Wie soll das EU-Datengesetz in Mitgliedsstaaten angewendet werden?

Darüber hinaus soll das neue Datengesetz "sicherstellen, dass Unternehmen und Einzelpersonen von internationalen Datenströmen profitieren können und gleichzeitig die Einhaltung der Datenschutz- und Sicherheitsvorschriften der Union gewährleistet ist." [EQRoy/Shutterstock]

In den vergangenen Wochen hat die Europäische Kommission eine ganze Reihe von Präsentationen – die EURACTIV vorliegen – an EU-Länder gegeben, die um mehr Klarheit gebeten haben, wie das neue Datengesetz angewendet werden soll und wie es mit der übrigen Gesetzgebung zusammenwirken wird.

Das Datengesetz (Data Act) ist ein Gesetzesvorschlag, der die Datenstrategie der Kommission ergänzen soll. Das Dossier wurde im Februar offiziell veröffentlicht. Seitdem haben die Mitgliedstaaten im EU-Rat versucht, sich ein besseres Bild von dem Vorschlag zu machen und herauszufinden, wie er sich in einen immer komplexeren Rechtsrahmen einfügt.

Bis zum 25. Mai werden voraussichtlich drei weitere Workshops mit nationalen Expert:innen stattfinden.

Mit dem neuen Data Act sollen die Bedingungen für den Zugriff auf Daten geregelt werden, die von Geräten des Internets der Dinge (IoT) generiert werden. Die Hersteller werden verpflichtet, Zugang zu gewähren, und für Nutzer:innen der Geräte wird das Recht auf Zugriff und Übertragung ihrer Daten eingeführt.

Nutzer:innen werden auch die Möglichkeit haben, Dritten den Zugang zu diesen Daten zu gewähren, um ihre Angebote zu entwickeln, wobei für kleine und mittlere Unternehmen (KMU) besondere Bedingungen gelten, da sie keine Entschädigung zahlen müssen, die höher ist als die direkten Kosten für den Datenzugang.

Das Ziel der Datenzugangsverpflichtungen ist es, „kohärente, auf Fairness basierende, sektorübergreifende Praktiken für die gemeinsame Nutzung von Daten zu etablieren, von denen wir erwarten, dass sie zu einer wachsenden Zahl von EU-Verpflichtungen für den Zugang zu Daten werden“, heißt es in einer der Präsentationen.

Tech-Industrie bereitet sich auf Kampf gegen den Kommissionsvorschlag zum EU Data Act vor

Große Industrieakteure, von Tech-Unternehmen bis hin zu Automobilherstellern, bereiten sich darauf vor, gegen den Vorschlag der Kommission für ein neues Datengesetz vorzugehen. Dies geht aus einem Briefentwurf hervor, der EURACTIV vorliegt.

Die Kommission betonte, dass die „Regeln für IoT-Daten auch die gemeinsame Nutzung von Daten in anderen Sektoren betreffen.“ Insbesondere geht der Vorschlag gegen unfaire Verträge vor, indem er die einseitige Auferlegung unlauterer Vertragsklauseln über die Freigabe von Daten an KMU verbietet.

Darüber hinaus müssen private Unternehmen öffentlichen Stellen in Notfällen Zugang zu Daten gewähren, während Anbieter von Cloud-Diensten ihren Kund:innen einen einfachen Umstieg ermöglichen müssen.

Rechtsrahmen

Für die EU-Exekutive geht das Datengesetz gegen die mangelnde Verfügbarkeit von Daten und unlautere Geschäftspraktiken vor, indem es eine Reihe von Verpflichtungen und gemeinsamen Standards für die Wiederverwendung von Daten sowohl innerhalb als auch zwischen verschiedenen Branchen einführt.

Dabei wird es mit anderen Gesetzgebungen interagieren, die diese grundlegenden Probleme nicht vollständig angegangen sind. Mit der Datenschutz-Grundverordnung (GDPR), dem EU-Datenschutzgesetz, wurde das Recht auf Datenübertragbarkeit eingeführt, „aber sein Anwendungsbereich ist unklar, es wird selten genutzt und umfasst keine nicht-personenbezogenen Daten.“

Auch das kürzlich verabschiedete Gesetz über digitale Märkte (DMA) befasst sich mit dem Problem der Anbieterbindung, allerdings nur für die größeren Cloud-Anbieter und räumt den Nutzern:innen keine Möglichkeit ein, auf ihre Daten zuzugreifen. In der Zwischenzeit ist das Wettbewerbsrecht unzureichend, um Machtungleichgewichte in privaten Verträgen anzugehen.

Gleichzeitig bemühte sich die Kommission um eine Klärung des Verhältnisses zwischen dem Datengesetz und der Datenbankrichtlinie, die den Umgang mit Datenbanken schützt. Die allgemeine Regel lautet, dass Originaldatensätze unter das Urheberrecht fallen und diejenigen, die nicht in diese Kategorie fallen, aber erhebliche Investitionen erfordern, einen Schutz sui generis genießen.

Die EU-Exekutive wollte verhindern, dass sich IoT-Hersteller opportunistisch des sui generis-Schutzes bedienen, um das Datengesetz einzuhalten. Daher hat sie ausdrücklich darauf hingewiesen, dass Datenbanken, die IoT-Daten enthalten, nicht in den Anwendungsbereich dieses Schutzes fallen.

Die europäische Datenstrategie umfasst eine Reihe von europäischen Datenräumen („Dataspaces“) und sektoralen Rechtsvorschriften für die Zusammenführung von Daten in strategischen Sektoren wie Gesundheit, Energie und industrielle Produktion. Das Datengesetz unterstützt diese Initiativen, indem es den Datenfluss durch Mechanismen zur gemeinsamen Datennutzung und Interoperabilität erleichtert.

LEAK: Die Pläne der EU-Kommission für einen Gesundheitsdatenraum

Einem von EURACTIV eingesehenen Entwurf zufolge will die Europäische Kommission einen neuen Governance-Rahmen für Gesundheitsdaten mit Anforderungen zur grenzüberschreitenden Interoperabilität vorschlagen.

Internationale Datenübermittlung

Darüber hinaus soll das neue Datengesetz „sicherstellen, dass Unternehmen und Einzelpersonen von internationalen Datenströmen profitieren können und gleichzeitig die Einhaltung der Datenschutz- und Sicherheitsvorschriften der Union gewährleistet ist.“

Eine ganze Präsentation war dem Kapitel über internationale Datenübertragung gewidmet, das Datenverarbeitungsdienste erfordert, unrechtmäßige Datenzugriffe und -übertragungen auf der Grundlage von Anfragen von Behörden aus Drittländern zu verhindern.

Grundlage für die Ausarbeitung dieser Bestimmungen war die Maßnahme zum internationalen Zugang und Transfer im Daten-Governance-Gesetz (Data Governance Act). Diese besagt, dass jede Entscheidung eines Gerichts oder einer Verwaltungsbehörde eines Drittlandes über den Zugang zu nicht-personenbezogenen Daten nur dann durchsetzbar ist, wenn sie auf einem internationalen Abkommen beruht.

Liegt kein internationales Abkommen vor, müssen die Anbieter prüfen, ob ein Ersuchen mit europäischem oder nationalem Recht im Widerspruch steht und ob die betreffende Rechtsordnung angemessene Verfahrensgarantien und Rechtsbehelfe bieten kann.

Die datenverarbeitenden Dienste können die zuständigen Behörden um eine Stellungnahme bitten, wenn sie beispielsweise der Meinung sind, dass die Daten kommerziell sensibel oder für die nationale Sicherheit und die Verteidigungsinteressen relevant sind.

Das European Data Innovation Board, ein im Rahmen der DGA eingerichtetes Gremium, wird Leitlinien zur Anwendung dieser Bestimmungen bereitstellen. Die internationale Übermittlung personenbezogener Daten wird durch die Angemessenheitsregelung der Datenschutz-Grundverordnung geregelt.

Daten-Governance: neues EU-Gesetz zur gemeinsamen Nutzung von Daten verabschiedet

Die EU-Mitgesetzgeber haben einen Mittelweg zum Daten-Governance Gesetz (DGA) gefunden, indem sie neue Regeln für die gemeinsame Nutzung von Daten angenommen haben, was den ersten Schritt der europäischen Datenstrategie darstellt.

[Bearbeitet von Nathalie Weatherald]

Subscribe to our newsletters

Subscribe