LEAK: Kommissionsvorschläge zum EU Data Act

Das Datengesetz ist eine Säule der europäischen Datenstrategie. [lukeylukas7/Shutterstock]

Der Vorschlag für den Data Act definiert die Regeln für die gemeinsame Datennutzung, die Bedingungen für den Zugang durch öffentliche Einrichtungen, internationale Datenübertragungen, Cloud-Switching und Interoperabilität. Dies geht aus einem Entwurf hervor, der EURACTIV vorliegt.

Der Data Act ist eine horizontale Gesetzgebung für nicht-personenbezogene Daten, die die Europäische Kommission am 23. Februar vorlegen will. Die neuen Vorschriften werden für die Hersteller vernetzter Produkte, Anbieter digitaler Dienste und Nutzer in der EU gelten.

„Die Menge der von Menschen und Maschinen erzeugten Daten nimmt exponentiell zu, aber die meisten Daten bleiben ungenutzt oder ihr Wert konzentriert sich in den Händen relativ weniger großer Unternehmen“, heißt es in dem Vorschlag.

Die Kommission beabsichtigt, das Potenzial der datengesteuerten Innovation freizusetzen. Dies soll durch die Schaffung rechtlicher Verpflichtungen zur gemeinsamen Nutzung von Daten geschehen, wenn vernetzte Geräte (Internet der Dinge) weit verbreitet sind.

Zugangsrecht

Mit dem Data Act wird der Grundsatz eingeführt, dass jeder Nutzer, ob Einzelperson oder Organisation, Zugang zu den Daten haben sollte, zu deren Erzeugung er beigetragen hat.

Umgekehrt sollten vernetzte Produkte und damit verbundene Dienste, einschließlich virtueller Assistenten, dem Nutzer die Daten standardmäßig in zugänglicher Form zur Verfügung stellen. Der Nutzer kann diese Daten kostenlos nutzen oder sie mit Drittparteien teilen.

Bei der Weitergabe von Daten an Drittparteien können der Dateninhaber und der Nutzer Maßnahmen zur Wahrung der Vertraulichkeit der Daten und der Geschäftsgeheimnisse vereinbaren. Die übermittelten Daten dürfen nicht dazu verwendet werden, Produkte zu entwickeln, die mit dem Dateninhaber konkurrieren.

Insbesondere dürfen die Nutzer oder Drittparteien solche Daten nicht an Organisationen weitergeben, die im Rahmen des Gesetzes über digitale Märkte (DMA) als Gatekeeper bezeichnet werden. Den Gatekeepern wiederum ist es untersagt, den Nutzer aufzufordern, Daten mit ihnen zu teilen oder Daten zu empfangen.

EU-Parlament beschließt Verordnung gegen Internet-Riesen

Die EU-Parlamentarier haben am Mittwoch (15. Dezember) in einer Plenarabstimmung ihre Version des Gesetzes über digitale Märkte (Digital Markets Act – DMA) angenommen.

Die Dateninhaber werden nicht in der Lage sein, Zwangsmaßnahmen zu ergreifen oder die Weitergabe von Daten technisch zu verhindern. Sie können nur Informationen anfordern, um zu überprüfen, ob die Anfrage von einem Nutzer oder einer autorisierten Partei stammt.

Um „Dark Patterns“ zu verhindern, dürfen Drittparteien „den Nutzer in keiner Weise zwingen, täuschen oder manipulieren, indem sie die Autonomie, Entscheidungsfreiheit oder Wahlmöglichkeiten des Nutzers untergraben oder beeinträchtigen, auch nicht durch eine digitale Schnittstelle zum Nutzer“.

Mikro- und Kleinunternehmen sind von diesen Verpflichtungen ausgenommen, es sei denn, sie sind „wirtschaftlich von einem anderen Unternehmen abhängig, das nicht als Mikro- oder Kleinunternehmen einzustufen ist.“

Unfaire Vertragsklauseln

Die Vertragsklauseln sollten fair, angemessen und nicht diskriminierend sein, andernfalls wären sie ungültig. Eine missbräuchliche Vertragsklausel „weicht grob von der guten Geschäftspraxis beim Datenzugang und bei der Datennutzung ab und verstößt gegen Treu und Glauben und gegen den fairen Handel“.

Der Gesetzentwurf kehrt die Beweislast um: „Wenn das andere Unternehmen die Bedingungen für diskriminierend hält, obliegt es dem Dateninhaber zu beweisen, dass keine solche Diskriminierung vorliegt.“

Bei Meinungsverschiedenheiten können die beiden Parteien die von den Mitgliedstaaten zugelassenen Streitbeilegungsstellen zu Rate ziehen. Dabei werden jedoch nur solche Streitigkeiten berücksichtigt, mit denen sich nicht bereits eine andere Stelle oder ein Gericht befasst hat. Die Parteien können immer noch einen Rechtsbehelf vor einem nationalen Gericht beantragen.

Die Entschädigungen für die Bereitstellung von Daten sollten angemessen und nicht diskriminierend sein. Für KMU sollte die Entschädigung nicht höher sein als die tatsächlichen Kosten der Anfrage.

Zugang für den öffentlichen Sektor

Öffentliche Behörden können unter außergewöhnlichen Umständen auf Daten zugreifen, insbesondere um auf einen Notfall zu reagieren oder um gesetzliche Verpflichtungen zu erfüllen.

Zu den Notfällen gehören Naturkatastrophen, Notfälle im Bereich der öffentlichen Gesundheit und Terroranschläge, während die Strafverfolgung ausgeschlossen ist. In Notfällen sollten die Daten unentgeltlich zur Verfügung gestellt werden, während der Dateninhaber in anderen Fällen eine Entschädigung in Höhe der tatsächlichen Kosten verlangen kann.

Die Anträge auf gemeinsame Datennutzung sollten verhältnismäßig sein und nicht zum Nachteil des Dateninhabers erfolgen. Die Behörden werden die erhaltenen Daten nicht wiederverwenden, können sie aber für wissenschaftliche Forschungszwecke zur Verfügung stellen.

Gegebenenfalls sollte der Dateninhaber „angemessene Anstrengungen zur Pseudonymisierung der Daten unternehmen“.

Online Werbung: Erfassung von Nutzerpräferenzen verstößt gegen DSGVO

Die belgische Datenschutzbehörde stellte fest, dass der Branchenstandard für die Verwaltung von Nutzerpräferenzen in Europa gegen mehrere Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verstößt.

Cloud-Switching und Interoperabilität

Der Vorschlag stellt fest, dass SWIPO, eine unverbindliche Initiative zur Erleichterung des Cloud-Switchings, „die Marktdynamik nicht wesentlich beeinflusst zu haben scheint“.

Daher sieht der Vorschlag vor, dass Verträge Klauseln zur Unterstützung des Switchings, Interoperabilitätsanforderungen und eine Übergangsfrist enthalten müssen, die es den Anbietern von Datenverarbeitungsdiensten letztlich verbieten, Gebühren für den Switching zu verlangen.

Wenn jemand beschließt, einen Betriebsdienst, eine Software oder eine Anwendung von einem Cloud-Dienst zu einem anderen zu verlagern, sollte er die sogenannte „funktionale Äquivalenz“ genießen. Die Anbieter müssen die Kompatibilität mit offenen Standards oder Interoperabilitäts-Schnittstellen für alle anderen Dienste gewährleisten.

Die Kommission wird eine oder mehrere europäische Normungsorganisationen auffordern, harmonisierte Normen für die Interoperabilität von Cloud-Diensten auszuarbeiten. Falls dies nicht ausreicht, könnte die EU-Exekutive einen Durchführungsrechtsakt erlassen, der gemeinsame Spezifikationen, offene Standards oder offene Schnittstellen vorschreibt.

Datenübertragungen

Cloud-Diensteanbieter sollten alle angemessenen Maßnahmen ergreifen, um den staatlichen Zugriff auf oder die Übermittlung von nicht-personenbezogenen Daten zu verhindern, die mit europäischem oder nationalem Recht unvereinbar wären.

Gerichtliche Anordnungen aus Drittländern wären nur dann anzuerkennen, wenn sie auf einem internationalen Abkommen beruhen. Wenn das anfordernde Land bestimmte Bedingungen erfüllt, kann die zulässige Mindestmenge an Daten weitergegeben werden.

Durchsetzung

Die Durchsetzung liegt in den Händen der von den Mitgliedstaaten geschaffenen zuständigen Behörden, wobei die Sanktionen ebenfalls auf nationaler Ebene festgelegt werden.

[Bearbeitet von Nathalie Weatherald]

Subscribe to our newsletters

Subscribe