Data Act (DA): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Mirjam.tercero (Diskussion | Beiträge)
467 Bearbeitungen
Mirjam.tercero (Diskussion | Beiträge)
467 Bearbeitungen
Zeile 396: Zeile 396:
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden.(EG 32)
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden.(EG 32)


==== Technische Schutzmaßnahmen über die unbefugte Nutzung oder Offenlegung von Daten (Art 11) ====
==== Bedingungen, unter denen Dateninhaber Datenempfängern Daten bereitstellen (Art 8) ====
<nowiki>##</nowiki>


==== Faire Vertragsbedingungen ====
* '''Vertragliche Vereinbarung''': Wenn der Dateninhaber verpflichtet ist, einem Datenempfänger Daten bereitzustellen, vereinbart er die Bedingungen für die Bereitstellung. Dabei sind die sog FRAND-Grundsätze zu beachten:
FRAND-Grundsätze:  
** '''fair,'''  
 
** '''angemessen''' (reasonable) und
* '''fair,'''  
** '''nichtdiskriminierend,'''
* '''angemessen''' (reasonable) und  
** '''transparent'''.
* '''nichtdiskriminierend'''  
* '''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.
* '''Schutz von Geschäftsgeheimnissen''': Dateninhaber sind grs nicht verpflichtet, Geschäftsgeheimnisse offenzulegen.


==== Missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung B2B (Kapitel IV) ====
==== Missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung B2B (Kapitel IV) ====
Zeile 419: Zeile 419:


==== B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V) ====
==== B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V) ====
Behörden der Mitgliedstaaten und der EU können unter bestimmten Voraussetzungen Zugang zu Daten des privaten Sektors erhalten. Ein solcher Zugang ist zulässig, wenn ein außergewöhnlicher Bedarf besteht, etwa um einen '''öffentlichen Notstand''' zu bewältigen und die benötigten Daten auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.  
Außergewöhnliche Notwendigkeit der Datennutzung kann in zwei Fällen vorliegen:
 
* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn sie zur Bewältigung eines öffentlichen Notstands erforderlich sind und die benötigten Daten auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang ist möglich, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.  


Außerdem ist der Zugang möglich, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden, wobei hier nur nicht-personenbezogene Daten betroffen sind und ein Entgeltanspruch besteht. Die Anfrage muss eine Begründung sowie Nachweise der außergewöhnlichen Umstände und den vorgesehenen Prozess enthalten.  
Die Anfrage muss eine Begründung sowie Nachweise der außergewöhnlichen Umstände und den vorgesehenen Prozess enthalten.


[[Data Act (DA)#Dateninhaber|Dateninhaber]] sind verpflichtet, die angeforderten Daten bereitzustellen, wobei strenge Garantien und Nutzungsbeschränkungen zur Sicherung der Daten gelten.
[[Data Act (DA)#Dateninhaber|Dateninhaber]] sind verpflichtet, die angeforderten Daten bereitzustellen, wobei strenge Garantien und Nutzungsbeschränkungen zur Sicherung der Daten gelten.
Zeile 550: Zeile 553:
Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>  
Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>  


== Konsequenzen/Strafen und Durchsetzung ==
== Durchsetzung und Strafen ==


=== Streitbeilegung iZm Datenzugang (Art 10) ===
=== Streitbeilegung iZm Datenzugang (Art 10) ===

Version vom 21. November 2024, 12:26 Uhr

Langtitel: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)

Kurztitel: Datenverordung, Data Act (DA)

Kurzübersicht

Ziele Anwendungsbereich Inhalt Pflichten Synergie Konsequenzen
Förderung des Datenbinnenmarktes Datenräume Interoperabilitätsstandards nach Art 33 DA Kap III DGA für DatenvermittlungsdiensteKap IV DGA für datenaltruistische Organisationen
gerechte Verteilung des Wertes von Daten Internet der Dinge (IoT) klare und faire Regeln für den Zugriff auf und die Nutzung von Daten
Mehr Kontrolle über die eigenen Daten Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden gestärktes Recht auf Datenübertragbarkeit,

Datenzugangs- und Drittzugangsanspruch

Datenzugang "by design" nach Art 3 DA
Förderung von KMU B2B-Datennutzung
  • Liste mit missbräuchlichen Vertragsklauseln
  • unverbindliche Mustervertragsbedingungen der Kommission
Verbesserung der öffentlichen faktengestützten Entscheidungsfindung Ausnahmesituationen von großem öffentlichem Belang Zugriff auf Daten von Unternehmen für Behörden zur Bewältigung von Ausnahmesituationen Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
Stärkung des Vertrauens in Cloud-Infrastrukturen Cloud-Dienste
  • vertragliche Verpflichtungen für Cloud-Anbieter
  • Regeln für die Daten- und Cloud-Interoperabilität
Regelung von Smart Contracts Art 36 DA

Einleitung und Hintergrund

Der DA ist, wie das Daten-Governance-Gesetz, eine der zentralen Säulen der europäischen Datenstrategie. Wie der DGA handelt es sich beim DA um eine sektorübergreifende Rechtsvorschrift.

Der DA etabliert Regeln für die gemeinsame Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa Internet der Dinge (IoT) und Industriemaschinen. Mit diesen Regeln soll Fairness in Verträgen zur Datennutzung gewährleistet werden. Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbrauchern (B2C) sowie Unternehmen und staatlichen Stellen (B2G). Besonders im B2B-Bereich wird die Verhandlungsmacht zugunsten kleiner und mittlerer Unternehmen (KMU) neu ausbalanciert, indem diese vor missbräuchlichen Vertragsklauseln geschützt werden, die ihnen von Unternehmen mit größerer Verhandlungsstärke auferlegt werden könnten. Zudem enthält der DA Regelungen für den staatlichen Zugang zu Daten in außergewöhnlichen Umständen.

Internet der Dinge

Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über die Leistung, Nutzung oder Umgebung dieser Produkte und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich in bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen.

Der DA ist weltweit das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll.[1] (EG 14 f)

Ziele des DA

Der DA zielt darauf ab, Innovation zu fördern, indem er Hürden abbaut, die Verbraucher*innen und Unternehmen den Zugang zu Daten erschweren und klare Regeln zum Datenzugriff festlegt. Der DA erleichtert den Datenaustausch für ein breiteres Spektrum privater und öffentlicher Einrichtungen und schafft so Möglichkeiten für Kooperationen, die sowohl wirtschaftlichen als auch gesellschaftlichen Nutzen bringen. Zudem erleichtert der DA die Datenübertragbarkeit, wodurch Nutzer*innen ihre Daten leichter zwischen verschiedenen Diensten bewegen können. Dadurch sollen nicht nur Wettbewerb und Innovation gefördert, sondern auch die Kontrolle der Nutzer*innen über ihre eigenen Daten gestärkt werden.

Der DA soll dabei helfen, die folgenden Probleme zu überwinden:

  • Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
  • Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten,
  • Kosten der Auftragsvergabe in Bezug auf technische Schnittstellen und für deren Einrichtung,
  • starke Fragmentierung von Informationen in Datensilos,
  • schlechte Verwaltung von Metadaten,
  • fehlende Normen für die semantische und technische Interoperabilität,
  • Engpässe beim Datenzugang,
  • Fehlen einheitlicher Verfahren für die Datenweitergabe,
  • Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

Anwendungsbereich und Definitionen

Sachlich

Der DA erstreckt sich auf personenbezogene und nicht personenbezogene Daten. Unter Daten ist dem DA zufolge jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material zu verstehen. Der Datenbegriff entspricht somit jenem des DGA.

Die einzelnen Kapitel betreffen unterschiedliche Datenkategorien:[2]

Kapitel Inhalt Daten
II Datenweitergabe B2C und B2B Daten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen.

Das sind sämtliche Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber leicht verfügbar sein.

Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.

III Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind Alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen
IV B2B - Missbräuchliche Vertragsklauseln Alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden
V Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit Alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten
VI Wechsel zwischen Datenverarbeitungsdiensten Alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste
VII Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld Alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden

Personell

Person Definition Beispiel[3]

Hersteller vernetzter Produkte

 Ein vernetztes Produkt ist ein Gegenstand, der
  • Daten über seine Nutzung oder Umgebung generiert und
  • der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
  • dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.

Auch "Second Hand"-Produkte sind erfasst.[4]

Vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte, Flugzeuge, Roboter, Industriemaschinen[5]

Anbieter verbundener Dienste

 Ein verbundener Dienst ist ein digitaler Dienst,
  • der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder
  • der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen,
  • bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt.
 Eine Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.[6]

Nutzer von vernetzten Produkten oder verbundenen Diensten

 Die (natürliche oder juristische) Person, die
  • ein vernetztes Produkt besitzt oder
  • der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
  • die verbundenen Dienste in Anspruch nimmt.

Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.[7]

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben. (EG 21 DA)

Privatperson, die ein Smart Auto least

Dateninhaber

 Die Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.

Der Dateninhaber ist nicht automatisch der Hersteller der Hardware oder Software, sondern die Person, die den Zugriff auf die verfügbaren Daten kontrolliert.[8]

Hersteller einer vernetzten Industriemaschine

Datenempfänger

 Die Person,
  • der vom Dateninhaber Daten bereitgestellt werden,
  • die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt,
  • die nicht Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist.
 Dienstleister für den Aftermarkt, etwa Reparatur- und Wartungsdienstleister

Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union

 Unter öffentlichen Stellen versteht man
  • die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
  • Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen

Anbieter von Datenverarbeitungsdiensten

 Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einen Netzzugang zu einem gemeinsam genutzten Pool an Rechenressourcen ermöglicht. Netzwerke, Software, Server oder andere virtuelle odern physische Infrastruktur, einschließlich Cloud- und Edge-Dienste

Teilnehmer an Datenräumen

 Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten

Anbieter von Anwendungen, die intelligente Verträge verwenden

 Ein intelligenter Vertrag ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.

Beispiel[9]

Eine Privatperson kauft einen vernetzten ("smarten") Kühlschrank. Sie lädt eine entsprechende App auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann.

  • Vernetztes Produkt: Kühlschrank
  • Verbundener Dienst: App
  • Dateninhaber:
  1. Das Unternehmen, das den Kühlschrank hergestellt hat;
  2. das Unternehmen, das die App anbietet.
  • Nutzer: Käuferin (Eigentümerin) des Kühlschranks.

Abgrenzungen:

  • Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten tatsächlich stammen. Nutzt daher A ein Smart Auto, das seiner Mutter B gehört, ohne Rechtsanspruch, so gilt A nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur B zu.[10]
  • Der Dateninhaber muss nicht dem Vertragspartner des Nutzers entsprechen.[11]

Zeitlich

Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem 12. September 2025 anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.[12]

Örtlich

Der DA folgt dem Marktortprinzip, das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden.

Nutzer müssen in der EU ansässig sein, um in den Genuss der Rechte nach dem DA zu kommen (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, wo die Daten gespeichert werden.[13]

Zentrale Inhalte

Datenzugang und Datenverwendung (Kap II bis VII)

Dateninhabern kommt die technisch-faktische Herrschaft über Daten zu. Diese Herrschaft anerkennt der DA, durchbricht sie aber dadurch, dass Nutzern Rechte auf Datenzugriff gewährt werden.[14] Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.[15]

Für Klein- und Kleinstunternehmen gelten Ausnahmen (Art 7 Abs 1 DA).

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Primär sollte Nutzern standardäßig ein direkter Zugang zu den Produktdaten und verbundenen Dienstdaten auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von damit verbundenen Dienstleistungen sollte das Recht auf Datenzugang bereits bei der Technikgestaltung zu berücksichtigen.

  • Produktdaten (Art 2 Z 15 DA, EG 15): Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung).[16]
  • Verbundene Dienstdaten, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten (Art 2 Z 16, EG 15): Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden.

Transparenzverpflichtung (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.

Indirekter Zugang: Zugang auf Verlangen

Dateninhaber haben den Datenzugang den folgenden Personen zu gewähren:

  • Nutzern (Art 4 DA), oder
  • Dritten nach Wahl des Nutzers (Drittzugangsanspruch, Art 5 DA)
    • Dieses Recht ist relevant für die Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann von folgenden Personen gestellt werden:

  • im Namen eines Nutzers handelnde Partei

Das Verlangen kann einfach, zB über ein Webportal, eingebracht werden.[17]

Datenkategorien

Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Konkret sind davon "ohne Weiteres verfügbare Daten" und Metadaten erfasst, die zur Auslegung und Nutzung der Daten erforderlich sind.

  • Daten sind "ohne Weiteres verfügbar" iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Vom Datenzugangsrecht nicht erfasst sind im Übrigen Daten, die bei der Nutzung selbständiger Dienstleistungen (zB Social-Media- oder Cloud-Dienste) entstehen.[18]

Verhältnis zwischen direktem und indirektem Zugang

Der DA bietet Dateninhabern eine gewisse Flexibilität auf welche Weise Datenzugang gewährt wird.[19]

Art der Zugangsgewährung

Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

  • gegenüber dem Nutzer unentgeltlich,
    • vom Dritten kann hingegen ein Entgelt verlangt werden,
  • einfach,
  • sicher,
  • in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.

Beim indirekten Zugang ist dem Verlangen weiters auf folgende Weise nachzukommen:

  • unverzüglich,
  • soweit technisch durchführbar auf elektronischem Weg,
  • (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit.

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Kontext Entgelt verlangen unter den folgenden Voraussetzungen:

  • Muss diskriminierungsfrei, angemessen und kostendeckend sein.
  • Privilegien für KMUs und gemeinnützige Organisationen: Nur notwendige Kosten dürfen berechnet werden.
  • Leitlinien für die Berechnung werden von der Kommission erstellt.

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

Schutz von Geschäftsgeheimnissen, des geistigen Eigentums und der nationalen Sicherheit

Schutz von Geschäftsgeheimnissen: angemessene technische und organisatorische Maßnahmen, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten insb. gegenüber Dritten zu wahren (Mustervertragsklauseln, Vertraulichkeits-vereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes)

Konsequenzen bei Verweigerung des Zugangs

begründete Mitteilung an die Behörde #

Besonderheiten bei der Weitergabe personenbezogener Daten

Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten an Dritte darstellt. Er verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als Einwilligung in die Datenverarbeitung betrachtet werden.[20]

Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, so bedarf es einer Rechtfertigung für die Datenübermittlung. Der Nutzer gilt in diesem Fall als Verantwortlicher und benötigt gemäß Artikel 6 Abs1 DSGVO eine Rechtsgrundlage, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (EG 34 DA). Weiters ist der Nutzer sodann verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer gemeinsam mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (EG 34 DA).

Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Um den Datenschutz Dritter zu wahren, kann es nötig sein, dass der Dateninhaber personenbezogene Daten anonymisiert oder nur die personenbezogenen Daten des Nutzers, nicht aber Dritter, übermittelt. (EG 7 DA).

Unter Umständen kann dieser Aspekt zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne Rechtsgrundlage, um dem DA zu entsprechen, zu einem Verstoß gegen die DSGVO führen.[21]

Rollenverteilung nach der DSGVO

Aufgrund der teilweise überlappenden Anwendung von DSGVO und DA kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.[22]

Exkurs: Definitionen nach der DSGVO

Bestimmung Rolle Definition Erklärung
Art 4 Z 1 DSGVO Betroffene Person Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen. Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
Art 4 Z 7 DSGVO Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.[23] Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.[24]
Art 4 Z 7 DSGVO Gemeinsam Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.[25]

Rollenverteilung nach DA und DSGVO anhand eines Beispiels:[26] Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer*innen, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.

Rechtsakt Scooter-Fahrerin E-Scooter-Sharing-Unternehmen Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt) Hersteller der E-Scooter
DA Nutzer Nutzer Datenempfänger Dateninhaber
DSGVO Betroffener Gemeinsam Verantwortliche Verantwortlicher

Pflichten gemeinsamer Verantwortlicher

Gemeinsam Verantwortliche sind verpflichtet, eine entsprechende Vereinbarung gem Art 26 DSGVO abzuschließen. Diese hat insbesondere zu beinhalten:

  • wer welche Verpflichtung der DSGVO erfüllt,
    • insb was die Wahrnehmung der Betroffenenrechte angeht, und
    • wer welchen Informationspflichten nachkommt,
  • die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

  • eine Anlaufstelle für die betroffenen Personen

Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Datenverwendungsrechte und Nutzungsbeschränkungen
Dateninhaber

Für den Dateninhaber bestehen umfassende Nutzungs- und Weitergabeverbote[27]: Insbesondere darf der Dateninhaber die Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)[28] und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen. (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA)

Nutzer

Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung konkurrierender Produkte noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen. (Art 4 Abs 10 DA)

Dritter

Dritte, denen Zugang zu den Daten gewährt wird, dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und sofern rechtmäig nutzen. Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde anders vereinbart.

Dritte können diese insb für folgende Zwecke nutzen:

  • um einen der folgenden Dienste anzubieten:
    • einen verbundenen Dienst[29] (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
    • einen Dienst im Aftermarkt (zB Reparatur oder Wartung)
  • um nicht-personenbezogene Daten zu verkaufen

Nutzungsbeschränkungen (Art 6 Abs 2 DA):

  • Profiling: Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
  • Weitergabe von Daten an andere Dritte:
  • Wettbewerbszwecke: Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
    • Das Wettbewerbsverbot gilt jedoch nicht für Daten verbundener Dienste, da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden.(EG 32)

Bedingungen, unter denen Dateninhaber Datenempfängern Daten bereitstellen (Art 8)

  • Vertragliche Vereinbarung: Wenn der Dateninhaber verpflichtet ist, einem Datenempfänger Daten bereitzustellen, vereinbart er die Bedingungen für die Bereitstellung. Dabei sind die sog FRAND-Grundsätze zu beachten:
    • fair,
    • angemessen (reasonable) und
    • nichtdiskriminierend,
    • transparent.
  • Unzulässige Vertragsklauseln: Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.
  • Schutz von Geschäftsgeheimnissen: Dateninhaber sind grs nicht verpflichtet, Geschäftsgeheimnisse offenzulegen.

Missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung B2B (Kapitel IV)

  • Missbräuchliche Vertragsklauseln, die einem anderen Unternehmen einseitig auferlegt werden
  • in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten
  • Ausnutzung eines Machtverhältnisses: Inhalt des Vertrags kann trotz des Versuchs, hierüber zu verhandeln, nicht beeinflusst werden
  • Keine Bindung für das benachteiligte Unternehmen
  • Beispiele und Vorgaben für missbräuchliche Klauseln (zB kein Haftungsausschluss)
KMU

Das Verbot unfairer Vertragsbedingungen wird insb KMUs zugutekommen.[31]

Die Europäische Kommission wird (freiwillige) Modellvertragsbedingungen für die Datenweitergabe empfehlen, die die Position von KMU in Verhandlungen stärken sollen.

B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V)

Außergewöhnliche Notwendigkeit der Datennutzung kann in zwei Fällen vorliegen:

  • Öffentlicher Notstand (Art 15 Abs 1 lit a DA): Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn sie zur Bewältigung eines öffentlichen Notstands erforderlich sind und die benötigten Daten auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
  • Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA): Zugang ist möglich, wenn eine gesetzlich vorgesehene Aufgabe im öffentlichen Interesse vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch[32] des Unternehmens.

Die Anfrage muss eine Begründung sowie Nachweise der außergewöhnlichen Umstände und den vorgesehenen Prozess enthalten.

Dateninhaber sind verpflichtet, die angeforderten Daten bereitzustellen, wobei strenge Garantien und Nutzungsbeschränkungen zur Sicherung der Daten gelten.

Datensouveränität: Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld (Kapitel VII)

Kap VII regelt den Schutz in der EU gespeicherter nicht-personenbezogener Daten vor unrechtmäßigem Zugriff durch Drittländer.

Demnach müssen Anbieter von Datenverarbeitungsdiensten geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Eine Übermittlung von Daten an Behörden eines Drittlands ist nur zulässig, wenn sie auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden, zB wenn die Entscheidung verhältnismäßig ist, hinreichend begründet wurde und die rechtlichen Interessen des Datenanbieters berücksichtigt werden. Zudem können Adressaten solcher Anfragen die Stellungnahme nationaler oder europäischer Stellen einholen. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen, und der Kunde ist über das Datenzugriffsverlangen zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Übertragbarkeit (Portabilität) und Interoperabilität (Kap VIII)

Ziel dieses Kapitels ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern, Sicherheit gewährleisten und Innovationen fördern.

Interoperabilität in Datenräumen (Art 33)

  • Pflichten der Teilnehmer an Datenräumen Teilnehmer, die Daten oder Datendienste anbieten, müssen folgende Anforderungen erfüllen:
    • Beschreibung von Daten und Metadaten: Inhalte, Lizenzen, Datenerhebungsmethoden und Qualität der Datensätze müssen maschinenlesbar beschrieben werden, um die Nutzung zu erleichtern.
    • Einheitliche Standards: Datenstrukturen, Formate, Klassifikationen und Codelisten sollen einheitlich und öffentlich verfügbar dokumentiert sein.
    • Technische Zugangsmechanismen: APIs und ihre Nutzungsbedingungen müssen den automatisierten und kontinuierlichen Datenaustausch in Echtzeit ermöglichen.
    • Interoperabilität von Tools: Bereitstellung von Mitteln zur Nutzung von Tools wie intelligenten Verträgen.
  • Ergänzende Bestimmungen durch die Kommission Die Kommission kann Anforderungen durch delegierte Rechtsakte weiter konkretisieren, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
  • Konformität durch harmonisierte Normen Teilnehmer gelten als konform, wenn sie harmonisierte Normen anwenden, deren Fundstellen im Amtsblatt der EU veröffentlicht sind.
    • Auftrag an Normungsorganisationen Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln.
    • Gemeinsame Spezifikationen durch die Kommission Falls harmonisierte Normen fehlen, kann die Kommission gemeinsame Spezifikationen festlegen, um Anforderungen zu erfüllen.
    • Mitteilungspflichten und Konsultation Vor Erlass von Spezifikationen informiert die Kommission relevante Ausschüsse und konsultiert Interessenträger.
    • Bewertung durch Mitgliedstaaten Mitgliedstaaten können Bedenken gegen gemeinsame Spezifikationen äußern. Die Kommission prüft diese und ändert Spezifikationen gegebenenfalls.

Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Artikel 34)

  • Anwendung bestehender Anforderungen Anforderungen aus anderen Artikeln der Verordnung gelten entsprechend für Anbieter von Datenverarbeitungsdiensten, um deren parallele Nutzung zu erleichtern.
  • Kostenregelung Anbieter dürfen nur Kosten für die Datenextraktion verlangen, die tatsächlich entstanden sind.

Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)

  • Offene Interoperabilitätsspezifikationen Diese müssen:
    • Interoperabilität zwischen Diensten derselben Art ermöglichen,
    • Übertragbarkeit digitaler Vermögenswerte verbessern,
    • Funktionsäquivalenz gewährleisten und
    • Sicherheit und Integrität der Dienste wahren.
  • Umfang der Spezifikationen Regelt Aspekte der Cloud-Interoperabilität, Datenübertragbarkeit und Anwendungsportabilität.
  • Normungsprozesse Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln, und selbst Spezifikationen erlassen.
  • Bewertung und Veröffentlichung Harmonisierte Normen und Spezifikationen werden in einer zentralen EU-Datenbank veröffentlicht.

Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern

  • Wechsel zu anderen (Cloud-)Anbietern von Datenverarbeitungsdiensten oder zu eigener IKT-Infrastruktur
  • Keine vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse bzw. Beseitigung solcher Hindernisse
  • Schrittweise Abschaffung von Wechselentgelten
  • Informationspflichten und vertragliche Transparenzpflichten in Bezug auf den Zugang und die Übermittlung im internationalen Umfeld
  • Ausnahme: Dienst ist auf die spezifischen Bedürfnisse eines einzelnen Kunden zugeschnitten

Smart Contracts (Art 36)

Definition

Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).

Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.[33]

Die Legaldefinition ist weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.[34]

Der Einsatz von Blockchain-Technologie bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.[35]

Gegenstand des Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.[36]

Wesentliche Anforderungen

Intelligente Verträge, die für die Ausführung von Datenweitergabevereinbarungen genutzt werden, müssen bestimmte Anforderungen erfüllen, um Sicherheit, Transparenz und Compliance zu gewährleisten.

  • Robustheit und Zugangskontrolle

Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.

Zugangskontrollen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.

  • Sichere Beendigung und Unterbrechung

Es muss Mechanismen geben, um die Ausführung eines Vertrags bei Bedarf sicher zu beenden oder zu unterbrechen.

  • Datenarchivierung und -kontinuität

Bei der Deaktivierung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode archiviert werden.

  • Kohärenz

Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.

Konformitätsbewertung

Der Anbieter eines Smart Contracts muss eine interne[37] Konformitätsbewertung im Hinblick auf die oben angeführten Anforderungen durchführen. Sind die Anforderungen erfüllt, so hat er eine EU-Konformitätserklärung auzustellen. Damit übernimmt der Anbieter die Verantwortung für die Einhaltung der Anforderungen. Dies kann zivilrechtliche Folgen haben. So könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.[38]

Konformitätsvermutung

Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen entsprechen. Die EU-Kommission beauftragt europäische Normungsorganisationen mit der Entwicklung solcher Normen.[39]

Falls keine harmonisierten Normen vorliegen oder unzureichend sind, kann die Kommission Durchführungsrechtsakte mit gemeinsamen Spezifikationen erlassen. Diese Spezifikationen gelten ebenfalls als Nachweis der Konformität. Mitgliedstaaten können Bedenken gegen Spezifikationen äußern, die die Kommission prüft und gegebenenfalls anpasst. Harmonisierte Normen, die später veröffentlicht werden, können entsprechende Rechtsakte ersetzen.

Dieser Prozess ähnelt dem dem Mechanismus nach Art 33 und Art 35 DA für wesentliche Anforderungen an die Interoperabilität von Daten, von Mechanismen und Diensten für die Datenweitergabe sowie von gemeinsamen europäischen Datenräume und zur Interoperabilität von Datenverarbeitungsdiensten.

Fallbeispiele

Der DA ermöglicht es Anbietern von Anschlussdiensten, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die unter gleichen Bedingungen mit den Diensten der Hersteller konkurrieren. Nutzer*innen vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten dadurch die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese selbst durchzuführen.[40]

Gaia-X

Die Gaia-X-Initiative zielt darauf ab, eine digitale Infrastruktur für branchenübergreifenden Datenaustausch in Europa zu schaffen. Der Gaia-X Hub Österreich koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und fördert deren Zusammenarbeit mit europäischen Partnern zur Entwicklung gemeinsamer Datenökosysteme.[41]

Synergien

Sekrospezifische Datenrechtsakte

Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den Europäischen Gesundheitsdatenraum. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. In den besonderen Rechtsakten wird oft ausdrücklich auf die Geltung der allgemeinen Bestimmungen Bezug genommen. Fehlt eine ausdrückliche, gesetzliche Regelung, so ist eine Abwägung der konkreten Bestimmungen im Einzelfall vorzunehmen.[42]

Datenschutz

Der DA gilt gem Art 1 Abs 5 DA unbeschadet des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO [43], der Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG), einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen. Geht es also um die Verarbeitung personenbezogener Daten und ist der Anwendungsbereich des DA gegeben, so ist außerdem die DSGVO anwendbar.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre Vorrang.

Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

##[44]

Rechtsgrundlage für die Datenverarbeitung

Der DA bietet laut EG 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.[45] ## EG 34 ##

Datenportabilität

Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ergänzen die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (Art1 Abs 5 DA).[46] Nutzer (betroffene Personen oder Unternehmen) können leichter auf IoT-Daten zugreifen und diese übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird erleichtert.

  • DSGVO: Nur betroffene Personen können das Recht ausüben, und nur, wenn personenbezogene Daten auf Basis von Einwilligung oder Vertrag verarbeitet werden und technisch übertragbar sind.
  • DA: Schafft ein erweitertes Übertragungsrecht für IoT-Daten, das:
    • für personenbezogene und nicht-personenbezogene Daten gilt,
    • unabhängig von der Rechtsgrundlage anwendbar ist,
    • Echtzeit-Zugriff ermöglicht.

Daten Governance

Der DA ergänzt den DGA. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem die Wirtschaft und die Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.[47]

Datenbankrichtlinie[48]

#Schutzrecht der Datenbanken# Der DA stellt in Art 43 ausdrücklich klar[49], dass - sofern der Anwendungsbereich des DA erfüllt ist - das Schutzrecht sui generis von Datenbanken nicht herangezogen werden kann, um den Zugriff auf Daten zu untersagen. ##Konsequenz#

Digital Markets Act und Digital Services Act

Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.[50]

Durchsetzung und Strafen

Streitbeilegung iZm Datenzugang (Art 10)

Nutzer, Dateninhaber und Datenempfänger können Streitigkeiten an von den Mitgliedstaaten benannte Streitbeilegungsstellen verweisen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen sowie der Vertragsfairness bei Datenzugang und -nutzung, jedoch vorausgesetzt, dass beide Parteien der Schiedsentscheidung freiwillig und vorab zustimmen.

Anwendung und Durchsetzung (Kap IX)

  • Nationale Behörden + „nationaler Datenkoordinator“: unabhängig, zuständig für Anwendung und Durchsetzung, zentrale Anlaufstelle, Mitglied im Europäischen Dateninnovationsrat (EDIB)
  • Beschwerderecht (bei einer zuständigen nationalen Behörde)
  • Recht auf einen wirksamen gerichtlichen Rechtsbehelf
  • Sanktionen (durch MS umzusetzen bis 12.9.2025)
  • EK erstellt Mustervertragsklauseln und Standardvertragsklauseln
  • EDIB (European Data Innovation Board) für DGA und DA zuständig: Beratung und Unterstützung der EK, Förderung der Zusammenarbeit zwischen den MS

Weiterführende Literatur

Einführende Werke

Kommentare

  • Bomhard/Schmidt-Kessel, EU Data Act (2025).
  • Czychowski/Lettl/Steinrötter, Data Act (2025).
  • Paschke/Schumacher, EU Data Act (2025).
  • Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht49 (1.8.2024).

Weiterführende Links

Nachweise

  1. Hoeren/Pinelli, Data Law 23.
  2. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  3. Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  4. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 9, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
  5. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  6. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  7. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
  8. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  9. Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  10. Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski in Yearbook of Antitrust and Regulatory Studies 138.
  11. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
  12. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  13. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 16, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
  14. Schemmel in BeckOK DatenschutzR49 DA Art 3 Rz 2.
  15. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (137).
  16. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 6, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  17. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 12, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  18. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
  19. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 12 und 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  20. Napieralski in Yearbook of Antitrust and Regulatory Studies 139 mwN.
  21. Napieralski in Yearbook of Antitrust and Regulatory Studies 140 mwN.
  22. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).
  23. Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.
  24. Napieralski in Yearbook of Antitrust and Regulatory Studies 132 ff.
  25. EuGH 10.7.2018, C‑25/17, Zeugen Jehovas Rz 66; EuGH, 29.7.2019, C-40/17, Fashion ID Rz 70.
  26. Vgl Napieralski in Yearbook of Antitrust and Regulatory Studies 141 f.
  27. Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
  28. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 19, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  29. Aus diesem Dienst werden wiederum neue Daten generiert, die einem Zugangsanspruch nach dem DA zugänglich sind.
  30. VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte).
  31. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 25, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  32. Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.
  33. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 13.
  34. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 12 f.
  35. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.
  36. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 16.
  37. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 38.
  38. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 39.
  39. Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 41.
  40. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  41. AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria.
  42. Hoeren/Pinelli, Data Law 19.
  43. VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).
  44. Hoeren/Pinelli, Data Law (November 2024) 124 ff.
  45. Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, in Yearbook of Antitrust and Regulatory Studies 139.
  46. Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 13, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  47. Europäische Kommission, Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
  48. Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.
  49. Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.
  50. Hoeren/Pinelli, Data Law 19.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Data_Act_(DA)&oldid=1212