Bisheriges regulatorisches Umfeld

Die Europäische Union schafft seit längerer Zeit einen umfassenden Rechtsrahmen für die Behandlung von Daten. Die seit mehreren Jahren in der anwaltlichen Beratung beinahe „allgegenwärtige“ EU-Datenschutzgrundverordnung über den Schutz personenbezogener Daten (DSGVO) war nur einer von mehreren großen Schritten.

Zwar sind demgegenüber die sogenannten „sachbezogenen“ (nicht-personenbezogenen) Daten nach der aktuellen Rechtslage kaum regelmentiert. Jedoch hat die Europäische Union auch hier bereits erste wesentliche Weichenstellungen gesetzt und Ende 2018 die „Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union“ (EU-VO 2018/1807) erlassen. Diese richtet sich vor allem an die EU-Mitgliedstaaten mit dem Verbot sogenannter „Datenlokalisierungsauflagen“, nach denen die Datenverarbeitungen im Hoheitsgebiet eines bestimmten Mitgliedstaats stattfinden müssen oder die die Verarbeitung von Daten in einem anderen Mitgliedstaat behindern.

Zentrales Regelungskonzept und zahlreiche Nebenbestimmungen

Der nun veröffentlichte Entwurf eines EU-Datengesetzes („Data Act“) richtet sich hingegen primär an die Inhaber produktgenerierter Daten („data holder“), also vor allem an die Hersteller von Produkten und Anbieter verbundener Dienstleistungen (Art 3ff des Entwurfs). Praktische Beispiele für produktgenerierte Daten sind Nutzungsdaten von Kraftfahrzeugen, Smart Phones oder Kreditkarten, aber ebenso Industriedaten wie beispielsweise der Energieverbrauch von Industriemaschinen oder der Bewässerungsbedarf verschiedener Nutzpflanzen in der Landwirtschaft.

Kernstück des Entwurfs ist die Pflicht der Dateninhaber, die durch die Nutzung von Produkten und verbundenen Dienstleistungen generierten Daten den Nutzern einfach und sicher zur Verfügung zu stellen. Dies nach Möglichkeit direkt durch Gestaltung des Produkts bzw der Dienstleistung (Art 3 Abs 1 des Entwurfs). Wo ein direkter Zugang zu den Daten über das Produkt bzw die verbundene Dienstleistung nicht möglich ist, soll der Nutzer die Daten zumindest indirekt zur Verfügung gestellt bekommen. Dies unverzüglich, kostenlos und gegebenenfalls auch laufend und in Echtzeit (Art 4 Abs 1 des Entwurfs).

Flankierend sieht der Entwurf auch ein Recht des Nutzers vor, die produktgenerierten Daten mit Dritten zu teilen (sogenannte „Datenempfänger“). Auf Verlangen des Nutzers muss der Dateninhaber die Daten Dritten zur Verfügung stellen. Dies ebenso unverzüglich, kostenlos gegenüber dem Nutzer, in der Qualität, wie die Daten dem Dateninhaber vorliegen, und gegebenfalls auch laufend und in Echtzeit (Art 5 Abs 1 des Entwurfs). Den Dritten treffen auch diverse Pflichten im Umgang mit den Daten, unter anderem auch die Pflicht, die Daten an weitere vom Nutzer namhaft gemachte Dritte weiterzugeben (Art 6 des Entwurfs).

Diese zentralen bisher genannten Pflichten sollen nicht anwendbar sein bei der Nutzung von Produkten und verbundenen Dienstleistungen von sogenannten „Mikro- und kleinen Unternehmen“ im Sinne der EU-Richtlinie 2003/361/EG, sofern allfällige Kooperationen und Verbindungen eines solchen Unternehmens nur mit anderen „Miko- und kleinen Unternehmen“ bestehen (Art 7 des Entwurfs).

Die zahlreichen weiteren Vorgaben im Entwurf betreffen z.B. das Verhältnis zwischen Dateninhaber und Datenempfänger, wie den Abschluss eines Vertrags als Grundlage der Zurverfügungstellung der Daten, eine mögliche Kompensationszahlung des Datenempfängers, die Streitbeilegung und den technischen Schutz der Daten (Kapitel III des Entwurfs). Der Entwurf zielt weiters auch auf die Wiederherstellung einer ausgewogenen Verhandlungsmacht für KMU durch Verhinderung von Ungleichgewichten in Verträgen über die gemeinsame Datennutzung, auf die Erleichterung für Behörden im Zugang zu und die Nutzung von Daten im Besitz des Privatsektors, auf die Erleichterung des Wechsels von Cloud-Datenverarbeitungsdiensten durch Kunden und auf den Schutz gegen unrechtmäßige Datenübermittlungen ab (weitere Kapitel des Entwurfs).

Analyse und Ausblick

Der vorliegende Entwurf des EU-Datengesetzes ist wesentlicher Teil der „Datenstrategie“ der Europäischen Kommission und gliedert sich in eine Reihe weiterer Maßnahmen zur Förderung der Wettbewerbsfähigkeit der datengetriebenen Wirtschaft (Wirtschaft 4.0) Europas am globalen Markt ein.

Das zentrale Anliegen des Datengesetzes ist dabei eindeutig: produktgenerierte Daten sollen innerhalb der Europäischen Union nicht nur von Produktherstellern genutzt werden, sondern unter Minimierung der Transaktionskosten grundsätzlich allen Unternehmen zugänglich gemacht werden. Dabei soll das Datengesetz insbesondere auch jene bisher bestehenden (große) Lücken füllen, die die EU-kartellrechtliche Datenzugangskontrolle im Rahmen des „Missbrauchsverbots“ (Art 102 AEUV) hinterlässt, weil sie auf marktbeherrschende Unternehmen beschränkt ist. Die Realisierung des EU-Datengesetzes wäre daher aus juristischer Sicht zumindest eine kleine (R)Evolution.

Die EU-Kommission verspricht sich hiervon ein (verbessertes) level playing field im Bereich der datengetriebenen Wirtschaft (Wirtschaft 4.0). Die Einführung des Datengesetzes soll daher vor allem die Innovationskraft des Europäischen Binnenmarkts stärken und europäische Unternehmen im globalen Wettbewerb „fitter“ machen. Das BIP der EU-27 soll nach Ansicht der EU-Kommission dank neuer Datenvorschriften allein bis 2028 um 270 Milliarden Euro wachsen.

Den Stellenwert dieses Anliegens unterstreicht die Europäische Kommission mit der im Entwurf vorgesehenen Geldbußendrohung bei Verletzung unter anderem auch der oben dargestellten Zugangsrechte. Diese entspricht der Geldbußendrohung der DSGVO und beträgt daher bis zu 20.000.000 Euro bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des Dateninhabers bzw Datenempfängers.

Der Entwurf des EU-Datengesetzes durchläuft nun das EU-Gesetzgebungsverfahren. Die Zustimmung des Europäischen Parlaments und des Rats der Europäischen Union ist erforderlich. Wesentliche Änderungen des Gesetzes sind daher möglich. Beobachter gehen von einer Dauer von 1 bis 2 Jahren bis zum Erlass und Inkrafttreten aus.

Der Entwurf des Datengesetzes und weitere Unterlagen und Informationen zum Entwurf sind unter folgendem Link abrufbar: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_1113

Weitere Unterlagen und Informationen zur Europäischen Datenstrategie sind unter folgendem Link verfügbar: https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de