Zum Hauptinhalt springen
24.02.2022

Data Act – neuer EU-Rechtsakt für den Datenaustausch

Die EU-Kommission hat am 23.02.2022 als Teil der europäischen Datenstrategie einen Gesetzesvorschlag für den sogenannten Data Act veröffentlicht (siehe Primärquelle). Ziel des Data Acts ist es unter anderem, den Zugang zu Daten und die Nutzung von Daten zu fördern. Der Gesetzesvorschlag sieht beispielsweise vor, dass Nutzer Zugriff auf Daten erhalten – und diese verwenden und an Dritte weitergeben dürfen –, die mit ihren eigenen vernetzten Geräten wie etwa Sprachassistenten gewonnen werden. Außerdem soll der Wechsel zwischen Datenverarbeitungsdiensten wie Cloud-Diensten erleichtert werden. Des Weiteren sollen öffentliche Stellen in Notfällen auf Daten zugreifen dürfen – wie etwa bei einem Gesundheitsnotstand, größeren Naturkatastrophen oder Notfällen, die aus Umweltzerstörung resultieren.

Das SMC hat Fachleute unter anderem gefragt, wie sie den Stellenwert des Data Act bewerten, welche Aspekte positiv sind und wo noch Verbesserungsbedarf besteht.

Übersicht

     

  • Prof. Dr. Tobias Keber, Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien Stuttgart
  •  

  • Prof. Dr. Anne Riechert, Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences
  •  

  • Prof. Dr. Indra Spiecker genannt Döhmann, Inhaberin des Lehrstuhls für Öffentliches Recht, Informationsrecht, Umweltrecht, Verwaltungswissenschaften, und Direktorin der Forschungsstelle Datenschutz, Johann Wolfgang Goethe-Universität, Frankfurt am Main
  •  

  • Prof. Dr. Björn Steinrötter, Juniorprofessor für IT-Recht und Medienrecht, Juristische Fakultät, Universität Potsdam
  •  

  • Prof. Dr. Matthias Kettemann, Programmleiter Forschungsprogramm „Regelungsstrukturen und Regelbildung in digitalen Kommunikationsräumen“, Leibniz-Institut für Medienforschung | Hans-Bredow-Institut (HBI), und Universitätsprofessor für Innovation, Theorie und Philosophie des Rechts, Universität Innsbruck, Österreich
  •  

  • Prof. Dr. Tobias Gostomzyk, Professor für Medienrecht, Technische Universität Dortmund
  •  

Statements

Prof. Dr. Tobias Keber

Professor für Medienrecht und Medienpolitik in der digitalen Gesellschaft, Hochschule der Medien Stuttgart

„Der Data Act muss in seinem digitalpolitischen Kontext gesehen werden. Die bereits im Februar 2020 veröffentlichte Datenstrategie der EU verfolgt das Ziel, das Potenzial eines europäischen Datenraums voll auszuschöpfen. Ein größtmöglicher ‚free flow of data‘ und ein Datenbinnenmarkt würden die Wettbewerbsfähigkeit europäischer Unternehmen im internationalen Wettlauf der Innovationen entscheidend verbessern, so die Idee. Tatsächlich scheinen sich die in der DSGVO (Datenschutzgrundverordnung; Anm. d. Red.) nach wie vor prominent vertretenen Grundsätze der Datenminimierung und von ‚Privacy by Design‘ (Datenschutz muss dabei schon bei der Entwicklung von Software und Hardware zur Datenverarbeitung mitgedacht werden; Anm. d. Red.) nur schwerlich mit datengetriebenen Innovationen, namentlich der Künstlichen Intelligenz, zu vertragen. Bereits mit der ersten Säule der Datenstrategie der EU, dem Data Governance Act [1], wurde daher ein Paradigmenwechsel eingeläutet, der mit dem Data Act nun weiter ausgestaltet wird. In der Tragweite dürften die von der Kommission vorgeschlagenen Mechanismen den großen Regulierungsreformen in Gestalt der Datenschutzgrundverordnung und des Digital Services Acts wenig nachstehen.“

„Nach wie vor unklar ist, wie sich der Data Act genau in das das hochkomplexe Geflecht bestehender und geplanter europäischer Vorgaben für die Daten- und Digitalwirtschaft einfügen wird. Zwar finden sich im Entwurf explizit Regeln zum Verhältnis des Data Acts zur Datenschutzgrundverordnung (DSGVO) [2]. So heißt es beispielsweise, die bereits in der DSGVO vorgeschriebene Datenportabilität (Artikel 20 DSGVO) (Datenübertragbarkeit; Recht auf Datenportabilität in der DSGVO bedeutet, dass Nutzende ihre (personenbezogenen) Daten mitnehmen dürfen, wenn sie den Anbieter wechseln; Anm. d. Red.) werde durch den Data Act weiter konkretisiert. Grundsätzlich ist der Anwendungsbereich des Data Acts mit der Einbeziehung auch nicht personenbezogener Daten (Maschinendaten) weit. Im Einzelfall kann die Frage, welches Normregime (abschließend) anwendbar ist, aber schwierig werden: Theoretisch lassen sich personenbezogene Daten von nicht personenbezogenen Maschinendaten (leicht) abgrenzen. Die Praxis steht aber auf einem anderen Blatt – wie die Verarbeitung von Daten in hochautomatisierten Fahrzeugen immer wieder zeigt.“

„Problematisch sind auch Überschneidungen des Data Acts mit solchen europäischen Vorgaben für die Datenwirtschaft, die im Gesetzgebungsverfahren noch gar nicht final ausverhandelt sind. Das gilt etwa für den Digital Markets Act, den Data Governance Act oder die ePrivacy Verordnung. Bildlich gesprochen ist die Situation gegenwärtig etwa so, als hätte man ein Puzzle vor sich, bei dem die endgültige Gestalt einiger Puzzleteile noch gar nicht feststeht.“

„In der Praxis schwierig dürfte unter anderem die Anwendung der Vorschrift zu technischen Schutzmaßnahmen werden (Artikel 11), die Grenzen der Datenportabilität beschreibt. In der Sache geht es um die Anwendung eines Kopier- beziehungsweise Weitergabeschutzes, den der dazu berechtigte Dateninhaber beispielsweise durch Smart Contracts implementieren kann, was allerdings bestimmten Interessen der Nutzenden nicht entgegenstehen darf. Hier sind Streitigkeiten ebenso vorprogrammiert wie beim im Entwurf des Data Acts näher ausbuchstabierten Verbots der Verwendung ‚unfairer‘ Vertragsklauseln zu Datenzugang und -nutzung gegenüber kleinen und mittleren Unternehmen (Artikel 13).“

„Aus Sicht der Nutzenden enthält das zweite Kapitel des Entwurfs des Data Act durchaus erfreuliche Ansätze, etwa indem Zugangsrechte auf ihre durch vernetzte Geräte (Internet of Things, IoT) generierten Daten geregelt werden (Artikel 4). Auch dass dieses Recht strukturell in Gestalt einer ‚Data-Accessibility by Design‘ abgesichert wird (Artikel 3), ist ein wichtiger Aspekt. Wenn es beim Data Act aber darum gehen soll, Anreize für die Zurverfügungstellung, beziehungsweise das Teilen von Daten zu setzen, ist das jedenfalls aus Sicht der Nutzenden wenig attraktiv ausgestaltet. Eine wirtschaftliche Kompensation ist nur auf Ebene der Verwertung (im Verhältnis zwischen ‚Data Holder‘ und ‚Data Recipient‘) vorgesehen, nicht aber zu Gunsten der Nutzerinnen und Nutzer (Artikel 9). Ferner wird das Recht der Nutzenden, Daten an Dritte weiterzugeben, wenig selbstbestimmungsfreundlich modifiziert, sollte es sich bei den Dritten um (marktbeherrschende) Gatekeeper handeln (Artikel 5).“

„Die zuletzt angesprochene Konzeption bei der Datenweitergabe an Gatekeeper (Artikel 5) hat durchaus protektionistische Züge und wäre auf ihre welthandelsrechtliche Zulässigkeit (Recht unter Ägide der World Trade Organization WTO, dort namentlich im Licht der Bestimmungen des General Agreement on Trade in Services, GATS) [3] näher zu untersuchen.“

Auf die Frage, welche Auswirkungen der Zugriff von öffentlichen Stellen im Notfall auf die Datenweitergabe in der Pandemie hätte und inwiefern die Weitergabe von Daten an öffentliche Stellen in Konflikt mit anderen Rechten tritt:
„Die Weitergabe von (personenbezogenen) Daten in einem pandemischen Ausnahmezustand ist sowohl auf Grundlage der DSGVO als auch auf Grundlage des Data Act möglich. Zu Gunsten von Behörden (Public Sector Bodies) ist das nach dem Data Act ausnahmsweise möglich, wenn ein außergewöhnliches Bedürfnis besteht (exceptional need). Dessen Vorliegen muss die Anspruch stellende Behörde näher substantiieren, beziehungsweise nachweisen (Artikel 15), sodass jedenfalls keine leichtfertigen Übermittlungen zu befürchten sind.“

Prof. Dr. Anne Riechert

Professorin für Datenschutzrecht und Recht in der Informationsverarbeitung, Frankfurt University of Applied Sciences

„Gemäß des Data Act sind die Besitzverhältnisse über ein Produkt für die Ausübung des Datenportabilitätsrecht (Recht auf Datenübertragbarkeit; Anm. d. Red.) entscheidend. Produkte im Sinne des Data Act können etwa Fahrzeuge, Haushaltsgeräte und Konsumgüter, Medizin- und Gesundheitsgeräte oder landwirtschaftliche und industrielle Maschinen sein, die Daten über ihren Gebrauch oder Umgebung erfassen, erzeugen oder sammeln.“

„Zur Ausübung des Rechts im Sinne des Data Act ist derjenige ‚Nutzer‘ berechtigt, der ein solches Produkt ‚besitzt‘, zum Beispiel der Mieter oder Leasingnehmer. Damit ist gleichermaßen ein Verfügungsrecht über Daten verbunden, welchem eine wirtschaftliche Betrachtungsweise zugrunde liegt und das an Eigentums- oder Besitzverhältnisse oder zumindest an ‚getätigte Investitionen‘ anknüpft. Damit wird das Recht auf Datenübertragbarkeit gemäß Artikel 20 Datenschutzgrundverordnung (DSGVO) [2] erweitert.“

„Insgesamt bedeutet dies, dass die datenschutzrechtliche Fragenstellungen im Binnenverhältnis zwischen dem ‚Produktbesitzer‘ als verantwortlichem Datenverarbeiter und demjenigen zu klären sind, dessen personenbezogene Daten im Rahmen des Produkts verarbeitet werden (Betroffener). Aus datenschutzrechtlicher Sicht wird zwar eine Rechtsgrundlage gefordert, dennoch können sich – beispielsweise mit Blick auf Beschäftigungsverhältnisse – Herausforderungen ergeben. Insbesondere ist auch zu berücksichtigen, dass regelmäßig derjenige Nutzer, der das Gerät geleast oder gemietet hat, für die Informations- und Auskunftsrechte gegenüber den Betroffenen verantwortlich ist und die Maßnahmen zu ihrem Schutz sicherstellen muss – aber dies oftmals in der Praxis nicht leisten kann, da ihm selbst die Datenverarbeitungsprozesse nicht vollständig bekannt sind, wenn der Dienstleister oder Hersteller oder ‚Datenhalter‘ das ‚Produkt‘ bereitstellt oder betreibt. Diese Problematik stellt sich bereits aktuell im Zusammenhang mit Wearables. Der Data Act verweist an dieser Stelle nur auf eine mögliche gemeinsame datenschutzrechtliche Verantwortung. Die Herausforderungen des Datenschutzrechts werden somit auf die zweite Ebene, nämlich das Verhältnis zwischen etwa einem Leasingnehmer und Betroffenen verlagert.“

„Der im datenschutzrechtlichen Sinne Betroffene, also derjenige, dessen personenbezogene Daten verarbeitet werden, kann zwar gemäß Data Act ebenso Anspruchsberechtigter des Rechts auf ‚Datenteilung‘ sein (Artikel 5 Data Act), wenn er ‚Produktbesitzer‘ ist. Dies entspricht jedoch insgesamt nicht mehr der ursprünglichen Idee des Rechts auf Datenübertragbarkeit, die Monopolstellung von sozialen Netzwerken durch Netzwerkeffekte aufzuweichen und den Wechsel zu datenschutzfreundlichen Technologien zu ermöglichen. Das datenschutzrechtliche Kontrollrecht steht nicht mehr im Mittelpunkt. Hierbei muss außerdem berücksichtigt werden, dass auch ein (kontinuierlicher) Zugriff auf die personenbezogenen Nutzungsdaten eines Dienstes in Echtzeit erlaubt ist, wenn der Nutzer des Produkts dies verlangt. Im Rahmen des Betroffenenrechts auf Datenübertragbarkeit gemäß Artikel 20 DSGVO hat die Datenethikkommission allerdings darauf hingewiesen, dass von einer vorschnellen Erweiterung des Portabilitätsrechts auf Portierung in Echtzeit zunächst abgesehen werden sollte. Dies hat der Data Act nicht berücksichtigt.“

„Geschützt ist der Betroffene dadurch, dass nach der Intention des Data Act insbesondere die Datenschutzgrundverordnung nicht berührt wird (Erwägungsgrund 7 Data Act). Dies bedeutet in der Konsequenz ebenso, dass der Dritte, an den die Daten übertragen werden, zum neuen Verantwortlichen wird und Betroffenenrechte, wie zum Beispiel Informationsrechte, zu erfüllen hat. Gemäß Erwägungsgrund 24 Data Act wird außerdem der ‚Datenhalter‘ als Verantwortlicher für die Datenverarbeitung im Sinne der Datenschutzgrundverordnung betrachtet, sodass dieser ebenso für die Sicherstellung der notwendigen Garantien im Sinne des Artikel 44 ff. DSGVO bei Datentransfers in Drittländer verantwortlich wäre. Legt man daher den Data Act konsequent im Sinne seines Erwägungsgrund 7 dahingehend aus, dass die Rechte der Datenschutzgrundverordnung nicht berührt werden, wären beispielsweise ‚Import- und Export‘- Buttons für eine Datenteilung zwischen unterschiedlichen Diensten nur möglich, wenn die Anforderungen der Datenschutzgrundverordnung eingehalten werden. Zu berücksichtigen ist, dass an sogenannte Gatekeeper im Sinne des Digital Market Act keine Daten übermittelt werden dürfen (Ein Gatekeeper ist ein Betreiber zentraler Plattformdienste, der etwa erhebliche Auswirkungen auf den Binnenmarkt hat oder gewerblichen Nutzern als ‚wichtiges Zugangstor zu Endnutzern‘ dient. Hierbei spielen Umsatz und Anzahl der Endnutzer eine Rolle).“

„Für die Weitergabe personenbezogener Daten an öffentliche Stelle wäre gemäß Artikel 6 Absatz 1 lit. c DSGVO eine normenklare nationale Regelung zu fordern. Dies wird allerdings nicht einheitlich beantwortet.“

Prof. Dr. Indra Spiecker genannt Döhmann

Inhaberin des Lehrstuhls für Öffentliches Recht, Informationsrecht, Umweltrecht, Verwaltungswissenschaften, und Direktorin der Forschungsstelle Datenschutz, Johann Wolfgang Goethe-Universität, Frankfurt am Main

„Der Data Act schließt endlich eine Regelungslücke, indem die Nutzung von Daten (personenbezogenen und sonstigen) rechtlichen Regeln unterzogen wird. Dabei geht es vor allem um Daten, die im professionellen Kontext anfallen, etwa bei Verwendung eines Produkts oder Services, also zum Beispiel beim Autofahren oder bei der Nutzung von Internet-Dienstleistungen. Allein schon, dass es nunmehr Regelungen gibt, nach denen Daten weiterverwendet werden dürfen und weitergegeben werden müssen, ist positiv zu beurteilen.“

„Allerdings bleibt der Data Act naiv, wenn es um die Verwendung von Daten geht und trägt den dahinterstehenden Werten und Interessen nicht ausreichend Rechnung. Auch die ökonomische Dimension, unterschiedliche Qualitäten sowie die besonderen Eigenschaften wie Mehrfach-Verwendbarkeit von Daten werden nicht abgebildet.“

„Aus innovationsfreundlicher Sicht ist die weitgehende Freistellung der kleinen Unternehmen von den Regelungen zu begrüßen. Es ist aber zu bemängeln, dass die Zwecke des Datenempfängers im Dunkeln verbleiben können, dass die Gegenleistungen viel zu undifferenziert ausgestaltet sind. Auch der Schutz von Betriebs- und Geschäftsgeheimnissen wie auch der personenbezogenen Daten ist zu wenig konkret ausgestaltet; allein die Bezugnahme auf die DSGVO [2] genügt nicht. Das schwächt die Rechte von Individuen zusätzlich, deren Interessen im Datenmarkt ohnehin kaum noch abgebildet werden. Auch die Ergänzung des Rechts auf Datenportabilität aus der DSGVO ist unvollständig geregelt; es bleibt weiterhin unklar, inwieweit eine Drittpartei (zum Beispiel Versicherungen) die Geltendmachung eines solchen Rechts für ihre eigenen Interessen verlangen dürfen – jenseits der Beschränkungen für bestimmte Plattformen nach Artikel 5 Absatz 2 Data-Act-E. Die Informationspflichten setzen erneut auf ein Instrument, dessen Wirksamkeit fragwürdig ist, erst recht, weil immer mehr Informationen den Verbrauchern zugemutet und von diesen gar nicht mehr verstanden werden können. Die Einrichtung einer weiteren Behörde/Untereinheit, die bestimmte Standardisierungen treffen soll, führt zu weiterer Bürokratie.“

Auf die Frage, welche Auswirkungen der Zugriff von öffentlichen Stellen im Notfall auf die Datenweitergabe in der Pandemie hätte und inwiefern die Weitergabe von Daten an öffentliche Stellen in Konflikt mit anderen Rechten tritt:
„Die Notfallregelungen – vermutlich eine Reaktion auf die Pandemie – sind zu unspezifisch und beschränken die Verwendung für mittelbare Zwecke kaum. Zudem wird die Bindung der öffentlichen Hand durch zur Weitergabe von solchen Daten durch andere Gesetze und innerhalb der Verwaltung nicht hinreichend berücksichtigt.“

Prof. Dr. Björn Steinrötter

Juniorprofessor für IT-Recht und Medienrecht, Juristische Fakultät, Universität Potsdam

„Daten, Künstliche Intelligenz und Plattformen bilden die IT-Trias unserer Zeit. Dass sich Brüssel an diesen Themen gesetzgeberisch eifrig abarbeitet, ist kein Zufall und mit Blick auf die hier oft gegebenen grenzüberschreitenden Sachverhalte zu begrüßen. Denn rein nationale Gesetzgebung stößt hier längst an Grenzen. Nach Entwürfen für eine KI-Verordnung und zwei Plattformgesetzen, dem Digital Markets Act und dem Digital Services Act, steht mit dem Data Act nun also die Datennutzbarkeit im Fokus. Es handelt sich um ein überragend wichtiges Legislativprojekt, das sich anschickt, das Herzstück eines im Entstehen befindlichen EU-Datenwirtschaftsrechts zu werden.“

„Der Entwurf für einen Data Act enthält einige gute Ansätze, auch wenn noch Detailarbeit nötig sein wird. Positiv ist zu bewerten, dass sich die Kommission endgültig für Datenzugangsrechte anstatt für Datenausschließlichkeitsrechte entscheidet. Nur dies kann Datennutzbarkeit und -handelbarkeit fördern, während eine Art von ‚Dateneigentum‘ die bislang gegebene faktische Exklusivität in abgeschotteten Datensilos nur durch eine rechtliche Exklusivität ersetzt hätte. Klar ist aber auch, dass vor allem die Bestimmungen zu unfairen Vertragsklauseln auf Widerstand stoßen werden. Sie werden als überzogener Eingriff in die Vertragsfreiheit gebrandmarkt und im weiteren Gesetzgebungsverfahren von bestimmten Seiten bekämpft werden.“

Prof. Dr. Matthias Kettemann

Programmleiter Forschungsprogramm „Regelungsstrukturen und Regelbildung in digitalen Kommunikationsräumen“, Leibniz-Institut für Medienforschung | Hans-Bredow-Institut (HBI), und Universitätsprofessor für Innovation, Theorie und Philosophie des Rechts, Universität Innsbruck, Österreich

Auf die Frage, wie der Data Act und dessen Stellenwert generell zu beurteilen ist:
„Das EU-Datengesetz (oder EU-Daten-Rechtsakt) ist ein großer Wurf, ein weiterer Edelstein in der Krone der EU-Plattformregulierung. Es ist ein großes und wichtiges Puzzlestück im Rahmen der Reform des EU-Datenraums. Ein starkes Stück, aber noch nicht das Ende des Prozesses, zumal einige sektorale Rechtsakte noch ausstehen und auch erst die Verhandlungen mit Parlament und Rat beginnen.“

„Die Konturen eines faireren, europäischen Datenraums liegen hier vor – in dem KMUs (kleine und mittlere Unternehmen; Anm. d. Red.) und Verbraucher*innen geschützt werden und die Potenziale von unternehmerischen Daten – 80 Prozent sind davon laut EU-Kommission ungenutzt – gehoben werden. Mit dem Data Act wird das Management des wohl wichtigsten Rohstoffs unserer Zeit (der Daten) demokratischer, offener, fairer, menschenzentrierter und wettbewerbsfreundlicher.“

„Der Data Act ist Teil der Neuregelung der digitalen Welt durch die EU-Kommission, zusammen mit den Gesetzen zu digitalen Diensten (DSA), digitalen Märkten (DMA) und dem Vorschlag zur Regulierung von Algorithmen. Neue Recht für Verbraucher*innen und KMUs werden geschaffen; datenbezogene AGBs der Datenriesen werden verstärkten Regeln unterworfen. Der Data Act bringt wichtige neue Regeln für die Datennutzung und erleichtert der Wissenschaft und öffentlichen Einrichtungen den Zugang zu Daten, die zum Beispiel Plattformen vorrätig halten.“

„Wir Menschen produzieren mehr als 100 Zettabyte an Daten im Jahr – eine unvorstellbare Menge. In diesen Daten schlummert sehr viel Wissen darüber, wie sich Menschen verhalten, was sie sich wünschen, was sie denken, wie Gesellschaften gelenkt werden können und wie wir – nur ein Beispiel – effektiver gegen den Klimawandel kämpfen können. Ein überwältigender Teil dieser Daten liegt aber in privater Hand. Wissenschaft und Politik haben kaum Zugriff darauf, auch einzelne Menschen nicht. Mit dem Data Act soll sich das nun alles ändern.“

„Der Data Act ergänzt auch den kürzlich verabschiedeten Data Governance Act, der die freiwillige Weitergabe von Daten durch Einzelpersonen und Unternehmen erleichtern und die Bedingungen für die Nutzung bestimmter Daten des öffentlichen Sektors harmonisieren soll. Er macht Europa zum führenden Datenwirtschaftsraum, stärkt die Verbraucher*innen und ihre Rechte, schafft ein faires Spielfeld für kleinere Unternehmen und hilft der Wissenschaft, Zugriff zu jenen Daten zu bekommen, die wichtig sind, um die großen Fragen der Zukunft klären zu können. Es ist sehr wichtig, dass die Daten entlang der Wertschöpfungs- und Lieferkette zurückfließen und nicht monopolisiert werden.“

„Clever ist auch, dass keine neue Regulierungsbehörde eingeführt wird, sondern bestehende Behörden – hier vor allem die Datenschutzbehörden – zur Kooperation bei der Überwachung der Regeln im Datengesetz aufgefordert werden.“

„Besonders positiv ist die Stärkung der Rechte der Verbraucher*innen, die ein Recht auf Übertragbarkeit ihrer Daten (Datenportabilität) erhalten. Wenn Daten von einem Produkt produziert werden, das einem gehört, dann hat man auch das Recht an diesen Daten. Die entsprechende Bestimmung in der DSGVO wird nun besonders praxisrelevant.“

„Das Datengesetz sorgt für mehr Wettbewerb auch im Bereich Reparatur und Wartung, indem hier eine Pflicht zur Weitergabe von Daten festgelegt wird. Das hilft dabei, Produkte länger am Leben zu halten, macht den Reparaturmarkt kompetitiver. Die EU-Kommission sieht den Rechtsakt auch als Teil des europäischen Green Deal.“

„Wichtig ist auch, dass das Datengesetz der Wissenschaft breite Zugangsrechte gibt, damit etwa Sozialwissenschaftler*innen besser die Kommunikationsdynamiken auf Plattformen untersuchen können und nicht auf die freiwillige Kooperation der Plattformen angewiesen sind. Der Rechtsakt enthält auch Regeln zu Smart Contracts, die so ausgestaltet werden müssen, dass die Daten, die sie produzieren, archiviert werden können und die auch eine Ausschaltemöglichkeit enthalten müssen.“

„Verbraucher*innen werden – wie auch schon im DSA – verstärkt geschützt vor illegitimen Praktiken der Plattformen: Bestimme Arten des Profiling und die Nutzung von irreführenden Designeigenschaften (Dark Patterns) werden verboten. Auch verboten werden Gebühren, die den Wechsel eines Cloud-Anbieters untunlich erscheinen lassen. Neben Endnutzer*innen werden auch die Rechte von kleineren Unternehmen – für Deutschland besonders wichtig: der Mittelstand – gestärkt. Sie erhalten einfacheren Zugang zu den Daten, die ihre Produkte produzieren.“

Auf die Frage, wie sich durch den Data Act die Weitergabe von Daten international (und insbesondere in die USA) ändern würde:
„Unmittelbar hilft das Datengesetz nicht, da das Hauptproblem – dass die USA kein äquivalentes Schutzniveau für Daten haben – nicht gelöst wird. Das Datengesetz verbleibt zunächst europäisches Recht, aber ist zu erwarten, dass manche normativen Ansätze via ‚Brüssel-Effekt‘ globale Wirkung erzeugen werden. KMUs dürfen sich aber freuen, dass sie im Datengesetz das Recht verankert haben, zwischen Cloud-Diensten zu wechseln.“

Auf die Frage, welche Auswirkungen der Zugriff von öffentlichen Stellen im Notfall auf die Datenweitergabe in der Pandemie hätte und inwiefern die Weitergabe von Daten an öffentliche Stellen in Konflikt mit anderen Rechten tritt:
„Besonders ausführlich ist dieser Teil nicht. In Notfällen und zur Abwendung von Gefahren ist es wichtig, dass Daten bei staatlichen Stellen landen. Dieser Zugang muss schnell und kostenneutral sein. Die Pandemie hat gezeigt, dass vermeintlich wegen ‚Datenschutz‘ bestimmte Maßnahmen nicht oder nicht so schnell gesetzt werden konnten. Schon jetzt war es indes meist so, dass eine richtige Interpretation nötige Schritte und sinnvollen Datenaustausch ermöglicht hätte, aber jetzt gibt es noch mehr Rechtssicherheit.“

Prof. Dr. Tobias Gostomzyk

Professor für Medienrecht, Technische Universität Dortmund

„Der Data Act steht für eine Neuordnung der Datennutzung in der EU. Im Fokus stehen Daten, die beim Gebrauch eines Produkts oder eines damit verbundenen Dienstes erzeugt werden. 80 Prozent dieser Daten sollen nach Angaben der EU-Kommission bislang ungenutzt sein. Deshalb bezweckt der Data Act, den Zugang zu diesen Daten zu regeln. Das betrifft nicht nur die datenökonomischen Interessen von Unternehmen, die solche Daten erheben, austauschen und verarbeiten, sondern auch die Privatnutzerinnen und -nutzer von Produkten wie etwa Sprachassistenzen, Smartwatches oder Fitnesstracker. Sie sollen mehr Rechte erhalten, um sich über die von ihnen erzeugten Nutzungsdaten zu informieren; etwa durch eine ‚datentransparente‘ Gestaltung von Produkten und durch Auskunft. Bezweckt ist also eine zweiseitige Erleichterung des Datenzugangs: Unternehmen sollen Daten leichter kommerzialisieren können, Nutzerinnen und Nutzer stärker durch Transparenz geschützt werden. Dabei sollen zum Beispiel Interoperabilitätsstandards für die Nutzung von Daten eingeführt werden, die einen Datentransfer begünstigen. Auch ist etwa beabsichtigt, den Wechsel zwischen Cloud- und Edge-Diensten zu erleichtern.“

„Die Stärkung der Rechte von Nutzerinnen und Nutzern ist positiv zu bewerten. Dabei gilt das Prinzip eines einfachen, schnellen und barrierefreien Zugangs, der sogar kontinuierlich und in Echtzeit erfolgen soll. Allerdings hat die Vergangenheit in Bezug auf personenbezogene Daten gezeigt, dass Nutzerinnen und Nutzer kaum von Auskunftsrechten Gebrauch machen. Diese wurden mit der Datenschutzgrundverordnung gestärkt. Es ist zu erwarten, dass der Gebrauch von Informationsmöglichkeiten eine Angelegenheit von Wenigen sein wird. Allerdings können diese Daten nicht nur Nutzerinnen und Nutzern selbst, sondern auf Wunsch auch Dritten zur Verfügung gestellt werden. Hier ließen sich Verbraucherschutz-Interessen auch übertragen – zumal die Einschätzung von Risiken oftmals eines Spezialwissens bedarf. Nicht dagegen dürfen Daten an besonders große und mächtige Unternehmen wie Meta oder Google weitergegeben werden. Diese sollen auch nicht auffordern dürfen, Daten mit ihnen zu teilen.“

„Außerdem müssen beim Datenteilen Rechte Dritter beachten werden, etwa der Schutz von Betriebs- und Geschäftsgeheimnissen. Hier müssten etwa alle erforderlichen Maßnahmen getroffen werden, um ihre Vertraulichkeit zu wahren. Derzeit bestehen allerdings Unklarheiten, wie man Geschäftsgeheimnisse unter den Bedingungen einer Pflicht zum Datenteilen wirksam schützen kann.“

„Das Verbot bestimmter Regeln in Standardverträgen gegenüber Kleinst-, Klein- und mittleren Unternehmen wird teilweise als Eingriff in die Vertragsfreiheit kritisiert. Dabei wird das Risiko gesehen, dass die Partei mit der stärkeren Verhandlungsposition diese Position bei den Verhandlungen über den Datenzugang zum Nachteil der anderen Vertragspartei ausnutzt. So könnte der Datenzugang weniger rentabel oder sogar wirtschaftlich unerschwinglich werden.“

Auf die Frage, inwiefern Rechte – etwa die Rechte von Nutzerinnen und Nutzern – durch den Data Act gestärkt oder geschwächt werden:
„Hierzu wurde bereits oben ausgeführt: Die Rechte von Nutzerinnen und Nutzern sollen gestärkt werden, um stärkere Datentransparenz zu schaffen. Auch stellt die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten eine Stärkung der Nutzerrechte dar. Es sollen Hindernisse für einen Wechsel zwischen Anbietern von Datenverarbeitungsdiensten beseitigt werden. So könnte es in Zukunft standardisierte Bedingungen für den Wechsel zwischen Anbietern von Datenverarbeitungsdiensten geben, die etwa eine Kündigungsfrist von höchstens 30 Tagen umfasst oder prohibitive Umstellungsgebühren schrittweise abschafft.“

Auf die Frage, wie sich durch den Data Act die Weitergabe von Daten international (und insbesondere in die USA) ändern würde:
„Der Entwurf des Data Act bestimmt strenge Voraussetzungen für den internationalen Zugang zu Daten und die Übermittlung von Daten. Grundsätzlich werden Datenverarbeitungsdienste verpflichtet, durch angemessene technische, rechtliche und organisatorische Maßnahmen eine Übermittlung von Daten zu verhindern, die mit europäischem oder dem nationalen Recht des jeweiligen Mitgliedstaats unvereinbar ist. Allerdings sind auch Ausnahmen vorgesehen: So soll die Weitergabe von nicht-personenbezogenen Daten dann möglich sein, wenn zwischen dem ersuchenden Drittland und der Union eine internationale Übereinkunft gilt, wie etwa ein Rechtshilfevertrag, oder eine solche Übereinkunft zwischen dem ersuchenden Drittland und einem Mitgliedstaat besteht.“

Auf die Frage, welche Auswirkungen der Zugriff von öffentlichen Stellen im Notfall auf die Datenweitergabe in der Pandemie hätte und inwiefern die Weitergabe von Daten an öffentliche Stellen in Konflikt mit anderen Rechten tritt:
„Bei öffentlichen Notfällen – wie Notfällen im Bereich der öffentlichen Gesundheit, Notfällen infolge von Umweltschäden und größeren Naturkatastrophen – überwiegt grundsätzlich das öffentliche Interesse an der Datennutzung. Wann ein solcher öffentlicher Notfall vorliegt, soll sich nach den jeweiligen Verfahren der Mitgliedstaaten bemessen. Auch kann ein Notfall durch ausgewiesene internationale Organisationen festgestellt werden. Aber auch in anderen Konstellationen kann nach dem Entwurf des Data Acts ein übergeordneter Bedarf an Daten bestehen, beispielsweise im Zusammenhang mit der rechtzeitigen Erstellung amtlicher Statistiken, wenn Daten nicht anderweitig verfügbar sind oder wenn die Belastung der Auskunftspersonen erheblich verringert wird.“

„Artikel 15 regelt die genauen Voraussetzungen, wann ein solcher außergewöhnlicher Bedarf an der Verwendung von Daten vorliegt. Genannt wird hier etwa, dass Daten erforderlich sind, um auf den öffentlichen Notfall zu reagieren oder wenn die Datenanforderung zeitlich und vom Umfang her begrenzt ist und notwendig ist, um die öffentliche Notlage abzuwenden oder bei der Bewältigung zu unterstützen. Auch kann eine öffentliche Stelle bei fehlender Datenlage daran gehindert sein, im öffentlichen Interesse liegende Aufgaben zu erfüllen. Deshalb soll sie gegebenenfalls Herausgabe von Daten verlangen können.“

„Für die Datenweitergabe in der Pandemie könnte dies Folgendes bedeuten: Eine Pandemie kann einen öffentlichen Notfall darstellen. Die entsprechenden Daten müssten aber auch im konkreten Fall erforderlich sein, um auf den öffentlichen Notfall zu reagieren. Oder – wenn die Datenanforderung nur zeitlich und vom Umfang her begrenzt ist – müssten die Daten notwendig sein, um die öffentliche Notlage abzuwenden oder bei der Bewältigung zu unterstützen. Der Grundsatz der Verhältnismäßigkeit würde auch hier gelten.“

Angaben zu möglichen Interessenkonflikten

Prof. Dr. Tobias Keber: „Interessenkonflikte: keine.“

Prof. Dr. Anne Riechert: „Interessenkonflikte bestehen keine.“

Prof. Dr. Matthias Kettemann: „Interessenkonflikte liegen keine vor.“

Prof. Dr. Tobias Gostomzyk: „Interessenkonflikte sehe ich keine.“

Alle anderen: Keine Angaben erhalten.

Primärquelle

Europäische Kommission (2022): Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data.

Literaturstellen, die von den Experten zitiert wurden

[1] Europäische Union (2020): Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act).

[2] Europäische Union (2016): Europäische Datenschutzgrundverordnung. Amtsblatt der Europäischen Union.

[3] World Trade Organization: The General Agreement on Trade in Services (GATS): objectives, coverage and disciplines.

Weitere Recherchequellen

Europäische Kommission (2020): Europäische Datenstrategie.

Science Media Center (2020): EU-Kommission schlägt neuen Rechtsrahmen für Plattformbetreiber vor. Rapid Reaction. Stand: 15.12.2020.