Der Data Act ist am 11.01.2024 in Kraft getreten und wird in großen Teilen ab dem 12.9.2025 anwendbar sein. Das Ziel: Die Förderung der Europäischen Datenwirtschaft. Einen ausführlichen Beitrag zum Regelungsgegenstand des Data Acts finden Sie hier.
Während der Data Act neue Ansätze und Lösungen für die Datenwirtschaft in der Union verspricht, stellen sich auch Fragen und Probleme. In diesem Beitrag möchten wir diese Fragen und Probleme aufzeigen und etwaige Überlegungen zu diesen Problemen teilen.
Reichweite Data Act vs. DSGVO?
Der Data Act möchte den Fluss nicht-personenbezogener Daten erleichtern und eine Bewirtschaftung dieser Daten ermöglichen. Spezifisch soll der Zugang zu Daten ermöglicht werden, die während der Nutzung des Produkts oder des Dienstes durch den Nutzer generiert werden. Nicht vom Zugangsrecht umfasst sind Daten, die in ihrer Natur stark verändern wurden, nicht direkt mit dem Produkt zusammenhängen oder im Zusammenhang mit der Aufzeichnung und Anzeige von Inhalten stehen.
Nun können maschinengenerierte Daten aber trotzdem einen Personenbezug aufweisen oder Zwecks Kontrolle der Berechtigung des Zugriffs mit personenbezogenen Daten vermischt werden. Das hätte zur Folge, dass Daten, auf die man eigentlich mit Hilfe des Data Acts zugreifen möchte, nicht erlangen kann, weil der Data Act auf diese Daten dann gerade keine Anwendung findet.
Dies eröffnet gleich mehrere Fragen:
- Was würde Unternehmen, die kein Interesse daran haben, generierte Daten zu teilen daran hindern, diese mit personenbezogenen Daten zu vermengen, um die Anwendbarkeit des Data Acts auszuschließen?
- Wo liegt dann der konkrete Vorteil eines Datenzugangsrechts aus dem Data Acts gegenüber dem Auskunftsanspruch aus der DSGVO?
Vermischung der maschinengenerierten Daten mit personenbezogenen Daten
Ist das Produkt von Anfang an so konzipiert, dass die generierten Daten nur im „Mischzustand“ generiert werden können, dürfte der Data Act von Beginn an keine Anwendung finden. Es bleibt jedoch abzuwarten ob Rechtsprechung oder andere Aufsichtsbehörden Maßstäbe aufstellen, ab wann Datensätze „untrennbar“ miteinander vermischt sind und ob und inwieweit den Hersteller oder Dateninhaber eine Pflicht zur „Entwirrung“ dieser Daten trifft.
Vermischen Unternehmen jedoch nachträglich maschinengenerierte nicht-personenbezogene Daten mit personenbezogenen Daten stellt dies ein Weiterverwendung der Daten ohne Vereinbarung mit dem Nutzer und somit einen Verstoß gegen Art. 4 Abs. 13 DA dar. In diesen Fällen dürfte, sofern nachweisbar, den Dateninhaber ein Bußgeld erwarten.
Differenzierung Datenzugangsrecht und Auskunftsanspruch
Der Data Act richtet sich im Gegensatz zur DSGVO auch an juristische Personen. Nutzer gem. Art. 2 Nr. 12 DA sind natürliche oder juristische Personen, inklusive Betroffene im Sinne der DSGVO, die ein Produkt besitzen, mieten oder leasen oder einen verbundenen Dienst beziehen. Die Rechte der DSGVO beziehen sich gem. Art. 1 Abs. 1 DSGVO hingegen nur auf natürliche Personen.
Mit dem Data Act können somit auch juristische Personen ihr Datenzugangsrecht beanspruchen, während ein Auskunftsanspruch nach Art. 15 DSGVO nur von natürlichen Personen geltend gemacht werden kann. Die nachfolgenden Überlegungen sind daher nur für die Fälle relevant, in denen eine natürliche Person seine Rechte geltend machen möchte.
Mit dem Datenzugangsrecht kann nur auf Daten zugegriffen werden, die während der Nutzung des Produkts oder des verbundenen Dienstes generiert werden. Mit dem Auskunftsrecht können alle personenbezogenen Daten, die zur Person beim Unternehmen vorliegen in Erfahrung gebracht werden. Wie oben ausgeführt dürfte der Großteil der maschinengenerierten Daten am Ende (im Verhältnis B2C) personenbezogen sein. Es käme somit die Vermutung nahe, dass das Auskunftsrecht praktisch weiterreichend wäre als das Datenzugangsrecht aus dem Data Act.
Eine unterschiedliche Betrachtungsweise könnte sich ergeben, wenn man das Zugangsrecht aus zeitlicher Perspektive bewertet. Grundsätzlich sind Hersteller und Anbieter von verbundenen Diensten dazu verpflichtet, sofern möglich, einen Zugang zu den generierten Daten in dem Produkt oder dem verbundenen Dienst selbst zu integrieren. Das würde bedeuten, dass in Fällen, in denen „Access by Design“ verwirklicht wird, die generierten Daten laufend eingesehen werden können müssten. Ein Auskunftsrecht ermöglicht nur die Einsicht in personenbezogene Daten, die ein Unternehmen zum Zeitpunkt der Geltendmachung des Anspruchs über den Anfragenden gespeichert hat. Dies hängt jedoch eindeutig von der tatsächlichen Umsetzung der Datenbereitstellungspflicht ab. In Fällen in denen eine Integration im Produkt oder dem verbundenen Dienst nicht möglich ist, muss eine Anfrage an den Dateninhaber gestellt werden. Ob diese Daten anschließend laufend zur Verfügung gestellt werden müssen ist unklar. Das sich hier allerdings wesentliche Unterschiede im Verfahren zum Auskunftsanspruch nach Art. 15 DSGVO ergeben scheint unwahrscheinlich.
Exzessive Geltendmachung von Geschäftsgeheimnissen
Der Data Act verpflichtet Unternehmen, Daten, die durch die Nutzung ihrer Produkte oder verbundenen Dienste generiert werden, an Nutzer bereitzustellen. Dateninhaber können sich weigern Daten bereitzustellen, sofern im Einzelfall schwere wirtschaftliche Schäden durch die Offenlegung zu befürchten sind. Die bloße Bewahrung von Geschäftsgeheimnissen ist kein ausreichender Grund. Vorliegend handelt es sich jedoch um sehr weiche, unbestimmte Voraussetzungen, sodass zu befürchten sein könnte, dass Unternehmen, die kein Interesse daran haben ihre Daten zu teilen sich weitläufig auf die Gefahr schwerer wirtschaftlicher Schäden berufen und das Vorhaben des Data Acts im Keim ersticken.
Es stellt sich die Frage, wie „raw data“, die im Rahmen der Nutzung maschinengeneriert wird überhaupt vom Geschäftsgeheimnis gedeckt sein soll. Wie oben bereits festgehalten bezieht sich das Datenzugangsrecht gerade nicht auf Daten, die in ihrer Natur stark verändern wurden, nicht direkt mit dem Produkt zusammenhängen oder im Zusammenhang mit der Aufzeichnung und Anzeige von Inhalten stehen. Die Veränderung und Auswertung der Daten wäre aber gerade erst der Punkt, wo man anfangen könnte, über Geschäftsgeheimnispflichten nachzudenken. Rohdaten hätten nicht bloß aufgrund ihrer Geheimhaltung einen kommerziellen Wert. Überdies muss eine Ablehnung schriftlich begründet werden und es muss die zuständige Behörde benachrichtigt werden.[2] Dem Nutzer steht offen, ob er eine Beschwerde bei der Behörde einreicht oder ein Schiedsgericht anruft. In der Praxis wird dies vermutlich darauf hinauslaufen, dass die Rechtsprechung die Voraussetzungen für eine rechtmäßige Ablehnung einer Datenzugangsanfrage festlegen muss.
Reibungspunkte DSGVO – Data Act:
Die DSGVO verpflichtet Unternehmen, die Erhebung und Verarbeitung von Daten auf das notwendige Maß zu reduzieren. Der Data Act hingegen verpflichtet Unternehmen Daten, die durch die Benutzung eines Produktes oder eines Dienstes generiert werden, dem Nutzer gegenüber bereitzustellen. Die „massenhafte“ Bereitstellung von Daten würde der DSGVO und dem darin enthaltenen Datenminimierungsgrundsatz aber gerade zuwiderlaufen. Wie ist diesen beiden konkurrierenden Konzepten Rechnung zu tragen?
Sofern es sich bei den Daten um nicht-personenbezogene Daten handelt, besteht mangels Anwendbarkeit der DSGVO kein Spannungsverhältnis. Hier ist vor allem auf die Anwendungsbereiche in der Industrie zu achten.
Ist der Nutzer jedoch eine natürliche Person, sieht dies anders aus. Hier ist eine Vermischung von personenbezogenen und nicht-personenbezogenen Daten je nach Auslegungsart sehr wahrscheinlich. Ausgehend davon, dass der Data Act keine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten schafft, ist die Frage der Rechtmäßigkeit der Verarbeitung anhand der DSGVO zu beantworten. Während in den Vorgaben der DSGVO ein Hindernis in der Realisierung der Ziele des Data Acts gesehen werden kann, könnten die Vorgaben der DSGVO auch förderlich sein, indem sie bei der Datenbereitstellungspflicht und dem Datenzugangsrecht einen Datenschutz-Standard etablieren und aufrechterhalten, an die sich jeder Hersteller und Anbieter, der dem Data Act unterfällt, halten muss.
Nutzerzentriertes Modell
Dritte haben keinen direkten Zugang zu den bereitgestellten Daten. Vielmehr sind sie auf die Initiative der Nutzer angewiesen, dass diese mit Dritten einen Vertrag über die Einräumung dieser Daten abschließen. Es bleibt zu sehen, ob Nutzer in der Lage sein werden, in digitaler Souveranität, die von ihnen genutzten Geräten produzierten Daten zu vermarkten.
Angeführte Argumente für das nutzerzentrierte Modell sind unter anderem, dass es den Verbraucherschutz verbessere und insbesondere die wirtschaftlichen Interessen der Verbraucher fördere. Ferner wird gerne das Argument verwendet, dass die Daten ohne den Nutzer nicht entstanden wären.
Es stellt sich dennoch die Frage, warum nicht auch andere Marktteilnehmer berechtigt wurden. Das Argument des Verbraucherschutzes kann nicht angeführt werden, da der Nutzerbegriff neben Verbrauchern auch Unternehmen umfasst. Ferner liegt auch keine schöpferische Leistung des Nutzers vor, sodass auch nicht von einem eigentumsähnlichen Ausschließlichkeitsrecht die Rede sein kann.
Die Nutzerzentriertheit des Data Acts dürfte zu Preiserhöhungen bei vernetzten Produkten und verbundenen Diensten führen, da die Kosten für die laufende Bereitstellung der generierten Daten und der Neukonzeption von Produkten und Diensten auf die Nutzer abgewälzt werden dürften. Die genaue Auswirkung des Data Acts auf den Innovationsanreiz bleibt zu sehen.
Ob und inwieweit natürliche Personen aber überhaupt in den Datenhandel einsteigen werden bleibt abzuwarten. Der Datenhandel dürfte sich primär zwischen Unternehmen abspielen, für die eine Einsicht in die eigens generierten Daten einen erheblichen Mehrwert darstellen wird. Auch der Abschluss eines Datenlizenzvertrages (zu eigenen Bedingungen) dürfte Unternehmen einfacher fallen als einer natürlichen Person.
(Eine ausführlichere Auseinandersetzung mit der Nutzerzentriertheit des Data Acts finden Sie hier: Funk, Axel, Das Prinzip der Nutzerzentriertheit des Data Act – ein gravierender Strukturfehler, CR 2023, 421-427)
Fazit
Der Data Act ist nicht perfekt und wird auch nicht alle Beteiligten (naturgemäß) glücklich machen. Mit Inkrafttreten und Anwendbarkeit des Data Acts werden viele Fragen geklärt werden müssen. Dies war aber mit Inkrafttreten der DSGVO nicht anders. Politik, Rechtsprechung und Praxis werden Lösungen erarbeiten, die diesen Problemen und weiteren begegnen.
Fragen?
Sie haben Fragen zum Data Act? Dann nehmen Sie doch einfach mit uns Kontakt auf! Gerne helfen wir Ihnen weiter.