Update Datenschutz Nr. 187
Europäische Kommission veröffentlicht FAQ zum Data Act
Am 13. September 2024 hat die Europäische Kommission umfangreiche FAQ zum Data Act („DA“) veröffentlicht. Die FAQ entstanden im Austausch mit den verschiedenen relevanten Interessengruppen. Sie sollen zentrale Fragen rund um den Data Act klären, um bei der Anwendung des Gesetzes und seinem Verständnis zu unterstützen.
Zwar ist der DA bereits am 11. Januar 2024 in Kraft getreten (vgl. Updates Datenschutz Nr. 148 und Nr. 158). Jedoch verbleiben viele Regelungen für die Rechtsanwender unklar. Die Zielsetzung des DA, den Zugang zu und die Nutzung von Daten in der EU zu regulieren, kann damit nicht optimal umgesetzt werden.
Wir fassen für Sie die wesentlichen Eckpunkte der FAQ zusammen und untersuchen, inwiefern diese zur Konkretisierung des DA beitragen. Hervorzuheben ist, dass die FAQ keine offizielle Stellungnahme der Kommission sind, aber trotzdem hilfreiche Anhaltspunkte zum Begriffsverständnis liefern können.
I. Zielsetzung und Anwendungsbereich
Die Kommission betont, dass der DA nicht den Schutz personenbezogener Daten regelt. Der DA soll damit keinen Ersatz für die Datenschutzgrundverordnung („DSGVO“) darstellen. Gleichwohl spezifiziert der DA in Teilen die vorrangigen Bestimmungen der DSGVO: Art. 4 und 5 DA ergänzen insoweit die Zugangs- und Portabilitätsrechte der Art. 15 und 20 DSGVO, indem sie auch für nicht-personenbezogene Daten den Datenzugang und die Datenweitergabe an Dritte vorsehen. Die Kommission hebt insoweit hervor, dass zentrales Ziel des DA die Verbesserung der gemeinsamen Nutzung von Daten ist, wobei eine enge Zusammenarbeit zwischen den Behörden gefördert werden soll, während gleichzeitig die Zuständigkeiten der Datenschutzbehörden respektiert wird. Diese Intention ergibt sich bereits aus einem Zusammenspiel der Erwägungsgründe 1, 2, 4 und 7 DA.
Hersteller vernetzter Produkte und Anbieter digitaler Dienste sollten zukünftig einen besonderen Fokus auf die Erfüllung der Zugangs- und Portabilitätsrechte legen, da diese ein Kernanliegen des DA darstellen. Aufgrund der prominenten Platzierung in den FAQ der Kommission ist damit zu rechnen, dass auch die Aufsichtsbehörden hier besonders aktiv in der Rechtsverfolgung sein werden.
Auch zum sachlichen Anwendungsbereich des DA hat sich die Kommission klarstellend geäußert: In den Anwendungsbereich des DA fallen einerseits nur solche Daten, die nach dem Inkrafttreten des DA erzeugt oder erhoben wurden. Hierbei spielt es keine Rolle, ob die Daten innerhalb oder außerhalb der EU erzeugt wurden. Rein deskriptive Daten (z. B. Bedienungsanleitungen) fallen andererseits nicht in diesen Anwendungsbereich. Gleiches gilt für angereicherte Daten wie z. B. mittels KI oder Algorithmen analysierte Daten.
Erstmals liefert die Kommission in den FAQ – im Gegensatz zu den Erwägungsgründen des DA – konkrete Beispiele für den Anwendungsbereich des DA: Smartphones und Fernsehgeräte werden nun explizit als vernetzte Produkte herausgestellt. Auch führt die Kommission aus, dass bewegliche vernetzte Produkte, wie Schiffe, Flugzeuge und Autos analog zu unbeweglichen vernetzten Produkten behandelt werden sollen. Es kommt ausschließlich darauf an, dass ein vernetztes Produkt in der EU in den Verkehr gebracht wurde.
Insoweit sollten insbesondere Hersteller von vernetzten Smartphones und Fernsehgeräten sowie die Anbieter von hiermit verbundenen Diensten zu den „First Movern“ der DA-Compliance gehören. Gleiches gilt für Hersteller von Autos und Anbieter von mit diesen verbundenen Diensten, da Autos bereits im Rahmen des Gesetzgebungsprozesses immer wieder als Musterbeispiele für ein Anwendungsszenario des DA herangezogen wurden.
Ausdrücklich nicht in den Anwendungsbereich des DA fallen nach Auffassung der Kommission Geräte, die hauptsächlich zur Speicherung, Verarbeitung oder Übertragung von Daten verwendet werden. Hierzu zählen etwa Server und Router, es sei denn, sie sind Eigentum des Benutzers oder werden von diesem gemietet oder geleast. Dies hat signifikante Relevanz für Cloud-Dienste, bei denen Server gemietet oder serverähnliche Funktionen angeboten werden. Dies ist bereits heute in Erwägungsgrund 16 S. 4 DA angelegt.
II. Die wesentlichen Akteure des DA
Der Data Act normiert mehrere zentrale Akteure im Geflecht des Datenzugangs. Auch in den FAQ bezieht die EU-Kommission insoweit konsequenterweise zu den drei Kernakteuren des DA Stellung – namentlich zu Nutzer, Dateninhaber und Drittem.
1. Nutzer
Der Begriff des Nutzers ist in Art. 2 Nr. 12 DA legaldefiniert und ein Schlüsselbegriff des DA. Ausweislich Art. 1 Abs. 3 lit. b DA muss der Nutzer in der EU ansässig sein. Die Kommission stellt fest, dass es durchaus möglich sein kann, dass mehrere Personen Nutzer ein und desselben vernetzten Produkts sind. Dies ist wenig verwunderlich und dürfte im Innenverhältnis der Nutzer ohne Auswirkung sein, da eine Vielzahl von Szenarien denkbar ist, in denen mehrere Nutzer z. B. ein vernetztes Produkt wie ein Auto oder ein Smartphone verwenden.
Unterdessen betont die Kommission an mehreren Stellen der FAQ den Ermessensspielraum von Herstellern bzw. Anbietern hinsichtlich der Einräumung eines direkten oder indirekten Zugangs des Nutzers auf seine Daten. Bei einem direkten Zugang verfügt der Nutzer über die technischen Mittel, um auf die Daten zuzugreifen, während bei einem indirekten Zugang der Nutzer zunächst den Dateninhaber um Zugang bitten muss. Dem Hersteller ist dabei ein gewisser Spielraum überlassen, inwiefern er den Datenzugang ausgestaltet. Jedenfalls müssen die Daten auf Anfrage des Nutzers an Dritte weitergegeben werden, unabhängig davon, ob der Nutzer direkten oder indirekten Datenzugriff hat.
Sofern das Recht auf Zugang und Nutzung von Daten nicht ordnungsgemäß erfüllt wird, stehen Nutzern u. a. ein Recht auf Beschwerde gemäß Art. 38 DA und ein Recht auf einen gerichtlichen Rechtsbehelf gemäß Art. 39 DA zu.
2. Dateninhaber
Ebenfalls eine Definition mit signifikanter Relevanz im Rahmen des DA ist diejenige des Dateninhabers. Die FAQ konkretisieren die Legaldefinition des Art. 2 Nr. 13 DA dahingehend, dass ein Hersteller nicht immer zwingend Dateninhaber sein muss. Die Bestimmung des Dateninhabers hängt damit nicht davon ab, wer die Hardware oder Software hergestellt hat, sondern davon, wer den Zugang zu den verfügbaren Daten kontrolliert (vgl. FAQ Nr. 18: „Determining who the data holder is does not depend on who produced the hardware or software, but on who controls access to the readily available data“). Mit dieser Aussage eröffnet die Kommission weite Gestaltungsmöglichkeiten für Hersteller vernetzter Produkte, die DA-Compliance „outzusourcen“. Ob ein Dateninhaber seinen Sitz innerhalb oder außerhalb der EU hat, ist dabei irrelevant.
In Abgrenzung zum Begriff des Nutzers gibt die Kommission an, dass ein Unternehmen nicht gleichzeitig Nutzer und Dateninhaber derselben Daten im Rahmen desselben Dienstes sein kann (vgl. FAQ Nr. 31: „a company cannot be a user and a data holder for the same data“). Diese Aussage steht im Widerspruch zu Erwägungsgrund 34 S. 11 DA, der zwar keinen Gesetzescharakter, aber dennoch ein gewisses Gewicht bei der Auslegung hat. In Erwägungsgrund 34 S. 11 DA ist vorgesehen, dass ein Nutzer, sobald ihm Daten bereitgestellt werden, Dateninhaber werden kann. Diese Aussage der Kommission eröffnet insoweit Argumentationsspielräume für Nutzer und Dateninhaber hinsichtlich der Frage, ob sie der Regulatorik des DA unterliegen. Insbesondere in Konstellationen, in denen Nutzer Daten vom Dateninhaber zur Verfügung gestellt bekommen haben und spätere Nutzer ein Interesse an ebendiesen Daten haben, z. B. beim Verkauf eines vernetzten Produkts, ist dies von großer Relevanz.
Was in jedem Fall möglich sein soll, ist, dass mehrere Dateninhaber für ein und dasselbe vernetzte Produkt existieren. Notwendige Konsequenz hieraus ist, dass mehrere Akteure den Zugang zu den Nutzerdaten kontrollieren können. Auch dies wird i. d. R. gleichermaßen von der technischen sowie rechtlichen Gestaltung abhängen und erinnert an die datenschutzrechtliche Konstellation der „gemeinsamen Verantwortlichkeit“ gemäß Art. 26 DSGVO. Analog zu den Vorschriften der DSGVO besteht auch i. R. d. DA ein weiter Spielraum bei der vertraglichen Abbildung der jeweiligen Rollen und Pflichten, insbesondere dahingehend, wer die Nutzerrechte auf Datenzugang und Datenportabilität erfüllt.
Schließlich sind ebenso Situationen möglich, in denen es gar keinen Dateninhaber gibt. Dies ist z. B. dann der Fall, wenn faktisch kein Akteur oder ausschließlich der Nutzer die Möglichkeit hat, auf die Daten eines vernetzten Produkts bzw. eines verbundenen Dienstes zuzugreifen.
3. Dritte
Die Kommission bestätigt, dass Dateninhaber nur dann verpflichtet sind, die Daten auf Anfrage eines Nutzers an einen Dritten weiterzugeben, wenn sich der Dritte in der Union befindet. Damit kann kein Datenzugriff gewährt werden für Akteure, die nicht in der EU ansässig sind. Diese Aussage findet sich im Gesetzestext bislang nicht in der gewünschten Eindeutigkeit.
Unabhängig vom Ort seiner Niederlassung ist ein Dateninhaber jedoch rechtlich verpflichtet, auf Antrag eines EU-Nutzers Daten an eine in der EU ansässige Person weiterzugeben. Der Sitz eines Dateninhabers spielt somit im Vergleich zu demjenigen eines Dritten eine relevante Rolle.
III. Sonstiges
1. B2G Datenaustausch
Weiter führt die Kommission aus, dass im Rahmen eines B2G-Datenaustauschs die Mitgliedstaaten selbst im nationalen Recht die Begrifflichkeit des „öffentlichen Notstandes“ ausführen können. Wichtigster Akteur in diesem Zusammenhang ist die öffentliche Stelle, der das Recht zusteht, Daten vom Dateninhaber anzufordern, sofern die verlangten Daten zur Bewältigung eines öffentlichen Notstandes erforderlich sind und nicht auf andere Weise unter gleichwertigen Bedingungen beschafft werden können.
Explizit verweisen die FAQ an dieser Stelle auf Erwägungsgrund 64 DA als Hilfestellung zur Beurteilung einer entsprechend gleichwertigen Bedingung. Wichtig an dieser Stelle ist die Feststellung der Kommission, dass die angeforderten Daten im Rahmen des B2G-Datenaustauschs nicht zu Informationen des öffentlichen Sektors werden und damit offen wiederverwendbar sind. Insoweit sei auf die Vorschriften des Data Governance Act verwiesen, der in seinem zweiten Kapitel die Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen reguliert.
2. Durchsetzung
Betreffend die Durchsetzung des DA stellt die Kommission klar, dass das European Data Innovation Board („EDIB“) als Plattform für die Bewertung und Festsetzung von Sanktionen bei Verstößen gegen den DA genutzt werden soll. Gesamtheitlich kann damit eine wechselseitige Abstimmung der nationalen Aufsichtsbehörden gewährleistet werden. Die Sanktionen werden damit unionsweit sukzessive harmonisiert, obgleich sie in der Gesetzgebungskompetenz der Mitgliedstaaten liegen.
In diesem Kontext verweist die Kommission zugleich darauf, dass Unternehmen mit Sitz außerhalb der EU, die verbundene Dienstleistungen oder vernetzte Produkte auf dem EU-Markt anbieten, einen gesetzlichen EU-Vertreter ernennen müssen. Dessen Rolle ist vergleichbar mit derjenigen des Vertreters von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern gemäß Art. 27 DSGVO. Der Vertreter wird insoweit von einem Unternehmen beauftragt, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und Nutzer bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung des DA als Anlaufstelle zu dienen.
IV. Ausblick
In den FAQ gibt die Kommission abschließend einen breiten Ausblick in die Zukunft:
- Die Kommission betont ihren Normungsauftrag für das „European Trusted Data Framework“. Dieses wird voraussichtlich noch im Jahr 2024 verabschiedet. Mit dem „European Trusted Data Framework“ plant die Kommission, Datenzugang und Datenweitergabe unionsweit zu standardisieren.
- Zudem plant die Kommission bis zum 12. September 2025 Mustervertragsbedingungen für Vereinbarungen über die gemeinsame Nutzung von Daten und Standardvertragsklauseln für Cloud Computing vorzulegen. Diese Vertragsklauseln werden u. a. Elemente im Zusammenhang mit Wechseln, Beendigung, Sicherheit und Haftung bei der Verwendung vernetzter Produkte sowie verbundener Dienste abdecken. Mustervertragsbedingungen sind denkbar sowohl zwischen Dateninhabern und -nutzern, zwischen Dateninhabern und -empfängern als auch zwischen Datennutzern und -empfängern.
- Letztlich gibt die Kommission an, dass sie Leitlinien für die Berechnung einer angemessenen Vergütung für die Bereitstellung von Daten veröffentlichen will. Dazu muss jedoch zunächst das EDIB konsultiert werden, sodass dieser Leitfaden erst nach dem 12. September 2025 verfügbar sein wird.
Die weitere Entwicklung rund um den DA und seine Anwendungspraxis bleibt mit Spannung abzuwarten. Die FAQ bieten insgesamt eine gute erste Hilfestellung für Rechtsanwender, denen sich Fragen bezüglich Anwendung und Verständnis des DA stellen. Die Kommission beabsichtigt, die FAQ kontinuierlich zu überarbeiten. Jedoch können die FAQ zum jetzigen Zeitpunkt in ihrer Tiefe noch keine komplexen Rechtfragen lösen. An den meisten Stellen bekräftigen sie im Wesentlichen allein den bereits vorhandenen Gesetzestext. Die endgültige Auslegungshoheit über den DA verbleibt damit bei den nationalen Aufsichtsbehörden und letztinstanzlich bei dem Europäischen Gerichtshof.