EU-Data Act – im Eiltempo zur neuen Datennutzungsregulierung
Bereits im Februar 2020, zu Beginn der Legislaturperiode, hat sich die EU-Kommission mit der Europäischen Datenstrategie zum Ziel gesetzt, einen echten Binnenmarkt für Daten zu etablieren. Die Umsetzung der ambitionierten Strategie wird unter Hochdruck vorangetrieben. Mit dem Vorschlag für ein europäisches Datengesetz – englisch „Data Act“ – hat die EU-Kommission im Februar 2022 das zentrale Legislativvorhaben auf den Weg gebracht, um den rechtlichen Rahmen für die Nutzung und den Austausch von Daten zu schaffen. Der EU-Data Act soll insbesondere die faire Verteilung der Datenallokation zwischen den verschiedenen Akteuren der Datenwirtschaft sicherstellen sowie den Zugang zu Daten und deren Nutzung fördern. Als sektorübergreifende EU-Verordnung ist der Data Act für nahezu alle Industrieunternehmen relevant, die Daten erheben, verarbeiten oder austauschen.
Inhaltlich sieht der EU-Data Act eine ganze Reihe von Regelungsfeldern vor: Dazu gehören u. a. das Recht des Nutzers eines IoT-Produkts auf Zugang und Übertragung der bei der Nutzung generierten Daten (Kapitel II/III), eine vertragsrechtliche Missbrauchskontrolle „unfairer“ AGB-Vertragsklauseln in standardisierten Datenlizenzverträgen (Kapitel IV), Datenteilungspflichten von Unternehmen gegenüber öffentlichen Stellen (Kapitel V), Bestimmungen für einen erleichterten Wechsel von Datenverarbeitungsdiensten (insbesondere Cloud- und Edge-Anbieter) sowie Anforderungen für die technische Interoperabilität und den internationalen Datenverkehr von nicht-personenbezogenen Daten.
Pauschaler Ansatz führt zu einer enormen Rechtsunsicherheit
Der BDI hat sich von Anfang an sehr kritisch zu dem weitreichenden und horizontal angelegten Regulierungsansatz der EU-Kommission geäußert. Insbesondere der „One-Size-fits-all“-Ansatz für sämtliche (nicht-)personenbezogene IoT-Produktdaten führt im Zusammenspiel mit unklaren Definitionen, dem unzureichenden Schutz von geistigem Eigentum und Geschäftsgeheimnissen sowie der fehlenden Verknüpfung mit dem bestehenden Rechtsrahmen (u. a. zur Datenschutzgrundverordnung) zu einer enormen Rechtsunsicherheit in der gesamten Industrie.
Trotz dieser Kritik ist das Dossier im Eiltempo durch die Co-Legislativorgane vorangetrieben worden. Das Europäische Parlament hat sich mit vier beteiligten Ausschüssen (ITRE, JURI, IMCO, LIBE) Mitte März 2023 auf ein Verhandlungsmandat geeinigt. Die schwedische Ratspräsidentschaft hat ebenfalls im März 2023 ein AStV-Mandat beschlossen, sodass die sogenannten Trilog-Verhandlungen bereits Ende März 2023 beginnen konnten. Ziel war es, noch innerhalb der schwedischen Ratspräsidentschaft bis zum 30. Juni 2023 einen Verhandlungsabschluss zu erzielen.
Im Rahmen der finalen Trilog-Verhandlungen sind wesentliche Verbesserungen am ursprünglichen Kommissionsvorschlag vorgenommen worden. Dennoch bleiben zahlreiche Fragestellungen im Gesetzgebungsverfahren offen und müssen nun in der Anwendungspraxis geklärt werden. In Anbetracht der grundlegenden und tiefgreifenden Auswirkungen des EU-Data Acts auf die europäische Industrie ist weiterhin fraglich, ob das Gesetz seine intendierte Wirkung erreichen wird. Als BDI werden wir auch die Implementierung in der Anwendungspraxis sehr eng begleiten.