News

EU-Kommission legt Vorschlag für Data Act vor

23.02.2022

Daten sind das Herzstück der digitalen Wirtschaft, ihr Austausch bietet erhebliches Wertschöpfungspotential. Gleichzeitig haben Unternehmen ein Interesse daran, die eigenen Daten zu schützen und vor Dritten geheim zu halten. Nach bisheriger Rechtslage kann die wirtschaftliche Datenzuweisung – mangels Dateneigentums – nur auf freiwilliger vertraglicher Basis erfolgen, wobei bisher weitgehende Vertragsfreiheit gilt. Der heute vorgelegte Kommissionsentwurf COM 2022 68 final; 2022/0047 (COD)) (Data Act-E) hat das Potential, den bisherigen Rechtsrahmen der Data Economy grundlegend zu verändern. Im Kern handelt es sich beim Data Act-E um eine Neuordnung der rechtlichen Rahmenbedingungen des Datenzugangs und der Datennutzung. Sowohl für die Privatwirtschaft als auch für den öffentlichen Sektor werden Zugangsrechte zu Daten geschaffen und zugleich Dateninhabern, Produktherstellern und Cloud-Anbietern erhebliche Pflichten auferlegt.

In seiner aktuellen Fassung wären mit Erlass des Data Act-E erhebliche Auswirkungen auf die Gestaltung sämtlicher Vereinbarungen über den Datenaustausch zu erwarten. Der Data Act-E betrifft insbesondere die zivilrechtliche Seite der Vertragsgestaltung, indem er die Gestaltungsfreiheit der Parteien, insb. bei Datennutzungsverträgen, erheblich einschränkt. Aufgrund des sektorübergreifenden Ansatzes des Verordnungsentwurfs gilt dies über alle Branchen und Wirtschaftsbereiche hinweg. Nahezu jedes Unternehmen, dass in irgendeiner Weise Daten verarbeitet, ist potenziell vom Data Act-E betroffen.

Ziel und Gegenstand des Data Act-E

Nach Auffassung der EU-Kommission bleibt das Potential insbesondere maschinengenerierter Daten bislang weitgehend ungenutzt, da sich der relevante Datenzugang auf eine geringe Anzahl sehr großer Unternehmen konzentriert. Mit dem Data Act-E zielt die EU-Kommission auf eine gerechtere Verteilung der mit Daten verbundenen Wertschöpfung ab. Hierzu schafft der Verordnungsentwurf bestimmten privaten und öffentlichen Akteuren ein neues Recht auf Datenzugang und Datennutzung. Rechtsgrundlage des Data Act-E ist Art. 114 AEUV; er dient mithin der Verwirklichung des Binnenmarktziels.

Der Data Act-E trifft keine Regelungen zur viel diskutierten Frage des Eigentums an Daten. Immaterialgüterrechte werden ­– mit Ausnahme einer Feststellung hinsichtlich des Umfangs des Datenbankurheberrechtes ­– von dem Data Act-E nicht erfasst.

Der Data Act-E beinhaltet fünf wesentliche Regelungsgegenstände:

  • Recht der Nutzer auf Zugang und Nutzung nutzergenerierter Daten
  • Verbot unfairer Vertragsklauseln in standardisierten Datenlizenzverträgen
  • Recht auf Datenzugang und -nutzung durch öffentliche Stellen
  • Bestimmungen, die eine Erleichterung des Wechsels von Datenverarbeitungsdiensten (insb. Cloud- und Edge-Anbieter) ermöglichen sollen
  • Anforderungen an die Interoperabilität von Datenverarbeitungsdiensten sowie an die internationale Datenübertragung

Recht auf Datenzugang und -nutzung

Art. 4 Data-Act-E führt den Grundsatz ein, dass jeder „user“ Zugang zu den Daten haben soll, zu deren Erzeugung er einen bestimmten Beitrag geleistet hat:

Where data cannot be directly accessed by the user from the product, the data holder shall make available to the user the data generated by its use of a product or related service without undue delay, free of charge and, where applicable, continuously and in real-time. This shall be done on the basis of a simple request through electronic means where technically feasible.

Der Anspruch des „user“ richtet sich gegen den „data holder“. Zwar werden diese Begriffe vom Data Act-E definiert; „user“ ist demnach die natürliche oder juristische Person, die ein Produkt besitzt, mietet oder pachtet oder eine Leistung empfängt. In der Praxis dürfte es aber zahlreiche Abgrenzungsschwierigkeiten geben. Dies gilt insbesondere bei Mehrpersonenverhältnissen, in denen sich nicht ohne Weiteres sagen lässt, wer welche genauen Daten generiert hat und wem daher welche ganz konkreten Daten zuzuordnen sind. Dies wird deutlich am Beispiel vernetzter Autos: Wer ist „user“, wenn Eigentümer, Halter und Fahrer auseinanderfallen?

Dass die Daten fortwährend und in Echtzeit („continuously and in real-time“) zur Verfügung zu stellen sind, dürfte viele „data holder“ in der Praxis vor erhebliche Herausforderungen stellen. Ebenso sind die Grenzen des Datenzugangsrechts unklar. Sofern Geschäftsgeheimnisse Gegenstand des Herausgabeanspruches sind, sollen diese nur dann herausgegeben werden müssen, wenn der Nutzer alle spezifischen, erforderlichen Maßnahmen ergreift, um deren Vertraulichkeit zu wahren. Auch hier wird es in der Praxis noch zahlreiche Details zu klären geben. Dies gilt insbesondere in Hinsicht auf die Anforderungen an die jeweils erforderlichen Vertraulichkeitsmaßnahmen. Fraglich ist zudem bereits, welche Anforderungen an den Nachweis des Geschäftsgeheimnisses zu stellen sind. Lediglich die Behauptung eines Geschäftsgeheimnisses genügen zu lassen, könnte viele Herausgabeansprüche gegebenenfalls leerlaufen lassen.

Daneben sollen Verbraucher, die Produkte und damit zusammenhängende Dienstleistungen nutzen, das Recht erhalten, über die Verwendung der durch ihre Nutzung erzeugten Daten zu entscheiden. Hersteller dürfen auf nicht-personenbezogene Daten von Produkten oder von damit verbundenen Dienstleistungen nur zugreifen, wenn dies mit dem Nutzer vereinbart wurde. Dieses Entscheidungsrecht geht so weit, dass der Nutzer auch eine Herausgabe der Daten an Dritte verlangen können soll (Art. 5 Data Act-E).

Der Anspruch des Nutzers auf Datenzugang und Datennutzung geht einher mit zahlreichen neuen Anforderungen an die Produktentwicklung. Hersteller von Produkten, bei welchen im Zusammenhang mit der Verwendung Daten entstehen, sowie Anbieter damit zusammenhängender Dienstleistungen sollen bereits bei Konstruktion und Herstellung bzw. der Bereitstellung darauf achten, dass die nutzergenerierten Daten dem Nutzer standardmäßig leicht zugänglich sind (Art. 3 Abs. 1 Data Act-E). Künftig ist das Datenzugangsrecht also bereits in der Konzeptionsphase mitzudenken („access by design“).

Neben den Anforderungen an die technische Umsetzung des Anspruches auf Datenzugang sollen Hersteller von Produkten und Anbieter von bestimmten Services, die unter den Data Act-E fallen, weitreichende vorvertragliche Informationspflichten erfüllen, z.B. im Hinblick auf die beabsichtigten Zwecke der Datenverwendung (vgl. Art. 3 Abs. 2 Data Act-E).

Verbot „unfairer“ Vertragsklauseln

Wesentlicher Bestandteil des Verordnungsentwurfs ist das Verbot unfairer Vertragsklauseln („unfair terms“), die gegenüber Kleinst-, Klein- und mittleren Unternehmen verwendet werden. Die Klauselverbote sollen für jegliche Art von Datennutzungs- oder -lizenzverträgen gelten; der Anwendungsbereich ist insbesondere unabhängig von einem etwaigen Datenzugangsrecht. Die Klauselverbote stellen einen Eingriff in die Vertragsfreiheit dar, da sie gewisse Vertragsgegenstände der Möglichkeit einer standardmäßigen Vereinbarung durch die Parteien entziehen.

Unter unfairen Vertragsklauseln sind nach der Definition des Art. 13 Data Act-E solche Klauseln zu verstehen, die so beschaffen sind, dass ihre Verwendung entgegen den Geboten von Treu und Glauben zu einer Abweichung von der guten kaufmännischen Praxis („good commercial practice“) des Datenzugangs und der Datennutzung führt.

Zweck der Bestimmungen zu unfairen Vertragsklauseln ist, bestehende Machtasymmetrien zwischen den Vertragspartnern auszugleichen, die im Rahmen von Vertragsverhandlungen i.d.R. in Form von Take-it-or-leave-it-Angeboten ausgenutzt werden. Art. 13 Data Act-E normiert hierfür eine Reihe von Inhalten, die stets die Einordnung einer Klausel als unfair zur Folge haben, beispielsweise die Vereinbarung eines Haftungsausschlusses für Vorsatz oder grobe Fahrlässigkeit. Für die Kautelarpraxis besonders spannend ist, dass bestimmte Gewährleistungsbeschränkungen für unzulässig erklärt werden. Während die unfairen Vertragsklauseln als unwirksam anzusehen sind, soll der Vertrag im Übrigen von der Unwirksamkeit grundsätzlich unberührt bleiben. Hier ist noch zu klären, wie sich Art. 13 Data Act-E zum bestehenden AGB-Recht verhält und inwiefern die Wertungen der neuen Klauselverbote auch auf Verträge außerhalb des KMU-Bereichs übertragen werden können.

Die Regelung des Art. 13 Data Act-E findet nur auf standardisierte Vertragsklauseln Anwendung, so dass es den Parteien eines Datenlizenzvertrages unbenommen bleibt, individuelle Vereinbarungen zu treffen, die sodann nicht unter die Klauselverbote fallen.

Die Kommission will nach Art. 34 Data Act-E Mustervertragsbedingungen für den Zugang zu und die Nutzung von Daten, die den Parteien als Leitlinie für angemessene Vertragsklauseln dienen sollen, erarbeiten. Besondere Anforderungen gelten für den Fall, dass der Datennutzungsvertrag im Wege eines Smart Contracts abgeschlossen wird (Art. 30 Data Act-E).

Datenzugang und -nutzung durch öffentliche Stellen

Neben dem Recht der Nutzer auf Datenzugang und Datennutzung sieht der Data Act-E Bestimmungen hinsichtlich eines harmonisierten Rechtsrahmens für die Nutzung von Daten, die im Besitz von Unternehmen sind, durch öffentliche Stellen vor. Anspruchsberechtigt können sowohl öffentliche Stellen auf Ebene der Mitgliedstaaten als auch auf Ebene der Europäischen Union sein. Voraussetzung ist, dass seitens der öffentlichen Stelle ein außergewöhnlicher Bedarf für die Nutzung der Daten besteht („exceptional need“). Ein solcher außergewöhnlicher Bedarf kann durch einen Notfall (z.B. Pandemien oder Naturkatastrophen) oder dadurch begründet sein, dass eine öffentliche Stelle die Daten zur Aufgabenerfüllung benötigt und diese nicht anderweitig beschaffen kann.

Anbieterwechsel und Interoperabilität: Ende des Lock-In-Effekts?

Ein weiterer wesentlicher Regelungsgegenstand des Data Act-E sind Bestimmungen, die Geschäftskunden einen Wechsel des Datenverarbeitungsdienstes („data processing service“), d.h. insbesondere des Cloud- oder Edge-Anbieters, erleichtern sollen. Damit sollen Lock-in-Effekte verhindert werden.

Datenverarbeitungsanbieter sollen nach dem Verordnungsentwurf Hindernisse kommerzieller, technischer, vertraglicher und organisatorischer Art vermeiden, die den Vertragspartner daran hindern,

  • den Vertrag mit einer Kündigungsfrist von höchstens 30 Tagen zu kündigen,
  • einen neuen Vertrag mit einem anderen Anbieter zu schließen,
  • Daten, Anwendungen und andere digitale Güter auf einen anderen Anbieter zu übertragen,
  • nach einem Wechsel des Anbieters weiterhin auf ein bestimmtes Mindestmaß an Funktionalitäten zugreifen zu können (funktionale Äquivalenz).

Art. 25 Data Act-E führt ein Verbot ein, für Anbieterwechsel ein Entgelt zu verlangen. Darüber hinaus verlangt der Data Act-E, dass die Pflichten des Dienstleisters in einem schriftlichen Vertrag, welcher gewisse Mindestinhalte aufweisen muss, fixiert werden.

Besonders hervorzuheben ist, dass alle Kunden von Datenverarbeitungsdiensten das jederzeitige Recht erhalten sollen, ihren Vertrag innerhalb von höchstens 30 Tagen (!) zu kündigen (Art. 23 Data Act-E) ; Ein solches freies Kündigungsrecht der Kunden dürfte ganz erhebliche Auswirkungen auf die Geschäftsmodelle vieler Cloud-Anbieter haben. Eine Bindung des Kunden an feste Vertragslaufzeiten – die für die Umsatzrealisierung (Revenue Recognition) vieler Anbieter fundamental ist –, wäre dann nämlich unmöglich.

Interoperabilität und Schutz vor Zugriff durch Drittstaaten

Anbieter von Datenverarbeitungsdiensten wie Cloud-Services sollen durch den Data Act-E verpflichtet werden, die Interoperabilität durch offene Standards oder offene Schnittstellen zu gewährleisten. Konkrete technische Normen oder Standards schreibt der Verordnungsentwurf bislang nicht vor. Die Kommission beabsichtigt insoweit durch eine europäische Normungsorganisation harmonisierte Normen für die Interoperabilität herausarbeiten zu lassen (Art.28 Abs. 1 Data Act-E). In Art. 28 Abs. 2, 38 Data Act-E soll die EU-Kommission zur Festlegung von Interoperabilitätsstandards ermächtigt werden.

Neben den Anforderungen an die Interoperabilität der angebotenen Services werden Datenverarbeitungsdienste verpflichtet, angemessene Maßnahmen zu ergreifen, um einen staatlichen Zugriff auf nicht-personenbezogene Daten, die in der Union gespeichert sind, zu vermeiden oder eine Übermittlung von Daten zu verhindern, die mit europäischem oder dem nationalen Recht des jeweiligen Mitgliedstaats unvereinbar ist (Art. 27 Data Act-E). So sollen beispielsweise gerichtliche Anordnungen aus Drittländern nur befolgt werden, sofern ein diesbezügliches internationales Abkommen existiert.

Fazit und Ausblick

Der Data Act-E zielt auf einen Paradigmenwechsel in der Data Economy ab. Im Kern handelt es sich um neue zivilrechtliche Rahmenbedingungen, die Zugangsrechte zu Daten schaffen. Die Anforderungen des Data Act-E stellen insbesondere Dateninhaber, Hersteller und Dateninfrastrukturanbieter vor große Herausforderungen. Nahezu jeder Wirtschaftsakteur, der in irgendeiner Weise Daten erhebt, austauscht, verarbeitet oder kommerzialisiert, ist potenziell vom Data Act-E betroffen. Insbesondere hat der Data Act-E erhebliche Auswirkungen auf sämtliche Gestaltung von privatrechtlichen Vereinbarungen über Daten, insbesondere sogenannte Datennutzungs- und -Lizenzvereinbarungen. Unternehmen sind daher gut beraten, sich frühzeitig mit den Bestimmungen des Data Act-E auseinandersetzen.

Dies gilt insbesondere vor dem Hintergrund der im Data Act-E vorgesehenen Geldbußen von  bis zu 20 000 000 EUR bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes

Der Data Act-E wird nun im Rahmen des EU-Gesetzgebungsverfahrens durch das Europäische Parlament und den Rat der Europäischen Union gehen. Wir erwarten, dass der aktuelle Entwurf hierbei noch erhebliche Änderungen erfahren wird, bevor er erlassen wird. Die EU-Kommission hat es vermieden, einen Zeitrahmen für die Verabschiedung der neuen Rechtsvorschriften anzugeben. Erfahrungsgemäß kann es jedoch 18 Monate bis zu zwei Jahre dauern, bis eine Verordnung ratifiziert wird und in Kraft tritt.