Die Entwicklung eines Datenschuldrechts: Eine neue Ära des Datenmanagements

Die Europäische Union (EU) treibt mit Hochdruck die Schaffung eines harmonisierten Binnenmarkts für Daten voran. Ein zentrales Element dieses Vorhabens ist der im Januar 2024 in Kraft getretene Data Act. Dieser zielt darauf ab, die wirtschaftliche Nutzung von Daten zu optimieren, indem er die rechtlichen Rahmenbedingungen für den europäischen Datenraum festlegt. Ein Kernaspekt des Data Act ist die Einführung eines neuen Datenschuldrechts, das eine klare Zuweisung von Zugriffs- und Nutzungsrechten an Daten regelt.

Hintergrund und Motivation

Die EU hat erkannt, dass das Konzept eines Dateneigentums im herkömmlichen Sinne nicht praktikabel ist. Daten sind keine körperlichen Gegenstände und können daher nicht als Eigentum im zivilrechtlichen Sinn behandelt werden. Stattdessen resultiert die wirtschaftliche Nutzung von Daten bisher hauptsächlich aus der faktischen Kontrolle über diese.

Dies führt jedoch zu ineffizienten Datensilos, in denen das Potenzial der Daten nicht vollständig ausgeschöpft wird. Diese Silos entstehen häufig bei Herstellern von vernetzten Produkten wie Fahrzeugen oder Haushaltsgeräten, die alleinigen Zugriff auf die von ihren Produkten erzeugten Daten haben.

Die Struktur des Data Act

Der Data Act legt fest, dass Daten als digitale Darstellungen von Handlungen, Tatsachen oder Informationen zu verstehen sind. Dabei ist unerheblich, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt – die Datenschutz-Grundverordnung (DSGVO) bleibt in jedem Fall anwendbar. Besonders relevant sind Daten, die durch die Nutzung vernetzter Produkte und verbundener Dienste entstehen. Vernetzte Produkte sind dabei Gegenstände, die Daten sammeln und übertragen können, wie zum Beispiel Smart-Home-Geräte oder vernetzte Fahrzeuge.

Akteure und ihre Rechte

Der Data Act unterscheidet drei Hauptakteure: den Dateninhaber, den Nutzer und den Datenempfänger. Dateninhaber ist die Person, die zur Nutzung von Daten berechtigt oder zu deren Bereitstellung verpflichtet ist. Nutzer sind diejenigen, die vernetzte Produkte besitzen oder nutzen, und Datenempfänger sind Dritte, die Daten von den Nutzern erhalten. Der Data Act gibt den Nutzern umfassende Rechte auf Zugang zu den durch ihre Nutzung generierten Daten und ermöglicht es ihnen, diese Rechte an Dritte weiterzugeben.


Das Datenschuldrecht

Der entscheidende Punkt des Data Act ist die Schaffung eines neuen Datenschuldrechts (die Begrifflichkeit gefällt mir am besten, erstmals gelesen habe ich sie bei Kraft/Schumann in
GRUR-Prax 2024, 324). Dieses regelt die vertraglichen Beziehungen zwischen den Akteuren und ermöglicht es, Datenzugangsrechte zu verhandeln und weiterzugeben. Damit wird die bisherige Abhängigkeit von der faktischen Kontrolle über Daten aufgebrochen und durch rechtliche Vereinbarungen ersetzt. Der Data Act stellt dabei sicher, dass solche Vereinbarungen fair, angemessen und nicht-diskriminierend sind.

Praktische Auswirkungen

Für Unternehmen bedeutet dies, dass sie ihre bestehenden Verträge anpassen müssen, um den neuen Anforderungen des Data Act gerecht zu werden. Insbesondere müssen Dateninhaber sicherstellen, dass sie über vertragliche Vereinbarungen verfügen, die ihnen die Nutzung der Daten durch die Nutzer erlauben. Dies betrifft vor allem Unternehmen, die im Bereich der künstlichen Intelligenz (KI) tätig sind, da sie auf große Datenmengen für Trainingszwecke angewiesen sind. Der Data Act bietet hier neue Möglichkeiten, da er den Zugang zu wertvollen Datensätzen regelt.


Vertragsgestaltung unter dem Data Act

Die Einführung des Data Act bringt umfassende Änderungen in der vertraglichen Gestaltung von Datenverträgen mit sich. Folgende Punkte sollten dabei besonders berücksichtigt werden:

  1. Klare Zuweisung von Rechten und Pflichten: Verträge müssen eindeutig regeln, wer welche Daten nutzen darf und unter welchen Bedingungen dies geschieht. Dies beinhaltet auch die Festlegung der Rechte der Nutzer an den von ihnen generierten Daten und die Bedingungen, unter denen diese Rechte an Dritte weitergegeben werden können.
  2. Fairness und Transparenz: Vertragsklauseln müssen fair und transparent sein, insbesondere gegenüber kleinen und mittleren Unternehmen (KMU). Der Data Act enthält spezifische Vorgaben zur Vermeidung missbräuchlicher Klauseln und zur Sicherstellung eines angemessenen Gleichgewichts zwischen den Vertragsparteien. Dies umfasst die Einführung von Fairness-Standards und die Vermeidung von Klauseln, die einseitig zugunsten einer Partei formuliert sind.
  3. Kontrolle und Durchsetzung: Es wird empfohlen, Mechanismen zur Überwachung und Durchsetzung der vertraglichen Vereinbarungen einzuführen. Dies kann durch regelmäßige Audits, Berichterstattungspflichten und die Einsetzung unabhängiger Schiedsstellen zur Beilegung von Streitigkeiten geschehen. Der Data Act sieht zudem vor, dass missbräuchliche Klauseln nicht bindend sind und der Vertrag im Übrigen weiterhin Bestand haben kann.
  4. Berücksichtigung spezifischer Anwendungsfälle: Verträge sollten auch die speziellen Anforderungen bestimmter Datenanwendungen berücksichtigen, wie etwa die Nutzung von Daten für KI-Trainings. Hierbei sind zusätzliche Informations- und Transparenzpflichten zu beachten, um sicherzustellen, dass alle Beteiligten über die Nutzung und Weiterverwendung der Daten informiert sind und zustimmen.
  5. Musterverträge und Standardklauseln: Um Unsicherheiten zu minimieren und faire Vertragsbedingungen zu fördern, wird die EU-Kommission nicht-bindende Musterverträge und Standardklauseln bereitstellen. Unternehmen sollten diese Ressourcen nutzen, um ihre eigenen Verträge zu überprüfen und anzupassen. Dies kann dazu beitragen, die Einhaltung der neuen Vorschriften sicherzustellen und das Vertrauen der Geschäftspartner zu stärken.

Geschäftsgeheimnisschutz und Datenzugang

Ein zentrales Spannungsfeld im Data Act ist das Verhältnis zwischen dem Recht auf Datenzugang und dem Schutz von Geschäftsgeheimnissen. Der Data Act legt großen Wert auf den freien Zugang zu Daten, erkennt jedoch auch die Notwendigkeit an, Geschäftsgeheimnisse zu schützen.

Herausforderungen für den Geschäftsgeheimnisschutz

Der Data Act verpflichtet Dateninhaber dazu, Nutzern und unter bestimmten Bedingungen auch Dritten Zugang zu den generierten Daten zu gewähren. Dies kann potenziell dazu führen, dass sensible Informationen preisgegeben werden, die als Geschäftsgeheimnisse geschützt sind. Besonders problematisch ist dies für Unternehmen, deren Geschäftsmodelle stark auf exklusivem Wissen und Technologien basieren.

Schutzmechanismen im Data Act

Um den Schutz von Geschäftsgeheimnissen zu gewährleisten, enthält der Data Act mehrere Schutzmechanismen:

  1. Vertraulichkeitsmaßnahmen: Dateninhaber können verlangen, dass angemessene Vertraulichkeitsmaßnahmen ergriffen werden, bevor der Zugang zu sensiblen Daten gewährt wird. Dies umfasst unter anderem die Verpflichtung der Nutzer und Dritten zur Geheimhaltung und die Implementierung technischer und organisatorischer Schutzmaßnahmen.
  2. Einschränkung des Datenzugangs: Der Data Act erlaubt es Dateninhabern, den Zugang zu Daten zu verweigern, wenn dieser den Schutz von Geschäftsgeheimnissen gefährden würde. Diese Einschränkung ist allerdings an strenge Voraussetzungen geknüpft und muss im Einzelfall gut begründet werden. Insbesondere muss ein schwerwiegender wirtschaftlicher Schaden drohen, um den Zugang zu verweigern.
  3. Sicherstellung der Durchsetzung: Die Verweigerung des Datenzugangs aufgrund von Geschäftsgeheimnisschutz muss den zuständigen Behörden gemeldet werden. Dies stellt sicher, dass solche Entscheidungen überwacht und überprüft werden können, um Missbrauch zu verhindern.

Aufgaben für Unternehmen

Unternehmen müssen sich auf umfassende Änderungen und neue Anforderungen einstellen, die der Data Act mit sich bringt. Hier sind die wichtigsten Punkte, die Unternehmen beachten sollten:

Datenzugangsrechte und -pflichten

Nutzerrechte

  • Nutzer von vernetzten Produkten und verbundenen Diensten erhalten das Recht, auf die durch ihre Nutzung generierten Daten zuzugreifen. Dies umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten.
  • Nutzer können diese Daten an Dritte weitergeben, wodurch sich neue Geschäftsmöglichkeiten eröffnen, aber auch potenzielle Risiken entstehen.

Pflichten der Dateninhaber

  • Dateninhaber müssen sicherstellen, dass die von ihnen erhobenen Daten den Nutzern leicht zugänglich gemacht werden.
  • Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
  • Unternehmen müssen technische und organisatorische Maßnahmen ergreifen, um den Zugang zu Daten sicher, unentgeltlich und kontinuierlich zu gewährleisten.

Vertragsgestaltung

Rechte und Pflichten klar definieren

  • Verträge müssen eindeutig festlegen, welche Daten von welchen Parteien genutzt werden dürfen und unter welchen Bedingungen.
  • Es müssen Regelungen getroffen werden, wie mit den Rechten der Nutzer und den Pflichten der Dateninhaber umgegangen wird.

Fairness und Transparenz

  • Vertragsklauseln müssen fair und transparent sein. Insbesondere gegenüber kleinen und mittleren Unternehmen (KMU) sind missbräuchliche Klauseln zu vermeiden.
  • Die Verträge sollten sicherstellen, dass alle Parteien ihre Rechte und Pflichten klar verstehen und akzeptieren.

Spezifische Anwendungsfälle

  • Verträge müssen spezifische Anforderungen bestimmter Datenanwendungen berücksichtigen, wie etwa die Nutzung von Daten für KI-Trainings.
  • Unternehmen müssen zusätzliche Informations- und Transparenzpflichten erfüllen, um sicherzustellen, dass alle Beteiligten über die Nutzung und Weiterverwendung der Daten informiert sind und zustimmen.

Geschäftsgeheimnisschutz

Vertraulichkeitsmaßnahmen

  • Unternehmen müssen sicherstellen, dass angemessene Vertraulichkeitsmaßnahmen ergriffen werden, bevor sensible Daten zugänglich gemacht werden.
  • Es sind klare Richtlinien zu implementieren, um sicherzustellen, dass die Geschäftsgeheimnisse geschützt bleiben.

Einschränkung des Datenzugangs

  • Unternehmen können den Zugang zu Daten verweigern, wenn dies den Schutz von Geschäftsgeheimnissen gefährden würde. Diese Verweigerung muss jedoch gut begründet sein und unterliegt strengen Voraussetzungen.
  • Der Data Act sieht vor, dass solche Entscheidungen den zuständigen Behörden gemeldet werden müssen, um Missbrauch zu verhindern.

Implementierung von Überwachungs- und Durchsetzungsmechanismen

  • Unternehmen sollten Mechanismen zur Überwachung und Durchsetzung der vertraglichen Vereinbarungen einführen.
  • Regelmäßige Audits und Berichterstattungspflichten können dazu beitragen, die Einhaltung der Vorschriften sicherzustellen.
  • Die Einsetzung unabhängiger Schiedsstellen zur Beilegung von Streitigkeiten kann dazu beitragen, Konflikte effizient zu lösen.

Nutzung von Musterverträgen und Standardklauseln

  • Die EU-Kommission stellt nicht-bindende Musterverträge und Standardklauseln bereit, die Unternehmen nutzen sollten, um ihre eigenen Verträge zu überprüfen und anzupassen.
  • Dies kann dazu beitragen, Unsicherheiten zu minimieren und faire Vertragsbedingungen zu fördern.

TOM

  • Unternehmen müssen sicherstellen, dass sie die technischen und organisatorischen Voraussetzungen erfüllen, um den neuen Anforderungen des Data Act gerecht zu werden.
  • Dies beinhaltet die Implementierung von Datenzugangssystemen, die den gesetzlichen Anforderungen entsprechen, und die Sicherstellung, dass die Daten in einem geeigneten Format bereitgestellt werden können.

Ausblick

Der Data Act markiert einen wichtigen Schritt in der Entwicklung des europäischen Datenrechts. Durch die Einführung eines Datenschuldrechts schafft er einen rechtlichen Rahmen, der den Zugang und die Nutzung von Daten klar regelt und damit die Grundlage für einen effizienten und fairen Datenmarkt legt. Unternehmen sollten sich frühzeitig auf diese Änderungen einstellen und ihre Vertragspraktiken entsprechend anpassen, um die neuen Chancen optimal zu nutzen und rechtliche Risiken zu minimieren.

Dieser neue Ansatz hat das Potenzial, die Art und Weise, wie Daten in Europa genutzt und gehandelt werden, grundlegend zu verändern und eine gerechtere und transparentere Datenwirtschaft zu fördern.

Durch die sorgfältige Gestaltung von Datenverträgen können Unternehmen nicht nur rechtliche Compliance sicherstellen, sondern auch ihre Wettbewerbsfähigkeit und Innovationskraft stärken. Gleichzeitig muss jedoch der Schutz von Geschäftsgeheimnissen gewährleistet sein, um die Balance zwischen Datenzugang und Geheimnisschutz zu wahren.

Fachanwalt für IT-Recht Jens Ferner