Data Act - Teil 5: Rechte und Pflichten der Beteiligten

Mit dem Entwurf des Datengesetztes will die EU die Datennutzung fördern und die Wertschöpfung gerechter verteilen. Übergeordnetes Ziel ist es, die Innovations- und Wettbewerbsfähigkeit sämtlicher Branchen sicherzustellen. Nachdem ich im vierten Teil meiner Serie die Adressaten vorgestellt des Datengesetzes habe, werfe ich in diesem fünften und abschließenden Teil einen Blick auf die Ansprüche und Pflichten der Beteiligten.

Zugang des Nutzers zu den Daten

Die Produkte müssen so konzipiert und hergestellt werden, die verbundenen Dienste so erbracht werden, dass die bei der Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher und direkt zugänglich sind. Dies kann über eine entsprechend gestaltete Benutzeroberfläche erreicht werden. Der Nutzer kann selbständig entscheiden, ob er den Datenzugang in Anspruch nimmt. Das Datengesetz definiert dazu eine „Data Accessibility by Default“. Der Zugang zu den Daten kann dadurch hergestellt werden, dass dem Nutzer die Daten direkt vom Speicher des Gerätes oder aus der Cloud bereitgestellt werden. Technisch und faktisch werden jedoch die Daten dem Hersteller zugeordnet.

Anspruch des Nutzers auf Datenzugang

Wenn der Nutzer nicht direkt vom Produkt auf die Daten zugreifen kann, ist der Dateninhaber verpflichtet, die bei der Nutzung entstandenen Daten unverzüglich, kostenlos und kontinuierlich zur Verfügung zu stellen. Und zwar in Echtzeit, falls erforderlich. Der Anspruch auf den Datenzugang ist nicht an weitere Anforderungen gebunden. Es gibt keine Form- oder Fristvorgaben.

Zum Anspruch auf Datenzugang zählen absichtlich vom Nutzer aufgezeichnete Daten sowie deren Nebenprodukte. Zu Letzteren zählen etwa Diagnosedaten und Daten, die ohne Nutzeraktion anfallen, etwa im Bereitschaftszustand eines Produkts.

Die Grenzen des Anspruchs setzt die DSGVO. Jeder Zugang muss mit ihr vereinbar sein. Gleiches gilt für den Schutz des Geschäftsgeheimnisses. In Zweifelsfällen müssen die Interessen zwischen dem Schutz personenbezogener Daten und dem der Geschäftsgeheimnisse abgewogen werden.

 

Nutzung der Daten durch den Dateninhaber

Der Dateninhaber darf die Daten, die bei der Nutzung eines Produkts oder verbundenen Dienstes erzeugt werden, nur nutzen, wenn er mit dem Nutzer eine vertragliche Vereinbarung geschlossen hat. Ein solcher Vertrag zwischen Nutzer und Dateninhaber ist zumindest dann, wenn es sich beim Nutzer um eine natürliche Person handelt, keinen adäquaten Verbraucherschutzvorgaben unterworfen.

Der Dateninhaber kann sich die Nutzungsmöglichkeit der Daten in jeder Hinsicht sichern, die er zur vertraglichen Vereinbarung vorgibt. Eine Ausnahme gibt es bei Daten, die Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers ermöglichen, wenn dies die Marktposition des Nutzers untergraben könnte. Eine solche Nutzung ist dem Dateninhaber verboten.

Der Dateninhaber kann daher umfassende Buy-out-Verträge vorgeben und die Berechtigung erhalten, die Daten ungehindert an Dritte zu sämtlichen Zwecken gegen Entgelt auch an zentrale Plattformdienste weiterzureichen. Das ist dem Nutzer verboten.

 

Bereitstellung zu fairen Bedingungen

Die Daten sollen vom Dateninhaber zu fairen, angemessenen und nichtdiskriminierenden Bedingungen zur Verfügung gestellt werden. Mit diesen Vorgaben soll verhindert werden, dass der Dateninhaber vertragliche Ungleichgewichte ausnutzt. Wie das zu erfolgen hat, geben Verordnungstext und Erwägungsgründe nicht explizit vor. Ein Dateninhaber darf einem Datenempfänger Daten nur dann exklusiv zur Verfügung stellen, wenn der Nutzer dies verlangt hat. Ansonsten sind Exklusivvereinbarungen unzulässig.

Der Dateninhaber kann eine angemessene Gegenleistung verlangen, wenn er rechtlich verpflichtet ist, dem Datenempfänger Daten bereitzustellen. Damit werden aber nicht die Daten selbst bezahlt, sondern die Kosten und Investitionen, die für die Bereitstellung der Daten erforderlich sind.

 

Klauselkontrolle

Wenn der Dateninhaber einem kleinen oder mittleren Unternehmen missbräuchliche Klauseln auferlegt hat, sind diese nicht bindend. Als einseitig auferlegt gelten Klauseln, wenn sie von einer Vertragspartei eingebracht werden und die andere Vertragspartei ihren Inhalt nicht beeinflussen kann. Die Beweislast dafür, dass eine Klausel nicht einseitig auferlegt wurde, trägt die Vertragspartei, die die Vertragsklausel eingebracht hat.

 

Technische Schutzmaßnahmen

Technische Schutzmaßnamen sind erlaubt, um einen unbefugten Zugang zu den Daten zu verhindern und die Einhaltung der vereinbarten Vertragsbedingungen sicherzustellen. Solche Maßnahmen können verstanden werden als Technologien, Vorrichtungen oder Bestandteile, die alle unzulässigen Handlungen in Bezug auf Daten verhindern oder einschränken. Technische Schutzmaßnahmen dürfen jedoch nicht eingesetzt werden, um zu verhindern, dass ein Nutzer die Daten für Dritte bereitstellt.

 

Rechte und Pflichten des Datenempfängers

Der Schutz des Geschäftsgeheimnisses beschränkt auch den Datenzugang des Datenempfängers. Der Dateninhaber darf also Daten nicht bereitstellen, wenn es sich um Geschäftsgeheimnisse handelt.

Der Anspruch auf Datenportabilität ist allerdings ebenso wie der Auskunftsanspruch beschränkt, da Rechte und Freiheiten anderer Personen durch den Datenzugang nicht beeinträchtigt werden dürfen. Wenn Geschäftsgeheimnisse vorliegen, müssen Ansprüche auf der Basis der EU-Grundrechte Charta abgewogen werden.

 

Datenvernichtung

Ein Datenempfänger muss unverzüglich unter bestimmten Umständen die vom Dateninhaber bereitgestellten Daten und alle etwaigen Kopien davon vernichten. Das ist dann der Fall, wenn er dem Dateninhaber ungenaue oder falsche Informationen gegeben, Täuschungen und Zwangsmittel eingesetzt oder offensichtliche Lücken der technischen Infrastruktur missbraucht, die bereitgestellten Daten für nicht genehmigte Zwecke genutzt oder ohne Zustimmung des Dateninhabers an eine andere Partei weitergegeben hat. Alle Waren, Daten oder Dienstleistungen, die auf den unrechtmäßig erlangten Daten beruhen, dürfen nicht mehr hergestellt, angeboten, in Verkehr gebracht oder verwendet werden.

 

Fazit

Das Datengesetz sichert die technisch-faktische Möglichkeit der Datennutzung durch den Dateninhaber vollständig ab. Eine gerechte Verteilung der Wertschöpfung aus Daten ist damit nicht unbedingt gegeben. Dies wäre eher der Fall gewesen, wenn auch der Nutzer Daten bei sich speichern könnte. Außerdem sollte der Vertrag zwischen Dateninhaber und Nutzer das Koppeln der Nutzung des Produkts bzw. des verbundenen Dienstes mit einem umfassenden Buy-out verbieten. Auch sollten Kündigungsmöglichkeiten und zeitliche Begrenzungen vorgesehen werden.

 

Angesichts des Umfangs der Verordnung ist es eine Herausforderung, die für das eigene Unternehmen relevanten Anforderungen im Blick zu behalten. Wir unterstützen Sie dabei und beraten bei allen Aspekten rund um das IT-Recht. Dabei helfen wir ihnen, relevante Themen des Datengesetzes zu identifizieren und vertraglich zu regeln.

Data Act Serie:

  1. Einleitung: Aufbau und Inhalt

  2. Abgrenzung zur DSGVO

  3. Abgrenzung zu anderen Rechtsakten

  4. Wer sind die Adressaten?

  5. Rechte und Pflichten der Beteiligten?

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de