Data Act - Teil 4: Wer sind die Adressaten?
Daten liefern einen wichtigen Beitrag zur wirtschaftlichen Wertschöpfung. Um deren Potenzial weiter auszuschöpfen, hat sich die EU zum Ziel gesetzt, die Datennutzung zu fördern und die Wertschöpfung gerechter zu verteilen. Dies soll das Datengesetz regeln, dessen Entwurf die EU-Kommission im Frühjahr 2022 vorgestellt hat. Übergeordnetes Ziel ist es, die Innovations- und Wettbewerbsfähigkeit von Unternehmen sämtlicher Branchen sicherzustellen.
Nachdem ich im dritten Teil der Serie der Frage nachgegangen wurde, wie sich das Datengesetz von anderen Rechtsakten abgrenzen lässt, geht es in diesem vierten Teil um die Adressaten des Gesetzes: Dateninhaber, Nutzer und Datenempfänger.
Dateninhaber
Der Dateninhaber ist eine juristische oder natürliche Person, die berechtigt oder verpflichtet ist, bestimmte Daten bereitzustellen. Das Datengesetz spricht den Hersteller eines Produkts als Dateninhaber an. Denn er hat in der Regel die Kontrolle über dessen technische Konzeption. Aber nicht jeder Hersteller ist zugleich Dateninhaber im Sinne des Gesetzes. Der Adressatenkreis ist begrenzt auf diejenigen Hersteller, die in der Lage sind, die Daten bereitzustellen und die eine Kontrolle über die technische Konzeption haben. Eine Person ist Dateninhaber, wenn sie die Daten in der eigenen Herrschaftssphäre speichert oder wenn sie die Datenspeicherung kontrolliert.
Ein Dateninhaber ist verpflichtet, einem Nutzer den Datenzugang zu eröffnen, ohne dass der Nutzer zwingend mit ihm in einer vertraglichen Beziehung steht. Bei einem Automobilhersteller sind Sensordaten und Daten aus Apps von Drittanbietern im vernetzten Fahrzeug erfasst, wenn sie entweder im eigenen Einflussbereich Herstellers oder eines Partners gespeichert werden. Dieser Drittanbieter verarbeitet die Daten nach den Vorgaben des Automobilherstellers.
Nutzer
Ein Nutzer ist eine natürliche oder juristische Person, die ein Produkt besitzt, mietet bzw. least oder eine Dienstleistung in Anspruch nimmt. Ein Nutzer kann damit sowohl ein Verbraucher sein, der das Produkt zu privaten Zwecken nutzt, als auch ein Unternehmer oder eine juristische Person, die ein Produkt für ihre Geschäftszwecke besitzt, mietet oder least.
Für die Begründung der Nutzerrechte ist es nicht erforderlich, dass er am Wertschöpfungsprozess beteiligt ist. Hier reicht es aus, den Gegenstand zu besitzen, mit dessen Hilfe die Daten aufgezeichnet werden.
Beim Datengesetz kommt es allein darauf an, dass der Nutzer auf vertraglicher Grundlage rechtmäßig das Nutzungsrecht von Produkt oder Dienst besitzt. Dabei ist es irrelevant, mit wem er in einer vertraglichen Beziehung steht. Voraussetzung für seine Eigenschaft als Nutzer ist ausschließlich die Tatsache, dass er Vertragspartei ist. Er muss keinen Vertrag mit dem Dateninhaber haben.
Produkte und damit verbundene Dienste müssen so konzipiert sein, dass die bei ihrer Nutzung erzeugten Daten für den Nutzer einfach, sicher und direkt zugänglich sind, etwa über entsprechende Benutzeroberflächen. Es reicht dabei aus, dass der Nutzer die Daten erhalten kann, wenn er entsprechende Maßnahmen trifft.
Wenn der Nutzer nicht direkt auf die Daten zugreifen kann, stellt der Dateninhaber dem Nutzer die bei der Nutzung erzeugten Daten unverzüglich, kostenlos und in Echtzeit zur Verfügung. Dabei reicht einfaches Verlangen auf elektronischem Wege, soweit dies technisch machbar ist. Es sind keine Form- oder Fristvorgaben einzuhalten.
Dieser Anspruch umfasst das Recht, absichtlich vom Nutzer aufgezeichnete Daten sowie deren Nebenprodukte zu erhalten. Zu den Nebenprodukten zählen etwa Diagnosedaten und Daten, die ohne jegliche Nutzeraktion anfallen, etwa im Bereitschaftszustand eines Produkts. Damit sind auch im Betrieb eines vernetzten Fahrzeugs erfasste Wetterdaten vom Anspruch auf Datenzugang erfasst. Der Datenzugang soll dabei so ausgestaltet sein, dass ein Dritter die Daten auf dem Produkt oder auf einer Rechnerinstanz des Herstellers verarbeiten kann.
Der Anspruch bezieht sich dabei nur auf die konkret erzeugten Daten, nicht jedoch auf abgeleitete Daten, wenn diese rechtmäßig erlangt wurden. Im Umkehrschluss sind unrechtmäßig erlangte abgeleitete Daten davon sehr wohl erfasst. Dabei stellt das Datengesetz nicht klar, wann abgeleitete Daten rechtmäßig oder unrechtmäßig erlangt wurden. Insbesondere dürfte es sich aber dann um unrechtmäßig erlangte abgeleitete Daten handeln, wenn die zugrunde liegenden Daten unrechtmäßig verarbeitet werden. Dabei kommt es also vor allem auf das Einhalten von Vorgaben der DSGVO, dem Schutz von Geschäftsgeheimnissen und vertraglicher Vereinbarungen an.
Datenempfänger
Der Datenempfänger ist eine juristische oder natürliche Person, der vom Dateninhaber Daten bereitgestellt werden. Er handelt zu Zwecken innerhalb seiner beruflichen Tätigkeit, ohne Nutzer eines Produkts oder verbundenen Dienstes zu sein. Beschränkt wird der Zugang des Datenempfängers durch den Schutz des Geschäftsgeheimnisses. Grundsätzlich dürfen also Daten nicht bereitgestellt werden, wenn es sich um Geschäftsgeheimnisse handelt. Eine solche Vorgabe kann in Konflikt mit dem Anspruch auf Datenportabilität nach DSGVO stehen. Hier müssen im Einzelfall die Interessen zwischen dem Schutz personenbezogener Daten und Geschäftsgeheimnisse abgewogen werden.
Angesichts des Umfangs der Verordnung ist es eine Herausforderung, die für das eigene Unternehmen relevanten Adressaten sowie deren Rollen und Rechte im Blick zu behalten. Wir unterstützen Sie dabei und beraten bei allen Aspekten rund um das IT-Recht. Dabei helfen wir ihnen, relevante Themen des Datengesetzes zu identifizieren und vertraglich zu regeln.
Data Act Serie:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de