Telemedicus

, von
Drucken

Data Act: Worum geht’s?

Am 27. Juni 2023 haben sich das EU-Parlament, der EU-Rat und die EU-Kommission auf einen gemeinsamen Entwurf des Data Act (DA) geeinigt. Ziel des neuen Gesetzes: Einen europäischen Daten-Wirtschaftsraum schaffen und die Datensouveränität Europas sichern. Aber was heißt das eigentlich?

Der Data Act ist Teil der europäischen Gesetzgebung zu Digitalthemen. Die EU-Kommission hatte im Februar 2020 eine „europäische Datenstrategie“ angekündigt, mit der die EU eine „führende Rolle in der Datenwirtschaft“ erreichen soll. Der Data Act folgt auf drei andere wichtige Digitalgesetze der EU: Den Digital Governance Act (DGA), den Digital Markets Act (DMA) und den Digital Services Act (DSA). Der Data Act soll auf diese aufbauen und sie ergänzen.

Die EU-Kommission hatte einen ersten Entwurf des Data Act im Februar 2022 vorgelegt. Danach haben das EU-Parlament und der EU-Rat jeweils eigene Positionen erarbeitet. Ab März 2023 fanden dann die sog. Trilog-Verhandlungen zwischen EU-Parlament, EU-Rat und EU-Kommission statt. Am 27. Juni haben diese drei Institutionen sich dann auf einen gemeinsamen Entwurf geeinigt.

Der Entwurf ist noch nicht offiziell veröffentlicht, aber es kursieren bereits „geleakte“ Entwürfe. Diese müssen allerdings noch gründlich überarbeitet werden, z.B. zur Anpassung der Nummerierung. Mit einer finalen Verabschiedung des Data Act wird zum Jahresende gerechnet.

Was sind „Daten“ i.S.d. Data Act und wen betrifft der Data Act?

Der Data Act ist ein Gesetz über Daten als Wertgegenstände und Wirtschaftsgüter. Er regelt also nicht den Schutz der Privatsphäre oder von personenbezogenen Daten. Vielmehr soll er eine „Datenökonomie“ in der EU ermöglichen und diese in geordnete Bahnen lenken – so jedenfalls die Vorstellung des EU-Gesetzgebers.

„Daten“ gemäß Art. 2 Nr. 1 DA sind:

Jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material.

Dieses weite Verständnis erfasst sowohl personenbezogene als auch nicht-personenbezogene Daten.

Das ist ein zentraler Unterschied zum Anwendungsbereich der DSGVO. Diese erfasst nur personenbezogene Daten: Das sind Daten, aus denen man einen Bezug zu Menschen herstellen kann, z.B. Name, biologische Merkmale oder ein Online-Benutzername.

Demgegenüber zielt der Data Act auf Daten ab, die von intelligenten und vernetzten Geräten erzeugt werden, und zwar unabhängig von deren Personenbezug. Der Data Act erfasst vor allem Daten aus dem Internet of Things (IoT). Das IoT bezeichnet Geräte, die digital mit der Cloud kommunizieren und Daten austauschen, zum Beispiel vernetzte Autos oder Haushaltsgeräte. Privatpersonen und Unternehmen sollen zu diesen Industriedaten Zugang bekommen und sie nutzen können.

Der Data Act unterscheidet im Wesentlichen drei Gruppen von Akteuren:

  • Nutzer: Dies ist die Person, die das Gerät oder die Dienstleistung in Anspruch nimmt. Durch diese Nutzung produziert das Gerät Daten.
  • Dateninhaber: Dies ist die Person, die die rechtliche oder tatsächliche Kontrolle über die produzierten Daten hat.
  • Datenempfänger: Dies ist die Person, an die der Dateninhaber die Daten bereitstellt.

 

Was wird der Data Act regeln?

Die Inhalte des Data Act sind vielfältig. Er hat ganz verschiedene Regelungsgegenstände:

  • In Kapitel 1 geht es um den Anwendungsbereich und die Definitionen.
  • Kapitel 2 regelt den Datenzugriff und die Datenweitergabe von Unternehmen an Verbraucher (B2C) sowie zwischen Unternehmen (B2B). Wichtig ist vor allem Art. 3 DA: Dieser verpflichtet die Hersteller und Anbieter von intelligenten Geräten dazu, Nutzern Zugang zu den von ihnen produzierten Daten zu ermöglichen. Nach Art. 4 DA haben die Nutzer ein Zugriffsrecht auf die Daten, falls sie diese nicht unmittelbar abrufen können. Zusätzlich können die Nutzer gemäß Art. 5 DA verlangen, dass der Dateninhaber die Daten an einen Dritten weitergibt. Die Parteien müssen jedoch Geschäftsgeheimnisse bewahren und schützen, vgl. Art. 4 Abs. 3 und Art. 5 Abs. 8 DA.
  • Kapitel 3 erläutert die Pflichten der Dateninhaber. Zu beachten sind vor allem Art. 8 und 9 DA, die das Verhältnis zwischen Dateninhabern und Datenempfängern regeln.
  • Kapitel 4 handelt von missbräuchlichen Vertragsklauseln. Diese sind für benachteiligte Unternehmen nicht bindend, vgl. Art. 13 Abs. 1 DA.
  • Kapitel 5 regelt die Bereitstellung von Daten für öffentliche Stellen. Gemäß Art. 14 DA müssen Dateninhaber diesen Stellen Daten übermitteln, falls ein außergewöhnliches Bedürfnis besteht und diese die Daten nicht anders beschaffen können. Ein außergewöhnliches Bedürfnis besteht zum Beispiel bei Naturkatastrophen oder um eine öffentliche Aufgabe erfüllen zu können.
  • Kapitel 6 regelt das sog. Provider Switching: Kunden von Cloud-Anbietern müssen ohne Schwierigkeiten zwischen diesen wechseln können. Hervorzuheben ist Art. 23 DA, der die Cloud-Anbieter verpflichtet, solch einen Wechsel zu ermöglichen.
  • In Kapitel 7 geht es um den Schutz von nicht-personenbezogenen Daten vor dem Zugriff und der Übermittlung durch internationale Behörden. Gemäß Art. 27 Abs. 1 DA müssen Cloud-Anbieter diese Daten schützen. Sie dürfen diese Daten nicht herausgeben, es sei denn, es liegt eine Ausnahme gemäß Art. 27 Abs. 2 oder Abs. 3 DA vor, wie z.B. ein Rechtshilfeabkommen zwischen dem Drittland und der EU.
  • Kapitel 8 bestimmt, dass Datenräume („Data Spaces“) und Cloud-Dienste austauschbar sein müssen. Nach Art. 28 und Art. 29 DA sind die Anbieter von Daten in Data Spaces und Anbieter von Cloud-Diensten die Adressaten der Regelungen. Sie müssen die technischen Voraussetzungen schaffen, damit die anderen Teilnehmer Daten, Data Spaces und Cloud-Dienste gemeinsam nutzen und austauschen können.

Diese Regelungen des Data Act sollen einen europäischen Datenmarkt, eine gerechtere Verteilung der Wertschöpfung aus Daten und datenbasierte Innovationen fördern.

Das Verhältnis zur DSGVO

Der Data Act erfasst sowohl personenbezogene als auch nicht-personenbezogene Daten. Er steht also in einem Konkurrenzverhältnis zur DSGVO, wenn ein Personenbezug besteht. Wie ist dieses Spannungsfeld zwischen dem Datenwirtschaftsrecht (Data Act) und dem Datenschutzrecht (DSGVO) aufzulösen?

Gemäß Art. 1 Abs. 3 DSGVO darf der freie Verkehr personenbezogener Daten „aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“. Dies könnte für einen Vorrang der Datenwirtschaft und damit des Data Act sprechen.

Allerdings stellt Art. 1 Abs. 1 DSGVO den Datenschutz gleichberechtigt neben den freien Datenverkehr. Auch die Erwägungsgründe 9 bis 11 und 13 der DSGVO sehen die beiden Gebiete als gleichwertig an.

Die Regelungen des Data Act gehen über die Gleichrangigkeit hinaus. Laut Erwägungsgrund 7 des Data Act ergänzt dieser lediglich die DSGVO. Er schränkt sie nicht ein und ist keine eigenständige Rechtsgrundlage im Sinne der DSGVO für die Verarbeitung personenbezogener Daten.

Und entscheidend ist vor allem Art. 1 Abs. 3 S. 4 DA:

In the event of a conflict between this Regulation and Union law on the protection of personal data or privacy or national law adopted in accordance with such Union law, the relevant Union or national law on the protection of personal data or privacy shall prevail.

Damit ist das Verhältnis der beiden Rechtsgebiete klar: Sie gelten nebeneinander und im Konfliktfall hat die DSGVO Vorrang gegenüber dem Data Act.

Wie geht es jetzt weiter?

Das EU-Parlament und der EU-Rat müssen den Data Act – in der Fassung des Trilogergebnisses – noch im ordentlichen Gesetzgebungsverfahren beschließen. Dann wird der Data Act im Amtsblatt der EU veröffentlicht und tritt am 20. Tag danach in Kraft. Voraussichtlich ist dies gegen Ende 2023.

Das Inkrafttreten bedeutet allerdings nicht, dass der Data Act sofort wirksam wird, denn in Art. 42 DA ist eine Übergangsfrist vorgesehen. Die meisten der oben beschriebenen Regelungen des Data Act werden deshalb erst Mitte 2025 anwendbar. Von diesem Startzeitpunkt wird es aber zwei Ausnahmen geben:

  • Die Pflicht der Hersteller und Anbieter von intelligenten Produkten, den Nutzern Zugang zu den von ihnen produzierten Daten zu ermöglichen (Art. 3 Abs. 1 DA), gilt erst für solche Produkte, die 12 Monate nach der Anwendbarkeit des Data Act auf den Markt gebracht werden – also voraussichtlich ab Mitte 2026.
  • Die Regelungen zu den missbräuchlichen Vertragsklauseln (Kapitel 4) gelten nur für Verträge, die nach dem Beginn der Anwendbarkeit des Data Act geschlossen werden. Voraussichtlich gilt dies also erst für Verträge, die nach Mitte 2025 geschlossen werden. Hiervon gibt es aber wieder eine Rückausnahme: Verträge mit unbestimmter Dauer und Verträge, die erst mindestens 10 Jahre nach dem Inkrafttreten des Data Act auslaufen. Für diese Verträge gelten die Regeln über missbräuchliche Vertragsklauseln des Data Act 2 Jahre nach dessen Anwendbarkeit – also voraussichtlich ab Mitte 2027.

Die EU-Kommission zum Data Act

Der EU-Rat zum Data Act

Das EU-Parlament zum Data Act

 

Dieser Beitrag erscheint im Rahmen der Zusatzausbildung „Recht und Kommunikation”, die Telemedicus gemeinsam mit Bird & Bird anbietet. Weitere Informationen zur Zusatzausbildung finden sich hier. Die Beiträge geben inhaltlich lediglich die Auffassung der jeweiligen AutorInnen wieder.

 

 

 

, Telemedicus v. 31.07.2023, https://tlmd.in/-11181

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Soko22

Newsletter

In Kooperation mit

Kommunikation & Recht

Hosting

Domainfactory