Auf der Jagd nach dem europäischen Datenschatz

Dieses Internet der Dinge besteht aus einem Netzwerk der mit dem Internet verbundenen Gegenständen – von Mobiltelefonen, Waschmaschinen, Fahrzeugen bis hin zu Flugzeugen oder Ölplattformen. Alle eingebetteten Sensordaten zur zentralen Verarbeitung werden meist in die Cloud übermittelt. Jedoch werden nicht alle verwertbaren Erkenntnisse, die wir aus der Analyse dieser Daten ziehen könnten (und vor allem die, die unter anderem, für die nachhaltige Entwicklung erforderlich sind), im EU-Binnenmarkt auch in ausreichendem Maße genutzt. Der Verwender vernetzter Maschinen erhält nicht ohne weiteres Daten über die Leistung und Effizienz der benutzten Geräte  – obwohl er selbst zu ihrer Erzeugung beigetragen hat. Dies führt zu einer de facto Monopolisierung betroffener Daten beim Hersteller^[2].

 

Der Entwurf einer „Data Act“-Verordnung^[3], die von der Kommission am 23. Januar veröffentlicht wurde, verfolgt das Ziel, bei gleichzeitiger Gewährleistung von Schutzmaßnahmen – wie z.B. die Wahrung des Geschäftsge­heim­nisses –das in der EU vorhandene Datenpotenzial voll auszuschöpfen.

  

Abgesehen von Sicherheitsmechanismen zum Schutz vor Datenmissbrauch und unrechtmäßiger Datener­fassung, und bis auf wenige Ausnahmen – nämlich im Automobil-, Banken- und Stromsektor, enthält das Gesetz im Allgemeinen keinerlei Festlegung, zu welcher Nutzung von Daten Wirtschaftsakteure, Unternehmen und Verbraucher überhaupt berechtigt sind.

 

Die europaweite Datenstrategie wird durch die von der Kommissionspräsidentin, Ursula von der Leyen, ange­kündigten politischen Leitlinien für 2019-2024 wieder aufgenommen: Europa muss „den Fluss und die Verwendung von Daten mit dem hohen Schutz der Privatsphäre, Sicherheit und ethischen Normen in Einklang bringen“^[4]. Dieser Ankündigung folgte eine Reihe von EU-Initiativen: der Data Governance Act, das Gesetz über digitale Märkte (DMA), die bestehenden Initiativen wie das Gesetz über digitale Dienste (DSA), ein Artificial Intelligence Act oder der EU-Gesundheitsdatenraum und schließlich der EU Data Act. Letztgenannter ist umso wichtiger, als er eine Vielzahl von Akteuren betrifft: die Verhältnisse zwischen Unternehmen, zwischen Unternehmen und Verbraucher, zwischen Unternehmen und Staat und zwischen den Anbietern und Nutzern von Cloud-Services.

 

Zwecke dieser Verordnung sind: 

 

Durch die folgenden Schritte sollten so die Hemmschwellen für den Datenaustausch überwunden – oder zumindest erheblich verringert – werden:

  

Die Förderung des Datenaustausches beinhaltet einerseits, das Recht für jeden Nutzer („user“),  natürliche oder juristische Person, Zugang zu den Daten zu haben, zu deren Erzeugung er einen bestimmten Beitrag geleistet hat und andererseits, die Pflicht des Dateninhabers („data holder“) dem Nutzer die Daten zugänglich zu machen – und zwar ohne schuldhaftes Zögern, im Wesentlichen unentgeltlich und gegebenenfalls fort­während und in Echtzeit. Daher soll der Nutzer – vor Vertragsabschluss – ordnungsgemäß über die Art und Weise des Datenzugangs informiert werden, einschließlich den eventuellen beabsichtigten Zwecken der Datenverwendung des Dateninhabers. Außerdem darf der Dateninhaber von dem Nutzer nur essenzielle Nachweise verlangen, um beim Zugang zu Daten seine Eigenschaft als „Nutzer“ zu überprüfen. In der Praxis könnten die entsprechenden Anforderungen eine große Bürde für den Dateninhaber darstellen.

 

Es sei darauf hingewiesen, dass selbst wenn dieser Vorschlag im Wesentlichen keine personenbezogenen Daten betrifft, auch solche in den Geltungsbereich fallen – unbeschadet der dazu bereits bestehenden Vorschriften (z.B. der DSGVO). Doch wie weit reicht das Zugangsrecht? Insbesondere lässt der Data Act Zweifel bei Fällen, bei denen Geschäftsgeheimnisse einem Zugangsrecht entgegenstehen. Die Weitergabe der Daten an Dritte wird Maßnahmen erfordern, die das Recht an solchen Geheimnissen ausreichend berücksichtigen. Art und Umfang dieser Schutzmaßnahmen bleiben abzuwarten. 

 

Aus dem Vorschlag der Kommission außerdem erwähnenswert ist das Verbot der Verwendung unfairer Vertrags­klauseln gegenüber Kleinst-, Klein- und mittleren Unternehmen^[5]. Dabei muss noch geklärt werden, in welchem Verhältnis dieses Verbot zum AGB-Recht steht. Als „unfaire Vertragsklauseln“ sollen solche Klauseln gelten, die erheblich von der üblichen Geschäftspraxis bei Datenzugang und Nutzung abweichen und die gegen die Gebote von Treu und Glauben sowie das Gebot der Fairness verstoßen. Diese Begriffsbestimmung wird durch eine Reihe von Vermutungen, widerlegbare Vermutungen (wie die unangebrachte Beschränkung der Haftung bei Verletzung der Pflichten) und unwiderlegbare Vermutungen (z.B. Haftungsausschluss bzw. Haftungsbegrenzungen für Vorsatz bzw. grobe Fahrlässigkeit) – ergänzt.

 

Das vorgenannte Verbot unfairer Vereinbarungen findet nur Anwendung in Fällen, in welchen die Vertrags­klauseln, einseitig von einem Unternehmen  einem Kleinst-, Klein- und mittleren Unternehmen auferlegt wurden, und die nicht den Vertragshauptgegenstand oder den Preis betreffen.  

 

Um die Unternehmen bei der Erfüllung dieser Anforderungen zu unterstützen, wird die Kommission unver­bindliche Modellvertragsklauseln bereitstellen. Offen bleibt, wie sich dies auf die Verträge auswirkt, die mit anderen Unternehmensgrößen geschlossen werden.

 

Der Entwurf zum Data Act soll neben den vorgenannten Zielen eine Harmonisierung der Datennutzung von öffentlichen Behörden bewirken. Dies gilt sowohl für die EU-Ebene als auch für die Mitgliedstaaten bewirken. Öffentliche Stellen sollen in bestimmten Ausnahmefällen auf Daten zugreifen dürfen. Dabei kommen ähnliche (Not-)Fallkategorien zum Einsatz wie sie bereits aus der Datenschutz-Grundverordnung bekannt sind. 

 

Der Antrag auf Zugang durch öffentliche Stellen muss naturgemäß verhältnismäßig sein – hinsichtlich der Granularität, des Volumens, sowie der Zugriffshäufigkeit der angeforderten Daten. Außerdem sollte er – soweit möglich – Daten ohne Personenbezug betreffen.   

  

Während Cloud-Computing heute hauptsächlich in großen Datenzentren stattfindet, wird sich dieser Trend bis 2025 umkehren: Es wird erwartet, dass 80 Prozent aller Daten in intelligenten Geräten („smart devices“) verarbeitet werden, die sich in unmittelbarer Nähe des Nutzers befinden, was als „edge computing“ bezeichnet wird^[6]. Cloud-Computing-Dienste würden in diesem Szenario nur noch selten in einem einzelnen Mitgliedstaat angeboten, woraus die Notwendigkeit entsteht, einen harmonisierten EU-Rahmen für Datenverarbeitungsdienste zu schaffen.  

 

Der Entwurf des Data Act soll den Wechsel zwischen Datenverarbeitungsdiensten erleichtern, insbesondere durch die Beseitigung von kommerziellen, technischen, vertraglichen oder organisatorischen Hindernissen (sog. „Provider Lock-In“). 

 

Demzufolge sollte der Kunde in der Lage sein:

 

Derartige Wechsel müssen kostenfrei erfolgen können. Auch hier besteht eine Analogie zum Recht auf Datenübertragbarkeit aus der Datenschutz-Grundverordnung.  

 

Mit ihrem Entwurf eines Data Act schlägt die Kommission weitreichende neue Maßnahmen zur Errichtung einer fairen und innovativen Datenwirtschaft vor. Der Data Act nutzt die Gelegenheit, die Rechtsprechung des EuGH^[7] zu erläutern und zu festigen. Denn das sui generis Schutzrecht der Datenbank-Richtlinie greift bisher nicht weit genug, als dass es die Investitionen in die Erstellung einer Datenbank effektiv schützen könnte. Dies betrifft in erster Linie die Investition für die Beschaffung, die Überprüfung und die Darstellung der Datenbank. Gleich­zeitig stellt das sui generis Recht aus der Datenbank-Richtlinie keine Beschränkung der Rechte aus dem Data Act dar. Es wird zu beobachten sein, welche endgültige Fassung des Data Act schließlich umgesetzt wird. Ferner wird es darauf ankommen, ob dieser horizontale Rechtsakt - wie der EU-Kommissar für Binnenmarkt, Thierry Breton, es ausdrückte^[8] – sich als Eckpfeiler für eine starke, innovative und souveräne EU digitale Wirtschaft erweisen wird.