Die Umsetzung der EU-Datenstrategie schreitet weiter voran: Nach dem Daten-Governance-Gesetz aus dem Jahre 2020 legte die EU Kommission am 23. Februar 2022 ihren Entwurf für ein EU-Datengesetz vor (Proposal for a Regulation on harmonised rules on fair access to and use of data; Data Act). Das vorgeschlagene EU-Datengesetz sieht Regeln für die Nutzung nicht-personenbezogener Daten (Nicht-Personendaten) vor; dessen Geltungsbereich wird wie folgt umschrieben:
„This Regulation lays down harmonised rules on making data generated by the use of a product or related service available to the user of that product or service, on the making data available by data holders to data recipients, and on the making data available by data holders to public sector bodies or Union institutions, agencies or bodies, where there is an exceptional need, for the performance of a task carried out in the public interest“ (vgl. Art. 1 Abs. 1 E-Datengesetz).
Damit sollen u.a. folgende Anwendungsfälle adressiert werden:
i) Datenübertragbarkeit: Insbesondere im Falle eines vernetzten Gerätes ("Internet of Things"; IoT) soll offenbar nicht ausreichend klar sein, „wer was mit den Daten [die durch die Nutzung des Geräts erzeugt werden] tun darf. Oder im Kaufvertrag ist u. U. festgelegt, dass sämtliche erzeugten Daten ausschließlich vom Hersteller gesammelt und genutzt werden dürfen (…). Das Datengesetz wird sowohl Einzelpersonen als auch Unternehmen durch ein gestärktes Recht auf Datenübertragbarkeit mehr Kontrolle über ihre Daten einräumen, sodass sie Daten problemlos an verschiedene Diensteanbieter weitergeben können. Dies gilt für Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden. Beispielsweise könnte ein Auto- oder ein Maschinenbesitzer entscheiden, mit dem Auto oder der Maschine erzeugte Daten an seinen Versicherer weiterzugeben.“
ii) Blacklisting missbräuchlicher Vertragsklauseln: „Vertragsfreiheit ist nach wie vor das Grundprinzip, aber KMU sind nun vor missbräuchlichen Vertragsklauseln [zur Nutzung von Daten] geschützt, weil es eine Liste mit einseitig auferlegten Vertragsklauseln gibt, die als missbräuchlich gelten oder bei denen davon ausgegangen wird, dass sie missbräuchlich sind. Vertragsklauseln, die auf dieser Liste stehen, sind für KMU nicht bindend. Ein Beispiel sind Klauseln, wonach ein Unternehmen die Vertragsbestimmungen einseitig auslegen darf.“
Ferner will die EU Kommission unverbindliche Mustervertragsbedingungen/Standardklauseln erarbeiten, um die Verhandlungsposition insbesondere von KMU gegenüber marktmächtigen Gegenparteien zu stärken.
iii) Herausgabe von Daten an EU-Behörden: „Das Datengesetz sieht vor, dass in Ausnahmesituationen von grossem öffentlichem Belang wie etwa bei Überschwemmungen oder Waldbränden der Zugang zu Daten privater Unternehmen möglich ist (…) Die neuen Vorschriften sehen eine Verpflichtung für Unternehmen zur [teilweise kostenlosen] Bereitstellung bestimmter Daten vor (…).“
iv) Herausgabe von Daten an Nicht-EU/EWR-Behörden (Foreign Lawful Access): „Ausserdem wird das Datengesetz vertrauensbildend wirken, da es die Einführung verbindlicher Garantien zum Schutz der Daten in Cloud-Infrastrukturen vorsieht. Dadurch werden unrechtmässige Zugriffe durch Regierungen von Ländern, die nicht zur EU oder zum EWR gehören, verhindert. Mit diesen Massnahmen wird das Datengesetz die Cloud-Einführung in Europa unterstützen, was wiederum einen effizienten Datenaustausch innerhalb von und zwischen Sektoren fördern wird.“
Im Zusammenhang mit dem Entwurf des EU-Datengesetzes stellen sich bereits heute zahlreiche Abgrenzungsfragen - insbesondere zur EU DSGVO. In jüngster Zeit haben verschiedene EU-Datenschutzbehörden in immer mehr Fällen „Daten“ als personenbezogene Daten (Personendaten) qualifiziert, was die Anwendung der EU DSGVO nach sich zieht. Dieser Trend dürfte sich auch bei IoT-Anwendungsfällen fortsetzen. Infolgedessen können betroffene Personen bereits heute und gestützt auf Art. 20 EU DSGVO ihren Anspruch auf Datenportabilität (Datenübertragbarkeit) geltend machen. Schliesslich stellt sich die Frage, inwiefern im Zusammenhang mit Daten i.S. des EU-Datengesetzes eine Diskussion über einen denkbaren Foreign Lawful Access Sinn macht und ob hier ein vergleichbares Konzept mit „Garantien“ analog Schrems II (d.h. Foreign Lawful Access bei personenbezogenen Daten; vgl. C-311/18) überhaupt zielführend sein kann.
Michal Cichocki