Der EU Data Act kommt

Der EU Data Act hat Ende Juni die letzte Hürde im EU-Gesetzgebungsverfahren genommen. In den so genannten Trilog-Verhandlungen konnten sich die Europäische Kommission, der Rat und das Parlament für ein Gesetz zur Regelung des Zugangs zu Daten, deren Austausch und Übermittlung einigen. Mit dem lange und breit diskutierten EU Data Act sollen europäische Unternehmen nun bei den Themen Datenkontrolle und Transparenz stärker in die Pflicht genommen werden und unter anderem umfangreichere Datenschutzmaßnahmen – vor allem beim Schutz von Geschäftsgeheimnissen – umsetzen. Doch die neuen Anforderungen sorgen bereits seit Längerem für starke Kritik aus der Wirtschaft, beschreiben Dr. Björn Herbers und Dr. Michael Kraus.

Unter anderem seien Definitionen und Begrifflichkeiten teilweise unpräzise und es drohe eine hohe administrative Belastung für die Unternehmen selbst – mit negativen Auswirkungen auf Innovationsfähigkeit und Wettbewerbsfähigkeit. „Der Data Act ist ein Experiment. Er setzt auf umfassende Datenzugangsansprüche, ohne dass überhaupt klar ist, ob und welche Geschäftsmodelle darauf aufbauen können, kritisiert Dr. Björn Herbers, Partner und Rechtsanwalt im Brüsseler Büro der Wirtschaftskanzlei CMS. Eine der Herausforderungen bei den nun umzusetzenden Regeln, sei insbesondere der Schutz von Geschäftsgeheimnissen. „Die Industrie hat im Gesetzgebungsverfahren massive Sorge davor geäußert, dass über Datenzugangsansprüche ihre Geschäftsgeheimnisse abfließen“, erläutert Herbers. Der Schutz von Geschäftsgeheimnissen sei deshalb bis zuletzt Knackpunkt der Verhandlung gewesen. Das sei auch ein kartellrechtliches Thema.

Dr. Michael Kraus, ebenfalls Partner bei der Wirtschaftskanzlei CMS, rät Unternehmen, bereits jetzt die Auswirkungen des Data Act auf ihr Geschäftsmodell zu prüfen und Umsetzungsmaßnahmen einzuleiten: „Es betrifft alle Teile des Unternehmens – Entwicklung, Vertrieb, Rechtsabteilung und unter strategischen und Compliance-Gesichtspunkten nicht zuletzt auch die Unternehmensführung. Verstöße gegen den Data Act sind bußgeldbewehrt und die Bußgeldregelungen entsprechen denen der DSGVO.“

Der Data Act zwinge Unternehmen daher zu einer vorausschauenden Datenstrategie. Weil das Recht zur Datennutzung nur auf der Grundlage vertraglicher Vereinbarung zulässig sei, könnten Unternehmen geneigt sein, ihre Datenstrategie neu und restriktiv auszurichten. Das führe aber zu weniger verfügbaren Daten und laufe damit dem Ziel des Data Act zuwider, so Kraus. Denn der EU Data Act soll die Datenwirtschaft der EU gerade ankurbeln, indem Industriedaten freigegeben, ihre Zugänglichkeit und Nutzung optimiert und ein wettbewerbsfähiger und zuverlässiger europäischer Cloud-Markt gefördert werden, wie die EU-Kommission in einer Pressemitteilung beschreibt. Konkret umfasst der EU Data Act danach:

– Regelungen, die es den Nutzern vernetzter Geräte ermöglichen, auf die Daten zuzugreifen, die von diesen Geräten und den damit verbundenen Diensten erzeugt werden. Die Nutzer können diese Daten an Dritte weitergeben und damit den Anstoß für vielfältige Anschlussdienste und Innovationen geben. Gleichzeitig bleiben die Anreize für die Hersteller, unter Wahrung ihrer Geschäftsgeheimnisse in eine hochwertige Datenerzeugung zu investieren, bestehen.

– Vorschriften zum Schutz vor einseitig auferlegten missbräuchlichen Vertragsklauseln. Diese sollen EU-Unternehmen vor ungerechten Vereinbarungen schützen, faire Verhandlungen fördern und KMU in die Lage versetzen, selbstbewusster am digitalen Markt aufzutreten.

– Mechanismen, mit denen öffentliche Stellen auf Daten des privaten Sektors zugreifen und diese nutzen können, wenn dies bei öffentlichen Notständen (wie bei Überschwemmungen und Waldbränden) oder zur Erfüllung eines gesetzlichen Auftrags nötig ist und die erforderlichen Daten nicht ohne Weiteres auf andere Weise verfügbar sind.

– Neue Vorschriften, die den Kunden die Freiheit geben, zwischen verschiedenen Cloud-Datenverarbeitungsdienstleistern zu wechseln. Diese Vorschriften zielen darauf ab, den Wettbewerb und die Auswahl auf dem Markt zu fördern und gleichzeitig eine unerwünschte Anbieterbindung zu vermeiden. Darüber hinaus enthält das Datengesetz Schutzvorkehrungen, die unrechtmäßige Datenübermittlungen verhindern und für mehr Verlässlichkeit und Sicherheit in der Datenverarbeitungsumgebung sorgen sollen.

– Maßnahmen zur Förderung der Entwicklung von Interoperabilitätsstandards für den Datenaustausch und die Datenverarbeitung im Einklang mit der EU-Normungsstrategie.

Die politische Einigung, die das Europäische Parlament und der Rat erzielt haben, muss nun von den beiden Gesetzgebungsorganen noch förmlich gebilligt werden.

chk