Mit ihrem Vorschlag für einen Data Act (zu Deutsch: Datengesetz) (PDF) plant die EU-Kommission umfassende Regeln für eine faire und innovative Datenwirtschaft. Hierzu soll die geplante EU-Verordnung insbesondere festlegen, wer in der EU erzeugte nicht personenbezogene Daten wirtschaftlich nutzen darf und darauf Zugriff hat. Als Baustein des neuen Daten- und Cybersicherheitsrechts der EU wird der Data Act enorme Auswirkungen auf die wirtschaftliche Nutzung von Daten durch Unternehmen haben. Wir möchten Sie daher schon jetzt über die wichtigsten Fragen und Antworten im Zusammenhang mit dem Data Act informieren.
Was regelt der Data Act?
Der Data Act soll branchenübergreifend gelten und für eine gerechtere Verteilung der Wertschöpfung bei der Verwertung von nicht personenbezogenen Daten sorgen. Hierzu sollen insbesondere Zugriffsmöglichkeiten für Daten geschaffen werden, die bisher ausschließlich wenigen Akteuren vorbehalten waren. Konkrete Vorgaben enthält der Data Act daher insbesondere für Hersteller und Produkten und für Erbringer von damit in Verbindung stehenden Dienstleistungen. Diese sollen zukünftig dazu verpflichtet sein, Daten, die durch die Nutzung der Produkte oder der damit verbundenen Dienste entstehen, in größerem Umfang als bisher zugänglich zu machen. Hierzu sieht der Data Act insbesondere ein Recht der privaten wie gewerblichen Nutzer auf Zugang zu Daten, die durch die Nutzung von Produkten oder damit verbundenen Diensten entstehen, sowie das Recht, diese weiterzugeben, vor. Vor diesem Hintergrund sind auch die getroffenen Regelungen zur Interoperabilität zu verstehen. Wegen des breiten Anwendungsbereichs wird jedes Unternehmen in Europa auf die eine oder andere Weise mit dem Data Act in Berührung kommen. Für die Verarbeitung von personenbezogenen Daten durch Hersteller von Produkten und Anbieter von Diensten sowie das Recht auf Auskunft über personenbezogene Daten gilt weiterhin die Datenschutz-Grundverordnung (DSGVO).
Welche Herausforderungen bestehen für Unternehmen?
Die EU-Kommission hat die wirtschaftliche Bedeutung von Daten in einer zunehmend digitalisierten Welt erkannt und möchte den fairen Umgang mit Daten gesetzlich regeln. Dies ist aus unserer Sicht grundsätzlich begrüßenswert, stellt Unternehmen jedoch gleichzeitig vor große Herausforderungen. Einige Regelungen greifen nämlich sehr stark in den noch jungen und sich gerade erst entwickelnden Markt für Daten ein, ohne dass dies zwingend erforderlich scheint. Ein Beispiel hierfür ist Kapitel 4 des Entwurfs, das sehr stark in die Vertragsfreiheit zwischen Unternehmen eingreift und bestimmte Regelungen zum Zugriff auf Daten und zu deren Nutzung als missbräuchliche Klauseln verbieten will. Ähnlich wie beim Vorschlag für eine KI-Verordnung wären jedoch mehr Flexibilität und mehr Freiräume für die Entwicklung von Märkten und Technologien wünschenswert. Auch die Regelungen zum internationalen Austausch nicht personenbezogener Daten scheinen übertrieben. Unternehmen haben derzeit bereits gewaltige Herausforderungen beim internationalen Austausch von personenbezogenen Daten zu meistern, wie die Debatten um die „Schrems II“-Entscheidung des EuGH und das EU-US Privacy Shield zeigen. In dieser Situation zusätzlich den internationalen Transfer von nicht personenbezogenen Daten zu erschweren, ist problematisch und mit Blick auf die Ziele des Data Act nicht erforderlich. Da Datenverarbeitungsströme schon heute sehr komplex sind, droht darüber hinaus ein Chaos bei der Klärung der Verantwortlichkeiten und der Umsetzung des Data Act in der Praxis. Die im aktuellen Vorschlag enthaltene holzschnittartige Betrachtung, bei der es nur eine datenhaltende Stelle zu geben scheint, die zugleich das Produkt verantwortet, trägt dem noch nicht ausreichend Rechnung.
Wie geht es weiter und was sollten Unternehmen schon jetzt tun?
Der Vorschlag der EU-Kommission für einen Data Act wird nun im Rahmen der Trilog-Verhandlungen zwischen der EU-Kommission, dem EU-Ministerrat und dem EU-Parlament weiterdiskutiert und beraten werden. Hierbei dürfte es zu weiteren Änderungen kommen, die hoffentlich auch die genannten Mängel beheben. Klar ist jedoch schon heute, dass es neue Spielregeln für die wirtschaftliche Nutzung von nicht personenbezogenen Daten geben wird. Entsprechende Anforderungen, etwa an die Übertragbarkeit von Daten, sollten daher von Unternehmen berücksichtigt und im Rahmen des Compliance-Management-Systems entsprechende Prozesse zur grundlegenden Umsetzung der Anforderungen in Produkten und Dienstleistungen evaluiert werden. Diejenigen Unternehmen, die bisher keinen Zugang zu Daten haben, sollten darüber hinaus bereits jetzt prüfen, welche Daten sie auf Basis des Data Act zukünftig erhalten können und welche wirtschaftlichen Chancen sich daraus ergeben.
zurück