News

Europäische Datenstrategie: EU-Kommission veröffentlicht Folgen­abschätzung zum Data Act

24.06.2021

Die Umsetzung der europäischen Datenstrategie schreitet voran: Am 28. Mai 2021 hat die EU-Kommission ihre Folgenabschätzung für einen Data Act veröffentlicht. Mit dem Data Act möchte die EU-Kommission die Vorhaben der europäischen Datenstrategie um ein halbes Dutzend weiterer Regelungsgegenstände ergänzen. Dazu gehören Maßnahmen, die staatlichen Einrichtungen und privaten Unternehmen verbesserten Zugang zu Daten (anderer) privater Unternehmen ermöglichen sollen sowie Anreize zur Förderung von Geschäftsmodellen im Bereich des Cloud Computing.

Europäische Datenstrategie

Die am 19. Februar 2020 vorgestellte europäische Datenstrategie (Mitteilung der Kommission, COM(2020) 66 final) ist ein Leuchtturmprojekt der EU-Kommission. Sie soll den Austausch und die Nutzung von Daten erleichtern sowie die Entwicklung eines europäischen Binnenmarkts für Daten fördern. Beides ist von zentraler Bedeutung für die Wettbewerbsfähigkeit europäischer Unternehmen und die Effizienz staatlicher Verwaltung. Mit Blick auf die führenden Datenwirtschaftsräume der USA und Chinas strebt die EU-Kommission dabei an, einen effektiven Datenzugang mit einem hohen Datenschutzniveau und einer effektiven Wettbewerbspolitik zu verbinden.

Neben dem Data Act ist der geplante Data Governance Act eines der zentralen Gesetzesvorhaben der europäischen Datenstrategie. Hierbei handelt es sich um die „erste Säule“ der europäischen Datenstrategie, mit der die EU den Aufbau und die Entwicklung gemeinsamer europäischer Datenräume in strategischen Bereichen fördern möchte. Teilweise noch unklar ist, wie dabei klare systematische Abgrenzungen zu anderen Regelungen sichergestellt werden sollen, insbesondere zur DSGVO, zur geplanten ePrivacy-Verordnung und zur Richtlinie zum Schutz von Geschäftsgeheimnissen.

Data Act-Folgenabschätzung der EU-Kommission

In ihrer Folgenabschätzung zum Data Act beschreibt die Kommission zunächst sechs aktuelle Herausforderungen der europäischen Datenwirtschaft. Hierzu schlägt sie dann mögliche gesetzgeberische Lösungen vor und schätzt deren ökonomische und gesellschaftliche Auswirkungen vorläufig ein. Dieser Beitrag skizziert folgend die aufgeworfenen Herausforderungen und Lösungsvorschläge.

Nutzung privater Daten durch den öffentlichen Sektor

Als erste Herausforderung arbeitet die EU-Kommission heraus, dass der öffentliche Sektor derzeit nur eingeschränkt in der Lage sei, das Potenzial von durch private Unternehmen verarbeiteten Daten auszuschöpfen. Ein Grund hierfür sei das Fehlen eines systematischen Rechtsrahmens für den Datentransfer zum Staat. Zudem würden für Unternehmen keine (wirtschaftlichen) Anreize bestehen, dem öffentlichen Sektor Zugang zu Daten einzuräumen. Daher solle der Data Act dem öffentlichen Sektor einen fairen, zuverlässigen und transparenten Zugang zu privat gehaltenen Daten ermöglichen.

Datenzugang und -nutzung im B2B-Verhältnis

Im Anschluss betont die EU-Kommission die zentrale Bedeutung des Datenzugangs für die Digitalwirtschaft. Das gelte insbesondere für junge und kleine Unternehmen. Vor diesem Hintergrund könnten missbräuchliche Konstellationen entstehen: „Dateninhaber“ mit starker Verhandlungsmacht könnten ihre Position zulasten schwächerer Marktteilnehmer ausnutzen. Um den Datenzugang im B2B-Verhältnis zu fördern, schlägt die Kommission daher die Einführung (sektor-)spezifischer Datenzugangs- und Nutzungsrechte vor. Dazu soll ein Fairness-Test unfairen einseitigen Bedingungen entgegenwirken.

Laut EU-Kommission bliebe darüber hinaus das Potenzial maschinengenerierter Daten ungenutzt. Ein Grund hierfür seien häufig vertragliche Einschränkungen. Auch hier setzt der Data Act an, den Zugang zu Daten zu erleichtern und damit weitere Wertschöpfung und Innovation zu ermöglichen. In diesem Kontext schlägt die EU-Kommission auch vor, die Datenbankrichtlinie (Richtlinie 96/9/EG) zu evaluieren und ggf. zu reformieren. Dabei möchte sie insbesondere die Anwendbarkeit des Datenbankherstellerrechts auf maschinengenerierte Daten rechtssicher regeln.

Technische Ausgestaltung der Datenportabilität

Darüber hinaus schlägt die EU-Kommission vor, dass in Art. 20 DSGVO bislang rudimentär ausgestaltete Recht auf Datenübertragbarkeit spezifischer auszugestalten. Während die technische Umsetzung der Übertragung bislang der Wirtschaft überlassen wurde, erwägt die EU-Kommission nun, etwa Anbietern von Smart-Home-Anwendungen und Wearables zu verpflichten, Schnittstellen für Datenübertragungen in Echtzeit zu ermöglichen. Dies solle Lock-in-Effekten entgegenwirken und Verbrauchern eine größere Auswahl an Diensten eröffnen.

Standards für Smart Contracts

Im Weiteren hebt die EU-Kommission das Potenzial von Smart Contracts hervor, um die B2G- und B2B-Datennutzung und -übertragung zu automatisieren, zu vereinfachen und zu beschleunigen. Noch fehle es aber an harmonisierten Standards für Smart Contracts, was deren Interoperabilität entgegenstehe und einen markt- und grenzüberschreitenden Gebrauch behindere. Nach der EU-Kommission könnte der Data Act den Regelungsrahmen für technische Standards bilden.

Etablierung wettbewerbsfähigerer Märkte für Cloud-Computing-Dienste

In der Etablierung eines wettbewerbsfähigen Markts für Cloud Computing erkennt die EU-Kommission eine weitere Herausforderung. Schließlich seien europäische Organisationen bei der Verarbeitung von Daten zunehmend auf Cloud-Dienste angewiesen. Um einen offenen Markt zu fördern, müssten die Cloud-Nutzer Daten möglichst einfach zwischen verschiedenen Cloud-Dienstleistern transferieren können. Zwar hätten Diensteanbieter und Nutzer gemeinsam Verhaltenskodizes entwickelt. Diese seien jedoch lückenhaft und enthielten etwa kaum Bestimmungen zu technischen Anforderungen und Kosten im Zusammenhang mit einem Cloud-Wechsel.

Mit dem Data Act möchte die EU-Kommission deswegen die Portabilität zwischen Cloud-Anbietern insgesamt verbessern. Hierzu schlägt sie die Einführung eines neuen Portabilitätsrechts vor. Damit sollen technische, vertragliche oder wirtschaftliche Hindernisse bei dem Datentransfer zu Gunsten eines offenen Cloud-Markts und einer gestärkten Nutzerposition verringert werden.

Schutzmaßnahmen für nicht-personenbezogene Daten im internationalen Kontext

Schließlich weist die EU-Kommission darauf hin, dass keine Regelungen zum Umgang mit nicht-personenbezogenen Daten im internationalen Kontext bestehen würden – etwa im Zusammenhang mit Anfragen von Strafverfolgungsbehörden aus Drittstaaten. Hier schlägt die EU-Kommission vor, Anbieter von Onlinediensten (z.B. Cloud-Computing-Anbieter) zu verpflichten,

    • ihre Nutzer bei entsprechenden Anfragen ausländischer Behörden zu informieren, und ggf. darüber hinaus
    • angemessene rechtliche, technische und organisatorische Maßnahmen vorzuhalten, entsprechenden Anfragen nicht stattzugeben, soweit sie nach EU-Recht oder dem Recht des jeweiligen Mitgliedstaats verboten wären.

Ausblick

Noch ist der konkrete Inhalt des Data Acts in weiten Teilen offen. Insbesondere die spezifische Ausgestaltung der einzelnen vorgeschlagenen Ansprüche und Verpflichtungen bedarf noch erheblicher Detailarbeit. Zeitlich visiert die EU-Kommission einen Verordnungsentwurf im vierten Quartal 2021 an; der Konsultationsprozess läuft noch bis zum 25. Juni 2021.

Unternehmen aus dem Bereich der Digitalwirtschaft sollten die Entwicklungen im Blick behalten und ihre Prozesse bei Bedarf frühzeitig anpassen. Fest steht bislang nur: Der Data Act und die weiteren gesetzgeberischen Vorhaben der europäischen Datenstrategie können erhebliche Veränderungen mit sich bringen. Abzuwarten bleibt, ob die EU-Kommission ihre teils gegenläufigen Ziele – vereinfachte Datennutzung durch die Wirtschaft bei gleichbleibend sehr hohem Datenschutzniveau – wird erreichen können und wo möglicherweise Kompromisse erforderlich werden.