DB: Herr Heynike, können Sie uns kurz die Kernpunkte des vorgeschlagenen Data Acts erläutern?
Heynike: Gern! Mit dem Data Act versucht der europäische Gesetzgeber, die Grundlage für einen interessengerechten Zugang zu industriellen Daten für alle Akteure der Datenwirtschaft zu schaffen. Der Verordnungsgeber hat es sich ausdrücklich zum Ziel gemacht, die Vormachtstellung großer Unternehmen mit umfangreichen Datenbeständen zu Gunsten der Nutzer sowie kleiner und mittelständischer Unternehmen zu öffnen. Den Vorschriften des Data Acts ist es daher gemein, dass sie Produktherstellern und Serviceanbietern, die im Rahmen ihrer Leistungserbringung Nutzungsdaten sammeln, sogenannte Data Holder, insbesondere Pflichten im Hinblick auf das Teilen dieser Daten mit Nutzern und Dritten auferlegen.
Des Weiteren weist der Data Act die Entscheidungsbefugnis über die Nutzung nicht-personenbezogener nutzergenerierter Daten ausdrücklich den Nutzern zu. Eine konkrete Aussage zum Dateneigentum trifft der Verordnungsentwurf damit zwar nicht. Allerdings dürfen Data Holder demnach nutzergenerierte Daten nur auf Grundlage eines Vertrages verarbeiten.
DB: Für wen ist diese Regulierung relevant?
Heynike: Tatsächlich ist die Regelung für alle Marktbeteiligten relevant, die an datengetriebenen Geschäftsmodellen partizipieren. Im Zeitalter des Internet-of-Things bleibt da quasi kein Wirtschaftssektor mehr aus. Neben den Herstellern smarter Produkte treffen die Pflichten des Data Acts auch Anbieter von damit im Zusammenhang stehenden Dienstleistungen.
Nicht zuletzt betreffen die Regelungen auch Nutzer selbst, zu denen auch Unternehmen gehören. Die Europäische Kommission nennt als Beispiel hierfür wiederholt die technologisierte Farm. Der Entwurf räumt den Nutzern einen Anspruch auf Zugang zu ihren generierten Daten ein sowie Rechte im Hinblick auf die Übertragung der Daten an sich und Dritte. Außerdem bietet der Data Act einige weitere Quality-of-Life-Verbesserungen für Nutzer, wie etwa Erleichterungen beim Anbieterwechsel.
Besonders betroffen von der neuen Verordnung werden allerdings diejenigen Unternehmen sein, die sich bereits eine funktionierende Infrastruktur im Hinblick auf die Sammlung und Verarbeitung industrieller Daten aufgebaut haben, wie etwa zahlreiche Automobilhersteller. Die Regeln des aktuellen Entwurfs zum Data Act haben das Potenzial, bewährte Geschäftsmodelle nachhaltig zu beeinträchtigen und Unternehmen zum Umdenken zu zwingen.
DB: Und welche Pflichten kommen auf die adressierten Unternehmen zu?
Heynike: In erster Linie sind Hersteller und Serviceanbieter zukünftig verpflichtet, ihre Produkte und Services so zu gestalten, dass Nutzer unmittelbar auf von ihnen generierte Daten zugreifen können. Können die Daten nicht direkt innerhalb des Produkts ausgelesen werden, müssen Anbieter die Daten unverzüglich, kostenlos und in Einzelfällen auch kontinuierlich und in Echtzeit zur Verfügung stellen.
Im Hinblick auf die Einzelheiten der Datennutzung werden Anbieter in Zukunft vorvertragliche Aufklärungspflichten erfüllen müssen, die denen der DSGVO nicht unähnlich sind. Sofern im Rahmen der Produktnutzung auch personenbezogene Daten verarbeitet werden, müssen die Auskunftspflichten der DSGVO natürlich ebenfalls erfüllt werden.
Weiterhin sind alle Anbieter dazu verpflichtet, technische, vertragliche und organisatorische Maßnahmen zu unterlassen, die einem Anbieterwechsel durch den Nutzer entgegenstehen könnten.
Neben den Verpflichtungen im Hinblick auf den Datenaustausch im B2B und B2C-Bereich enthält der Data Act auch Regelungen, die das Verhältnis zu öffentlichen Stellen betreffen. So müssen Unternehmen öffentlichen Stellen diejenigen Daten zur Verfügung zu stellen, die für die Erfüllung von Aufgaben im öffentlichen Interesse erforderlich sind, wenn ein außergewöhnlicher Bedarf besteht.
DB: Was ist bei der Vertragsgestaltung im Anwendungsbereich des Data Act zu beachten?
Heynike: Der Data Act wird die Vertragsgestaltung für Hersteller und Anbieter sowohl im Endkundengeschäft als auch im B2B-Bereich wesentlich beeinflussen. So soll eine Verwendung der nutzergenerierten Daten zukünftig ausschließlich auf Grundlage eines Vertrages mit dem Nutzer erlaubt sein. Es soll dabei jedoch genügen, wenn sich die Regelungen zur Datennutzung im zu Grunde liegenden Hauptvertrag wiederfinden. Ein separater Vertrag zur Datennutzung muss nicht geschlossen werden. Allerdings muss der Nutzer im Rahmen des Vertrages transparent über die beabsichtigte Verwendung seiner Daten informiert werden. Bei der Vertragsgestaltung werden Anbieter darauf achten müssen, möglichst alle denkbaren Verarbeitungen und notwendigen Datenübermittlungen zu antizipieren und einzubeziehen. Nach dem aktuellen Wortlaut der Verordnung würde eine abweichende Nutzung der Daten wohl eine Anpassung des bestehenden Vertrages voraussetzen. Eine analoge Vorschrift zu einer zulässigen Weiterverarbeitung, wie etwa in Artikel 6 Absatz 4 der DSGVO – Zweckänderung –, ist dem Verordnungsentwurf derzeit nämlich nicht zu entnehmen.
Darüber hinaus muss bei der Vertragsgestaltung, entgegen jeder betriebswirtschaftlichen Intuition, darauf geachtet werden, Lock-In-Effekte für Nutzer zu vermeiden. Beispielsweise dürfen Verträge mit Nutzern etwa keine Kündigungsfristen vorsehen, die über dreißig Tage hinausgehen.
Im B2B-Bereich werden sich hauptsächlich bei Geschäftsbeziehungen zu kleinen und mittleren Unternehmen Änderungen ergeben. Der Data Act führt im Verhältnis zu diesen ein Verbot der Verwendung unfairer Vertragsklauseln in Standardverträgen zur Datennutzung und -lizensierung ein. Die Regelungen erinnern stark an das deutsche AGB-Recht und sehen eine katalogartige Aufzählung von Vertragsinhalten vor, deren Vereinbarung zur Unwirksamkeit einzelner Klauseln oder im Extremfall des gesamten Vertrages führen kann.
DB: Gibt es Sanktionsrisiken?
Heynike: Allerdings. Und zwar werden hierbei die berüchtigten Bußgeldregeln der DSGVO unmittelbar in Bezug genommen. Verstöße gegen den Data Act können damit ebenfalls mit Geldbußen von bis zu EUR 20.000.000 oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens verhängt werden, je nachdem, welcher der Beträge höher ist. Da die Vorgaben des Data Acts zeit- und kostenintensive Anpassungen bestehender Prozesse und Produkte für seine Adressaten mit sich bringen werden, sollten Unternehmen die Entwicklungen im Hinblick auf den weiteren Gesetzgebungsprozess genauestens beobachten und sich frühzeitig auf die Implementierung notwendiger technischer, organisatorischer und vertraglicher Anpassungen vorbereiten.
