Am 9.11.2023 hat das Europäische Parlament den Data Act verabschiedet. Der Act ist eine Verordnung, seine Regelungen gelten direkt im Deutschen Recht. Wesentliche Regelungen werden voraussichtlich ab dem Herbst 2025 anwendbar.
Für meine Arbeit besteht der relevante Zielsektor des Data Acts bei und in den Unternehmen, die mit Daten handeln, also Dienste wie „Data as a service“ betreiben.
Der Data Act wird als rechtspolitisch hochambitioniertes Vorhaben beschrieben. Ziel des Data Acts ist, die Daten, über die bislang nur die Hersteller von Hardwaresystemen (IOT) wie auch Maschinen- und Komponentenhersteller verfügten, auch anderen Nutzern zugänglich zu machen, damit ein volkswirtschaftlicher Nutzen durch die bislang exklusiv genutzten Daten entstehen kann. Die juristische Komplexität wird noch dadurch erhöht, dass die Regelung der Datenschutzgrundverordnung neben den Regelungen des DA stehen.
Ob das Ziel mit der Regelung erreicht wird, ist in der Literatur hoch umstritten und es gibt bereits jetzt, – also vor der Phase, in der man, ausgehend von empirischen Befunden, Aussagen über die Güte des Data Acts treffen kann-, viel Kritik. Man wird schauen und sehen müssen.
Ich beabsichtige deshalb keine Darstellung der bereits wirklich breiten Diskussion, sondern möchte wesentliche Punkte des DA darstellen, denn grau ist alle Theorie.
Weil der DA lang und komplex ist, stelle ich im ersten Blog den Hintergrund des DA dar, damit man versteht, was der Hintergrund der Regelungen des DA ist.
I. Mechanismus des DA
Zentral ist der Anspruch des Nutzers von Maschinen und Geräten auf Zugang zu den durch seine Nutzung entstandenen und vom Dateninhaber gesammelten Daten. Die juristische Entität, die dem Nutzer die Maschinen überlässt, wird Dateninhaber genannt. Der Nutzer ist die Person oder das Unternehmen, das z.B. ein Auto geleast hat, oder eine mit dem Internet verbundene Kaffeemaschine nutzt, etc. Bei den Daten kann es sich um personenbezogene oder nicht personenbezogene Daten handeln. Handelt es sich um personenbezogene Daten sind die Ansprüche der DSGVO auf Herausgabe oder Löschung von personenbezogenen Daten, also die DSGVO uneingeschränkt zu beachten. Der Nutzer wird darüber informiert werden müssen, dass und welche Daten erfasst werden und es gilt, ihm einen einfachen Zugang zu den Daten zu ermöglichen. Ist das nicht möglich, können gerichtliche Mechanismen in Anspruch genommen werden.
Die zweite Grundsatzüberlegung des DA, neben der zentralen Rolle des Nutzers, ist es, dass der Nutzer im Regelfall nicht selbst über die erforderlichen Mechanismen verfügen wird, um aus der Inhaberschaft seiner Rolle als Nutzer ökonomische Vorteile zu ziehen. Deshalb steht dem Nutzer die Befugnis zu, die Daten selbst an Dritte weiterzugeben oder den Inhaber dazu zu verpflichten.
Also können die Daten von IT- Unternehmen mittels Softwarealgorithmen oder AI aggregiert werden, an andere weitergeben werden, etc. Das können auch Unternehmen in den USA sein. Ferner gibt es erhebliche Zweifel daran, ob der Schutz von Geschäftsgeheimnissen des Dateninhabers durch den DA ausreichend berücksichtigt wird.
Die größte Kritik an dem DA ist die zentrale Rolle des Nutzers, der die Auswertung der Daten durch den Dateninhaber durch eine Verweigerung seiner Zustimmung unterbinden kann.