Am Mittwoch (23. Februar) präsentierte die EU-Exekutive ihren Entwurf für das neue Datengesetz mit nur geringfügigen Änderungen im Vergleich zu dem Anfang dieses Monats von EURACTIV geleakten Vorschlag.
Das Datengesetz soll horizontale Rechtsvorschriften für den Austausch nicht personenbezogener Daten schaffen, indem es Verpflichtungen einführt, Benutzern Zugang zu den von ihnen beigetragenen Daten zu gewähren und sicherzustellen, dass öffentliche Stellen unter außergewöhnlichen Umständen Zugang zu privat gehaltenen Daten haben.
„Das Datenschutzgesetz klärt, wer auf Daten zugreifen und diese teilen kann und zu welchen Bedingungen. Es bietet Rechtssicherheit und zielt darauf ab, Hindernisse für den Datenaustausch zu beseitigen“, sagte die Digitalchefin der Kommission, Margrethe Vestager.
Das Gesetz soll Maßnahmen zum Cloud-Switching und verbindliche Interoperabilitätsstandards für Cloud-Dienste einführen. Die Kommission schlägt auch Sicherheitsvorkehrungen für internationale Datenübermittlungen vor und verfolgt dabei einen ähnlichen Ansatz wie bei personenbezogenen Daten.
Datenübertragung
Das Datengesetz zielt darauf ab, Herstellern von vernetzten Produkten und Anbietern damit verbundener Dienstleistungen Pflichten zur gemeinsamen Nutzung von Daten aufzuerlegen. Diese Unternehmen, die allgemein als „Dateninhaber“ bezeichnet werden, müssten den Benutzern einen einfachen, sofortigen und kostenlosen Zugang zu den Daten gewähren, an deren Generierung sie mitgewirkt haben.
Benutzer könnten sich entscheiden, die Daten mit autorisierten Dritten zu teilen, die die Daten jedoch nicht zur Entwicklung von Konkurrenzprodukten verwenden könnten. Allerdings wurden konkurrierende Dienste gegenüber dem geleakten Entwurf ausgeschlossen.
Es wurden spezifische Maßnahmen aufgenommen, um zu verhindern, dass Dritte die Zustimmung zum Datenaustausch erpressen oder manipulieren. Darüber hinaus sind große Online-Plattformen, die nach dem Digital Markets Act als Gatekeeper bezeichnet werden, keine zugelassenen Dritten.
Die Bedingungen für den Datenzugriff sollten fair, angemessen und nicht diskriminierend sein. Ein Fairness-Test wurde aufgenommen, um zu verhindern, dass KMU unlautere Vertragsbedingungen auferlegt werden, die für die Bereitstellung von Daten nicht über die tatsächlichen Verwaltungskosten hinaus in Rechnung gestellt werden sollten.
Der Gesetzesentwurf gibt öffentlichen Institutionen die Befugnis, den Zugriff auf Daten zu beantragen, die als wesentlich erachtet werden, um auf öffentliche Notfälle wie Terroranschläge und Naturkatastrophen zu reagieren. Diese Ersuchen sollten verhältnismäßig und auf die Krise beschränkt sein, die sie angehen sollen.
Kleinst- und Kleinunternehmen wurden von diesen Verpflichtungen zur gemeinsamen Nutzung von Daten ausgenommen.
Reaktion der Industrie
Nach dem Durchsickern von EURACTIV haben sich Branchenverbände mobilisiert, um auf wirtschaftliche Anreize statt auf Verpflichtungen zu drängen. Tatsächlich ist die Position der Industrie viel klarer artikuliert.
Unternehmen, die ergänzende oder Wartungsdienste anbieten, würden von einem besseren Zugriff auf die Daten profitieren, die von vernetzten Geräten generiert werden. In der Zwischenzeit würden die Anbieter des Endprodukts oder der Dienstleistung das Monopol über die generierten Daten verlieren, insbesondere gegenüber ihrer Lieferkette.
Zudem könnten durch die erhöhte Datenverfügbarkeit völlig neue Geschäftsmodelle entstehen.
„Eine sorgfältige Abwägung mit dem Recht auf Eigentum und der unternehmerischen Freiheit sollte nicht außer Acht gelassen werden“, sagte Otto Lindholm, Leiter der Datenpraxis bei Dottir Rechtsanwälte.
Die Automobilindustrie ist ein typisches Beispiel, in dem der Zugriff auf Daten angesichts der wachsenden Datenmengen, die Autos produzieren, zunehmend als Problem empfunden wird. Für Zulieferer nutzen Fahrzeughersteller ihre Marktposition, um als „Gatekeeper“ für den Zugriff auf autogenerierte Daten zu fungieren.
Im Gegensatz dazu argumentieren die Autohersteller, dass der Datenaustausch über vertragliche Vereinbarungen in der Branche bereits gut funktioniert.
„Die heute vorgeschlagenen Ideen des Datengesetzes (wie eine Verpflichtung zur Bereitstellung von Daten und eine Unlauterkeitsprüfung) beeinträchtigen diese positiven Entwicklungen, die unternehmerische Freiheit und ein insgesamt funktionierendes Ökosystem“, sagte Daniel van Geerenstein, stellvertretender Leiter Recht im VDMA, a Wirtschaftsverband, dem große Automobilhersteller angehören.
Cloud-Switching und Interoperabilität
Datenverarbeitungsdienste, bei denen es sich hauptsächlich um Cloud-Dienste handelt, fallen in den Anwendungsbereich des Vorschlags. Die Absicht ist, Hindernisse für den Cloud-Wechsel zu beseitigen, zum Beispiel werden Software und Anwendungen, die in ihrer Datennutzung gewachsen sind, mit teuren Gebühren gesperrt.
Der frühere Versuch der Kommission, das Problem mit den unverbindlichen SWIPO-Verhaltenskodizes anzugehen, wurde als unwirksam anerkannt.
„Cloud-Switching-Anforderungen sollten das richtige Gleichgewicht finden zwischen der Vermeidung von Anbieterabhängigkeit und der Möglichkeit für Cloud-Anbieter, innovative Dienste anzubieten“, sagte Emilie Petras-Sohie, Senior Legal and Policy Manager bei IBM Europe.
Der Entwurf sieht vor, dass Verträge den Wechsel zu einem anderen Dienst innerhalb von 30 Tagen ermöglichen müssen, mit voller Unterstützung und Kontinuität des Dienstes während des Übergangs. Nach drei Jahren müsste der sogenannte „Exit-Service“ kostenlos erbracht werden.
Cloud-Dienste müssten die Kompatibilität mit auf europäischer Ebene etablierten offenen Schnittstellen oder Interoperabilitätsstandards sicherstellen.
Internationale Datenübertragungen
Cloud-Dienste, die ein ähnliches System wie für personenbezogene Daten einführen, müssen angemessene Sicherheitsvorkehrungen treffen, um die internationale Übertragung von Industriedaten oder den Zugriff durch eine Drittregierung zu verhindern, die mit der EU- oder nationalen Gesetzgebung nicht vereinbar wäre.
„Die Verpflichtungen aus der EU-Datenschutz-Grundverordnung, dem Schrems-II-Urteil des EuGH und den Vorgaben der Datenschutzbehörden schaffen eine sehr komplexe Rechtslage, die jede Übermittlung personenbezogener Daten in ein Drittland ziemlich herausfordernd macht. Der Vorschlag des Data Act könnte diese Herausforderung auf nicht personenbezogene Daten ausdehnen“, sagte Jens Schefzig, Partner der Anwaltskanzlei Osborne Clarke.
[Edited by Nathalie Weatherald]