Data Act: Überblick zur geplanten Datenaustausch-Verordnung

Mit ihrem Vorschlag für einen Data Act plant die EU-Kommission die Datenwirtschaft innerhalb der EU zu revolutionieren. Hierdurch sollen Kundendaten vom Kunden selbst an verschiedene Anbieter versendet werden können, um möglichst viel Nutzen aus den, meist durch große Unternehmen zentral gesammelten, Daten zu ziehen. Wir möchten einen kurzen Überblick über die Ziele und Mechanismen des Data Acts liefern.

Warum brauchen wir einen Data Act?

Laut Europäischer Kommission soll der Data Act bewirken:

„Innovations- und Wettbewerbsfähigkeit von EU-Unternehmen sämtlicher Branchen sicherzustellen, die Handlungskompetenz der Menschen in Bezug auf ihre Daten wirksam zu stärken und Unternehmen und öffentliche Stellen bessermit einem angemessenen und vorhersehbaren Mechanismus für die Bewältigung wichtiger politischer und gesellschaftlicher Herausforderungen, einschließlich öffentlicher Notstände und anderer Ausnahmesituationen, auszustatten.“

Die EU fußt ihre Entscheidung ein Datengesetz in ihrem am 23.02.2022 erlassenen Explanatory Memorandum auf drei wesentliche Faktoren.

  1. In den letzten Jahren ist das Volumen an erzeugten Daten im europäischen Wirtschaftsraum enorm gewachsen. Der Großteil der erzeugten Daten wird jedoch nicht genutzt. In Prozent ausgedrückt ungefähr 80 % aller erfassten Daten. Das liegt laut EU vor allem daran, dass die Daten meist von großen Unternehmen im Rahmen ihre Services erfasst und erhoben werden und diese Konzerne ungern ihre eigenen Daten teilen.
  2. Daten sind eine sogenannte Nicht-Rivalitäre Ressource. Das heißt, sie werden durch Verwendung nicht verbraucht und können unendlich konsumiert werden. Man hat somit durch ihr Teilen mit nicht in Konkurrenz stehenden Wirtschaftszweigen keinen wirtschaftlichen Nachteil.
  3. Die meisten kleineren Dienstleister im europäischen Wirtschaftsraum könnten durch die erhobenen Daten von größeren Konzernen ihre eigenen Dienste verbessern. Durch die übermächtige Stellung der Konzerne sei dies den kleineren Unternehmen jedoch meist in der Vertragsgestaltung nicht möglich. Hier will die EU regulatorisch tätig werden und über den „Mittelsmann“ des Verbrauchers ein Instrument schaffen, mit dem Daten zur Auswertung auch bei den kleineren und mittelständischen Unternehmen landen.

Was reguliert der Data Act?

Der Data Act reguliert drei unterschiedliche Übermittlungsszenarien:

  1. Übermittlung der Nutzerdaten des Dateninhabers selbst.
  2. Übermittlung der Nutzerdaten von Dateninhaber auf Weisung des Nutzers an Dritten.
  3. Übermittlung von Dateninhaber an Behörde in Notstandssituation.

Daten, die durch die Benutzung eines Produktes erzeugt werden, sollen dem Verwender des Produkts verfügbar gemacht werden.

Ein kleines Beispiel zur Veranschaulichung:
Frau U. kauft einen Fitness Tracker von der Firma S. Der Fitness Tracker erfasst Daten über Bewegung, Herzfrequenz und andere Daten. Das Unternehmen S. erhebt diese Daten. Solche Daten können aber auch für andere Anbieter interessant sein, wie Gesundheitsdienstleister.
Frau U. kann nun die Firma S. veranlassen, die gesammelten Daten an die genannten Stellen zu übermitteln. Hierdurch wird aus den Daten ein zusätzlicher Wert geschöpft.

Bei öffentlichen Notständen oder der Vorbeugung dieser, soll ein Recht auf Herausgabe der Daten vorgeschrieben werden. Z.B die Herausgabe von Verkehrsdaten für Maßnahmen im Rahmen einer Naturkatastrophe.

Wie will die EU den Datenaustausch regulieren?

Die EU teilt hierzu Unternehmen in Unternehmenskategorien auf: micro, klein und mittelgroß. Diese Kategorien haben bei der Verpflichtung vom Datensharing Bedeutung. Micro und kleine Unternehmen sind nicht verpflichtet, Daten zu übermitteln. Soweit sie nicht zu größeren Konzernen gehören.

Diese drei Unternehmenskategorien sollen durch den Data Act geschützt werden. Ein solcher Schutz soll dadurch gewährleistet werden, dass bestimmte Klauseltypen untersagt oder eingeschränkt werden. Die Europäische Kommission will hierzu Vorlagen für Klauseln zur Verfügung stellen, die den Vorgaben des Data Acts entsprechen.

Welche Behörde soll zuständig sein?

Es soll eine neue Behörde in den Mitgliedsstaaten für die Aufsicht über Einhaltung der Vorschriften geschaffen werden. Für die Aufsicht unter dem Gesichtspunkt des Schutzes personenbezogener Daten sollen die entsprechenden Aufsichtsbehörden für Datenschutz zuständig sein. Es liegt nahe, die jeweiligen Aufsichtsbehörden aufgrund überschneidender Zuständigkeiten zusammenzulegen.

Der Data-Act-Entwurf verweist in Bezug auf Bußgelder und Sanktionen auf Art. 83 DSGVO. Bei der maximalen Höhe des möglichen Bußgeldes wird auf Art. 83 Abs. 5 DSGVO verwiesen. Geldbußen sind also bis zu einem Betrag von 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs möglich.

Verhältnis zur DSGVO

Der Data Act soll neben der DSGVO stehen. Wo also personenbezogene Daten erhoben werden, die auch unter den Anwendungsbereich des Data Acts fallen, müssen beide Vorschriften beachtet werden.

Problematisch sind Übermittlungen von personenbezogenen Daten im Rahmen des Data Acts dann, wenn eine nicht-betroffene Person, die gleichzeitig Nutzer ist, personenbezogene Daten eines anderen an Dritte übermitteln will. Nach Erwägungsgrund 24 des Data Acts kann der Data Act selbst nicht als Rechtsgrundlage für eine Verarbeitung nach Art 6 lit. c DSGVO herangezogen werden. Hier bleibt allein Art. 6 lit. f DSGVO, wobei in der entsprechenden Interessenabwägung wohl beachtet werden muss, dass der europäische Gesetzgeber dem Datenzugangsrecht ein hohes Verarbeitungsinteresse beimisst. Wie sich das Verhältnis zu DSGVO im Einzelfall ausgestalten wird, ist aber noch schwer abzusehen.

Welche Probleme könnten sich durch den Data Act ergeben?

Der Data Act wird von großen Teilen der Wirtschaft kritisch betrachtet. Es werden verschiedene Kritiken gegen den Entwurf vorgebracht. Einige sollen beispielhaft genannt werden.

So wird die Kategorisierung der Unternehmen kritisiert, da auf dem Datenmarkt vor allem kleine Startups den Markt prägen und teilweise dominieren und hier nach Unternehmensgröße nicht kategorisch auf die Machtverhältnisse geschlossen werden könne. Auch unterschätze die Kommission bei ihrem Entwurf den bereits bestehenden Datenaustausch zwischen Unternehmen.

Vor allem in Deutschland ist ein solcher Austausch eher selten. Nach der Vereinigung der Bayerischen Wirtschaft beträgt der Anteil der Unternehmen die einen solchen Austausch betreiben bei 11,3 Prozent, wenn es um Produktdaten geht.

Vielleicht etwas seiner Zeit voraus

Ende des Jahres soll der Data Act kommen und in der endgültigen Fassung kleine Unternehmen und den Nutzern selbst ein Instrument an die Hand geben, Daten besser wirtschaftlich zu nutzen. Von verschiedenen Stellen wird dabei jedoch ersichtlich, dass der Europäische Markt für ein solches Gesetz noch nicht bereit sein könnte. Wie sich die Umsetzung letztendlich konkret gestaltet, kann mit Spannung erwartet werden. Der Data Act wird auf jeden Fall noch viel Material für spannende Beiträge liefern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

2 Kommentare zu diesem Beitrag

  1. Danke für Ihren Artikel. Gibt es von der EU-Kommission denn schon Ideen, wie genau „Frau U. kann nun die Firma S. veranlassen, die gesammelten Daten an die genannten Stellen zu übermitteln.“ im Alltag funktionieren soll, also auf welchem Wege? Denn wenn das ohne viel Information über einen Consent-Banner oder gar versteckt in langen AGBs/Nutzungsvereinbarungen, bei denen man nur auf „annehmen“ klicken muss, läuft, wird das darauf hinauslaufen, dass ein Großteil der Leute in Eile und ohne Reflektion auf „Ja“/“annehmen“ klickt. Oder ist hier eine „aktivere“ Form der Veranlassung angedacht? Auch würde mich Ihre Meinung hierzu interessieren.

    • Über AGB wird die Einwilligung in die Weitergabe eigener Nutzerdaten wohl nicht möglich sein. Es wird hierzu voraussichtlich die konkrete Einwilligung des Nutzers erforderlich werden. In Form einer gesonderten Vereinbarung. Nichtsdestotrotz sehe ich Ihre Bedenken. Das könnte natürlich dazu führen, dass durch Einwilligungsgestaltung, wie bei vielen Cookie Bannern, die Nutzer dazu „verleitet“ werden ihre Einwilligung zu geben. Auch die Einwilligung durch Klicken auf ein zusätzliches Kontrollkästchen unter „AGB zustimmen“ ist problematisch.
      Was auch interessant ist, ist die Frage, wie der Drittanbieter erfährt, was der Nutzer überhaupt für Dienste in Anspruch nimmt, die Daten über ihn führen, welche für den Drittanbieter interessant sind.
      Ein Erfragen halte ich im Hinblick auf die Schnelle des Rechtsverkehr für unpraktisch.
      Letztendlich wird man erst sehen, wie sich das Gesetz im Rechtsverkehr niederschlägt, und ob dieses neue Werkzeug überhaupt genutzt wird, wenn es erlassen wurde.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.