Die europäische Datenverordnung und das Anzapfen der Datensilos
Das Datenwirtschaftsrecht ist nunmehr juristische Realität
Mit der Verabschiedung der Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung durch das Europäische Parlament am 9.11.2023 sowie durch den Rat der Europäischen Union am 27.11.2023 wurde der vorläufige Schlusspunkt der EU-Datenregulierung gesetzt: Das Datenwirtschaftsrecht ist nunmehr juristische Realität.
Regelungsgegenstand sind Daten, die beim Betrieb von vernetzten Produkten und bei damit verbundenen Diensten anfallen, was letztlich auf binär codierte Informationen vor allem aus dem Bereich des Internet of Things (IoT) zutrifft. Das IoT bezeichnet Alltagsgegenstände, die sich aufgrund von digitaler Vernetzung mit dem Adjektiv “smart” schmücken dürfen: Smart Car, Smart Home, Smart Watch, Smart Fridge usw. Ob ein Personenbezug besteht oder nicht, ist für die Anwendung des kurz als Data Act bzw. als Datenverordnung bezeichneten Sekundärrechtsaktes unerheblich; diese Frage wirft allerdings schwierige Fragen des Zusammen- und Widerspiels insbesondere von Data Act und DSGVO auf.
Der Data Act soll zuvörderst Datensilos mittels Zugangsrechten aufbrechen. Hierbei wird gar eine Art Data Accessibility by Design-Verpflichtung für Hersteller statuiert, die den Ansatzpunkt für eine Regulierung entlang des “IoT-Lebenszyklus” markiert. Anspruchsteller ist stets der Nutzer, der den Zugriff auf die Daten für sich selbst oder deren Portierung direkt an Dritte verlangen kann. Das ermöglicht innovative Geschäftsmodelle, namentlich datenbasierte Dienstleistungen durch besagte Dritte, die idealiter auch wieder dem Nutzer zugutekommen. Anspruchsgegner sind Dateninhaber und damit oftmals diejenigen Hersteller von IoT-Geräten, welche die Geräte auf dem Binnenmarkt vertreiben. Ob die Dritten ihren Sitz oder Aufenthalt in der EU haben, ist demgegenüber irrelevant. Gerade weil während des Gesetzgebungsprozesses das Austarieren der Zugangsrechte mit dem Geschäftsgeheimnisschutz deutlich im Fokus von Lobbybemühungen stand, erscheint es verwunderlich (zutreffend Metzger, www.faz.net/-j9k-bi9on), dass etwa US-amerikanische, chinesische oder indische Dienstleister – wenn auch notwendigerweise über das Placet des Nutzers – solche Daten erhalten, welche Unternehmen (mit)generieren, die sich auf den EU-Markt ausrichten. Es gibt zwar Absicherungsmechanismen für den Erhalt von Geschäftsgeheimnissen; der Regelfall dürfte aber die Eröffnung des Datenzugangs bilden.
Auch wenn der Data Act – zu Recht – kein “Dateneigentum” kreiert, weist er dem Nutzer über eine bemerkenswerte Regelung doch de facto die Nutzungsberechtigung an den IoT-Daten zu. So kann jener die erhaltenen Daten ohne Weiteres verwenden; für Dateninhaber – bis dato immerhin die faktisch ausschließlichen Nutzer der Daten – gilt dies jedoch nicht. Diese müssen hierzu vielmehr nach Art. 4 Abs. 13 Data Act einen Vertrag mit dem Nutzer abschließen. Das ist mit Blick auf die Umkehrung der bisherigen Rollen nichts weniger als eine Revolution (so bereits Hennemann/Steinrötter, NJW 2022, 1481, 1483). Man mag die aufgewertete Position des Nutzers nun als “unvollkommenes” Immaterialgüterrecht bzw. als property right im ökonomischen Sinne beschreiben (Hennemann/Steinrötter, NJW 2023/2024, im Erscheinen).
Im vertragsrechtlichen Kontext verdienen ferner die Bestimmungen des Art. 8 Abs. 2 i. V. m. Art. 13 Data Act Beachtung, die eine Missbrauchskontrolle von solchen B2B-Formularabreden enthalten, deren Anwendung eine “grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt” (Art. 13 Abs. 3 Data Act). Sinn und Zweck soll es sein, strukturelle Ungleichgewichte zwischen Unternehmen auszugleichen (Erwägungsgrund 58 Data Act) – worin diese Imparitäten aber genau bestehen sollen, sagt die neue Datenverordnung freilich nicht (kritisch deshalb Metzger, www.faz.net/-j9k-bi9on).
Daneben reguliert diese noch weitere Aspekte der Datenökonomie. So finden sich etwa Regeln zur Bereitstellung von Daten für öffentliche Stellen, die EU-Kommission, die Europäische Zentralbank und Einrichtungen der EU wegen außergewöhnlicher Notwendigkeit. Hinzu treten Interoperabilitätsvorgaben – was nicht überrascht, handelt es sich hierbei doch um ein prägendes Legislativmotiv der jüngeren EU-Digitalrechtsakte (Schreiber, ZD 2022, 357). Weiterhin werden Datenverarbeitungsdienste, insbesondere Cloud- und Edge-Dienste, in den Blick genommen, um den Wechsel zwischen verschiedenen Anbietern für Nutzer zu erleichtern.
Die wichtigsten Regelungen werden ab Herbst 2025 greifen. Insbesondere die Maschinenbau- und Automobilbranchen sollten sich daher zeitnah auf diese supranationale Rechtsetzung “ins Offene” (vgl. Hennemann/Steinrötter, NJW 2022, 1481, 1485) vorbereiten.
Jun.-Prof. Dr. Björn Steinrötter, Universität Potsdam