R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
BM - Berater-Magazin
Header Pfeil
 
 
K&R 2023, I
Wulf 

Datengesetz: Kann der nun beschlossene „EU-Data-Act“ die gesetzten Ziele in der Praxis erreichen?

Abbildung 1

RA Dr. Hans Markus Wulf

Anfang November hat das EU-Parlament die bereits zuvor im informellen Trilog mit dem EU-Rat abgestimmte Textfassung zum „Data Act“, also zur EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, mit großer Mehrheit verabschiedet. Die Verordnung gibt Privatpersonen und Unternehmen zukünftig das Recht, von Herstellern vernetzter, „smarter“ Produkte (z. B. Fitnesstracker, Smart-TV) oder damit verbundener Dienste (z. B. cloudbasierte Smart-TV-Plattformen) die eigenen Nutzungsdaten herauszuverlangen. Die Hersteller müssen hierfür nicht nur die technischen Voraussetzungen (Interoperabilität) schaffen und ausführliche Informationen zu Art und Umfang der Daten erteilen, sondern auf Anfrage der Nutzer auch dafür sorgen, dass Dritte (etwa Wettbewerber des Herstellers) diese Nutzungsdaten erhalten (beispielsweise bei einem vom Nutzer veranlassten Produktwechsel). Auch öffentliche Stellen erhalten mit dieser Verordnung unter gewissen Voraussetzungen Zugriff auf Nutzungsdaten, etwa wenn dies zur Bewältigung bestimmten Notfälle (z. B. Hochwasser, Waldbrände) notwendig ist. Zudem enthält die Verordnung neue Regelungen für den Anbieterwechsel bei Inanspruchnahme von Cloud-Services und ein Verbot unbilliger Klauseln in Vertragsbedingungen für Datenzugang und Datennutzung.

Die Gesetzesinitiative der EU-Kommission hatte u. a. das erklärte Ziel, den Nutzern mehr Kontrolle über ihre IoT-Daten (Internet of Things) zu geben und Innovationsanreize zu setzen, indem auch kleinere Unternehmen Zugang zu den Datenbeständen der großen Plattform-Betreiber erhalten. Allerdings lässt sich anhand der nun beschlossenen Textfassung feststellen, dass der Erfolg dieser Initiative keinesfalls garantiert ist:

Die Herrschaftsmacht der Nutzerdaten liegt weiterhin bei den Herstellern, es wird im Regelfall ein Recht auf Datenzugriff gewährt, nur alternativ erhält der Nutzer das Recht, die Herausgabe seiner Nutzungsdaten auf elektronischem Wege zu verlangen. Der Datenzugriff reduziert sich darüber hinaus auf sog. Produktdaten und verbundene Dienstdaten (also Rohdaten), die sich unmittelbar aus der konkreten Verwendung durch den Nutzer ergeben, während zum Aufbau innovativer Konkurrenzprodukte vielmehr hieraus abgeleitete und aggregierte IoT-Datenbestände des Herstellers benötigt werden, die allerdings vom Zugangsanspruch nicht umfasst sind. Es stellt sich daher die Frage, ob allein der Zugang zu eigenen Roh-Nutzungsdaten einen Innovationsanreiz für Drittanbieter bieten kann, während zum Aufbau ähnlicher, vernetzter Produkte und verbundener Dienste (gerade im Zeitalter der künstlichen Intelligenz durch Training von Algorithmen) im Regelfall riesige IoT-Datenmengen notwendig sind.

Zweifel an einem Erfolg der Verordnung lässt sich (zumindest im B2C-Bereich) auch an der geringen Verhandlungsmacht der Privatnutzer festmachen. Zwar schreibt Art. 4 Abs. 13 des Verordnungsentwurfes zugunsten des Nutzers vor, dass der Hersteller (Dateninhaber) die Nutzungsdaten nur auf Grundlage eines Vertrags mit dem Nutzer verwenden darf. Es darf allerdings davon ausgegangen werden, dass die Hersteller noch vor Inkrafttreten der Verordnung (wohl 2025) ihre AGB dahingehend ändern werden, dass der Nutzer einer solchen Verwendung zustimmt und dem Hersteller alle Rechte übertragen werden, ansonsten zumindest die verbundenen Dienste nicht zur Verfügung gestellt werden können. Vielleicht wäre es daher sinnvoll gewesen, hätte man die Rechte der Nutzer an ihren IoT-Daten der Verwaltung durch einen neutralen, behördlich kontrollierten Datentreuhänder übertragen. Dieser hätte andere Möglichkeiten, um gegen große Anbieter von vernetzten Produkten und verbundenen Diensten mit Datenzugriffsansprüchen anzutreten.

Es verbleibt dennoch die Hoffnung, dass der neue „Data Act“ einen erfolgreichen Rechtsrahmen für den Aufbau innovativer, datengetriebener Geschäftsmodelle in Unternehmen der Europäischen Union bietet und – nach dem bislang ungenutzten Recht auf Datenübertragbarkeit in Art. 20 DSGVO – nun endlich auch konkrete Vorgaben für technische und organisatorische Maßnahmen dafür sorgen, dass die großen Anbieter von Cloud-Services und Datenräumen echte Interoperabilität herstellen.

RA Dr. Hans Markus Wulf*

*

Rechtsanwalt und Partner bei Heuking Kühn Lüer Wojtek. Er ist seit 20 Jahren auf das IT- und Datenschutzrecht spezialisiert, war im September 2007 einer der ersten deutschen Fachanwälte für IT-Recht und ist seit 2017 Datenschutzauditor (TÜV) nach EU-DSGVO. Er berät Unternehmen und Konzerne bei der Umsetzung von Technologieprojekten, im Bereich der Datenschutz-Compliance, bei der Durchsetzung des IP- und Know-how-Schutzes, bei Rechtsfragen der IT-Sicherheit und im Rahmen von lizenzrechtlichen Fragestellungen beim Einsatz von Unternehmenssoftware.

 
stats