutzer und Dritte: Der Datennutzer kann auch eine Übertragung der Daten an einen Dritten verlangen. Diese Chance für neue Anbieter birgt aber auch ein großes Risiko: Es wird befürchtet, dass Geschäftsgeheimnisse der Dateninhaber nicht ausreichend geschützt werden, auch wenn das EP im Trilog noch auf einen verbesserten Schutz hingewirkt hat.

Faire Verträge

Vertragsklauseln in Standardverträgen über die Datennutzung und den Datenzugang dürfen nicht missbräuchlich sein. Die Kommission wollte diesen Schutz nur kleinen und mittleren Unternehmen gewähren, EP und Rat haben sich dagegen für eine Ausweitung und Anwendung auch zugunsten großer Unternehmen ausgesprochen. Das bringt eine neue Vertragskontrolle, die der uns bekannten AGB-Kontrolle letztlich aber sehr ähnlich ist.

Daten für den Schutz der Allgemeinheit

Öffentliche Stellen dürfen künftig auch von privaten Unternehmen die Bereitstellung von Daten verlangen, die für die Bewältigung eines öffentlichen Notstands oder im öffentlichen Interesse benötigt werden. Damit wird eine Anspruchsgrundlage geschaffen für die Anforderung von Informationen, die etwa in der Corona-Pandemie über die Mobilfunkdaten großer Telekommunikationsanbieter dem Staat einen Überblick über (anonyme) Bewegungsströme ermöglicht haben.

Wechsel zwischen Datenverarbeitungsdiensten

Ein großer Wurf ist das Kapitel zum sog. Cloud-Switching: Anbieter von Datenverarbeitungsdiensten müssen den Wechsel zu anderen Diensten technisch einfach und kostengünstig bzw. drei Jahre nach Inkrafttreten des Data Act sogar kostenlos ermöglichen. Die Kommission hatte hier eine derart weite Regelung vorgeschlagen, dass eine übermäßige Belastung kleiner und mittlerer Unternehmen befürchtet wurde. Das EP hat gegengesteuert und eine Begrenzung der Vorgaben auf das erforderliche und im Einzelfall auch zumutbare Maß gefordert. Im Ausgangspunkt sind die Regelungen denn auch überaus hilfreich, um LockIn-Effekte zu vermeiden und die Grundlage für einen lebhaften Wettbewerb zu schaffen.

Interoperabilität

Schließlich bringt der Data Act erstmals umfassende und grundlegende Pflichten zur Interoperabilität von Datenräumen und Datenverarbeitungsdiensten. Damit sollen Hindernisse für eine gemeinsame Datennutzung beseitigt und der intelligente Vertragsschluss vorangetrieben werden.

Chance und Risiko

Unternehmen werden von den Regelungen des Data Act in vielen ihrer Tätigkeitsbereiche betroffen sein. Für Verpflichtete ist das eine enorme Umsetzungsaufgabe, für Begünstigte eine Chance. Ob der Data Act die Datenwirtschaft aber wirklich beflügeln kann, wie er es bezweckt, ist offen: Die Regelungen des Data Act sind oft unklar, sein Verhältnis zu Datenschutz und Geschäftsgeheimnisschutz wirft fundamentale Fragen auf. Eine derartige Rechtsunsicherheit ist erfahrungsgemäß selten Innovationstreiber. Die weitere Konkretisierung und Präzisierung der jetzt kommenden Regelungen auch durch eine stringente Anwendung in der Praxis wird angesichts dessen die große Aufgabe der nächsten Monate und womöglich gar Jahre in der Digitalwirtschaft.

Die Autorin ist Partnerin und Fachanwältin für Verwaltungsrecht in der Kanzlei Loschelder in Köln und betreibt einen Blog zum Thema Digitalisierung und Recht. Sie hat gemeinsam mit Dr. Patrick Pommerening und Philipp Schoel einen Einführungsband zum Data Governance Act verfasst, der im August auch in englischer Sprache als Teil der Kooperationsreihe der Verlage Nomos, C.H.Beck und Hart Publishing erscheint. Die zweite Auflage des Einführungsbandes, die für das kommenden Jahr geplant ist, wird sich auch dem Data Act widmen.