Das EU-Daten­ge­setz: «DSGVO light» für Sachdaten

Mit ihrem Ver­ord­nungs­ent­wurf für ein Daten­ge­setz (E‑DG) hat die EU-Kom­mis­si­on den letz­ten Bau­stein ihrer euro­päi­schen Daten­stra­te­gie vor­ge­legt. Das E‑DG soll regeln, wer im EWR erzeug­te Daten (ein­schliess­lich Sach­da­ten) nut­zen darf und Zugriff dar­auf hat. Die EU-Kom­mis­si­on erhofft sich davon einen wett­be­werbs­fä­hi­ge­ren, fai­re­ren und inno­va­ti­ve­ren Datenmarkt.

Extra­ter­ri­to­ria­ler Anwen­dungs­be­reich des E‑DG

Wie die Daten­schutz­grund­ver­ord­nung (DSGVO) hat das E‑DG extra­ter­ri­to­ria­le Wir­kung. Anders als die DSGVO fin­det das E‑DG jedoch auch auf Sach­da­ten Anwen­dung. Die in ihm ent­hal­te­nen Pflich­ten sind ins­be­son­de­re rele­vant für schwei­ze­ri­sche Her­stel­ler, die ver­netz­te Pro­duk­te («Inter­net of Things») auf dem EWR-Markt anbie­ten. Als Bei­spie­le nennt das E‑DSG ver­netz­te Fahr­zeu­ge, Kon­sum­gü­ter oder Indu­strie­ma­schi­nen. Pro­duk­te, die pri­mär die Dar­stel­lung oder Über­tra­gung von Inhal­ten bezwecken (z.B. Tablets oder Kame­ras), sind hin­ge­gen nicht vom Anwen­dungs­be­reich erfasst. Eben­falls rele­vant ist das E‑DG für schwei­ze­ri­sche Anbie­ter mit Kun­den im EWR von (i) Cloud-Ser­vices oder (ii) digi­ta­len Ser­vices (ein­schliess­lich Soft­ware), die für die Nut­zung ver­netz­ter Pro­duk­te erfor­der­lich sind.

Das E‑DG regelt den Umgang mit Daten, die bei der Nut­zung der zuvor erwähn­ten Pro­duk­te bzw. Ser­vices ent­ste­hen (z.B. durch Nut­zer­hand­lun­gen gene­rier­te Daten, Dia­gno­se­da­ten), unab­hän­gig davon ob der Nut­zer eine natür­li­che oder juri­sti­sche Per­son ist. Aus­ge­nom­men vom Anwen­dungs­be­reich sind jedoch Daten, die der Her­stel­ler oder Anbie­ter in Eigen­lei­stung selbst errech­net, erstellt oder auf ande­re Wei­se aus Nut­zer­hand­lun­gen oder ‑ereig­nis­sen ablei­tet (Erw­gr. 14).

Zugangs­recht zu Daten ver­netz­ter Geräte

Das E‑DSG beinhal­tet unter anderem

  • den Grund­satz des «Sach­da­ten­zu­gangs by Design». Her­stel­ler ver­netz­ter Gerä­te bzw. Anbie­ter von mit die­sen Gerä­ten inte­gral ver­bun­de­nen Ser­vices müs­sen die­se so kon­zi­pie­ren, dass Nut­zer zu anfal­len­den Nut­zungs­da­ten Zugang haben (Art. 3 Abs. 1 E‑DG). Um die­ses Ziel zu errei­chen, führt das E‑DSG vor­ver­trag­li­che Infor­ma­ti­ons­pflich­ten ein (Art. 3 Abs. 2 E‑DG). Zu infor­mie­ren ist vor­gän­gig unter ande­rem über den Zweck und die Wei­ter­ga­be von Daten, die bei Nut­zung des Geräts erzeugt wer­den. Nicht erfasst von die­sen Pflich­ten sind jedoch klei­ne und mitt­le­re Unter­neh­men (KMU, Art. 7 E‑DG); und
  • das Recht des Nut­zers auf Daten­por­ta­bi­li­tät (Art. 4 E‑DG) der im Rah­men der Nut­zung erzeug­ten Daten, unter Umstän­den sogar fort­wäh­rend und in Echt­zeit («real-time»). Wie unter der DSGVO kann der Nut­zer auch ver­lan­gen, die Daten direkt einem Drit­ten zur Ver­fü­gung zu stel­len (Art. 5 Abs. 1 E‑DG). «Gate­kee­per» im Sin­ne des Digi­tal Mar­kets Act kom­men als sol­che Drit­te nicht in Betracht. Die EU-Kom­mis­si­on will mit dem Recht auf Daten­por­ta­bi­li­tät unter ande­rem errei­chen, dass Nut­zer ihre ver­netz­ten Gerä­te kosten­gün­sti­ger durch Drit­te repa­rie­ren und war­ten las­sen kön­nen (Erw­gr. 19).

KMU pro­fi­tie­ren auch hier von einer Aus­nah­me (Art. 7 E‑DG). «Grö­sse­re» Unter­neh­men, die sich einem Anspruch auf Daten­por­ta­bi­li­tät aus­ge­setzt sehen, kön­nen die Por­tie­rung auf Grund­la­ge von Geschäfts­ge­heim­nis­sen oder (eige­nen oder drit­ten) Rech­te des gei­sti­gen Eigen­tums ggf. ein­schrän­ken oder ver­wei­gern. Zu beach­ten ist aber, dass das E‑DG die EU-Daten­bank­richt­li­nie so revi­diert, dass Daten­ban­ken, die Daten von Gerä­ten und Objek­ten des Inter­net der Din­ge ent­hal­ten, nicht (mehr) urhe­ber­rechts­ähn­li­chen Schutz geniessen.

Ver­bot miss­bräuch­li­cher Ver­trags­klau­seln gegen­über KMU

Wei­ter hat sich die EU-Kom­mis­si­on zum Ziel gesetzt, für KMU eine aus­ge­wo­ge­ne Ver­hand­lungs­macht her­zu­stel­len – dies durch Ein­füh­rung einer Klau­sel­kon­trol­le im B2B-Bereich zugun­sten von KMU. Dies erweist sich als pau­scha­ler Ein­griff in die Ver­trags­frei­heit – zumal KMU bei Ver­hand­lun­gen mit gro­ssen Play­ern oft, aber eben nicht immer in der schwä­che­ren Ver­hand­lungs­po­si­ti­on sind.

Klau­seln, wel­che etwa die Haf­tung des AGB-Ver­wen­ders für Vor­satz oder gro­be Fahr­läs­sig­keit aus­schlie­ssen oder beschrän­ken, hält die EU-Kom­mis­si­on für schlecht­hin unzu­läs­sig. Dies wird auf dem Schwei­zer Markt (vgl. Art. 100 Abs. 1 OR) wie auch in ande­ren euro­päi­schen Rechts­ord­nun­gen (vgl. § 309 Nr. 7 BGB) kaum für Auf­re­gung sorgen.

Der Kata­log ver­mu­te­ter unzu­läs­si­ger Klau­seln ist jedoch teil­wei­se viel zu gene­risch, als dass er in der Rechts­an­wen­dung hand­hab­bar wäre («signi­fi­cant­ly detri­men­tal to the legi­ti­ma­te inte­rests of the other con­trac­ting par­ty»). Hier ist zu hof­fen, dass die Muster­ver­trags­be­din­gun­gen für Klar­heit sor­gen, wel­che die EU-Kom­mis­si­on erar­bei­ten will, um KMU dabei zu hel­fen, «fai­re Ver­trä­ge über die gemein­sa­me Daten­nut­zung abzu­fas­sen und auszuhandeln».

Zugangs­rech­te von Behör­den zu Daten im Besitz von Privaten

Dar­über hin­aus ent­hält das E‑DG Mit­tel für Behör­den für den Zugang und die Nut­zung von Daten im Besitz des Pri­vat­sek­tors, die unter beson­de­ren Umstän­den (z.B. Über­schwem­mun­gen, Wald­brän­de) benö­tigt wer­den, sofern Daten nicht ander­wei­tig ver­füg­bar sind (Art. 14 E‑DG).

Wech­sel des Cloud-Providers

Das E‑DG führt zudem neue Vor­schrif­ten ein, um EWR-Kun­den den effek­ti­ven Wech­sel zwi­schen Anbie­tern von Cloud-Ser­vices zu ermög­li­chen und führt «Schutz­mass­nah­men gegen unrecht­mä­ssi­ge Daten­über­mitt­lun­gen» ein. Ins­be­son­de­re müs­sen Cloud-Pro­vi­der zukünftig

  • wirt­schaft­li­che, tech­ni­sche, ver­trag­li­che und orga­ni­sa­to­ri­sche Hür­den abbau­en, die einen Wech­sel erschwe­ren. Zum Bei­spiel soll es Kun­den mög­lich sein nach drei­ssig­tä­gi­ger Frist zu kün­di­gen (Art. 23 Abs. 1 lit. a E‑DG);
  • eine ver­trag­li­che Bestim­mung vor­se­hen, die dem Kun­den den Anbie­ter­wech­sel aus­drück­lich erlaubt und die damit ein­her­ge­hen­den Pflich­ten des Cloud-Pro­vi­ders (z.B. Über­tra­gung der vor­han­de­nen Daten, Anwen­dun­gen und digi­ta­len Assets) spezifiziert;
  • unter bestimm­ten Umstän­den von der EU-Kom­mis­si­on fest­ge­leg­te tech­ni­sche Inter­ope­ra­bi­li­täts-Stan­dards ein­hal­ten; und
  • geeig­ne­te Mass­nah­men tref­fen, um die grenz­über­schrei­ten­de Offen­le­gung von Daten, ins­be­son­de­re an aus­län­di­sche Behör­den, zu ver­hin­dern, wo eine sol­che Offen­le­gung im Wider­spruch zum Uni­ons­recht bzw. dem Recht eines Mit­glieds­staats stünde.

Fazit

Die im E‑DSG ent­hal­te­nen Rege­lun­gen sind im Gro­ssen und Gan­zen weder not­wen­dig noch ziel­füh­rend. Vie­le Bestim­mun­gen, wie etwa zu «Sach­da­ten­zu­gang by Design», Infor­ma­ti­ons­pflich­ten, Daten­por­ta­bi­li­tät oder «Legal Access Requests» sind stark an die DSGVO ange­lehnt. Da im Gegen­satz zu per­so­nen­be­zo­ge­nen Daten bei Sach­da­ten aber der (ohne­hin wenig kla­re) Schutz­zweck der «infor­ma­tio­nel­len Selbst­be­stim­mung» fehlt, kann man sich zu Recht fra­gen, wel­che Über­le­gun­gen die wei­ten und sek­tor­über­grei­fen­den Pflich­ten recht­fer­ti­gen. Das Anlie­gen, einen tech­nisch beding­ten Lock-In-Effekt zu bre­chen, ist nicht neu, eine Daten­por­ta­bi­li­tät zu sei­ner Durch­set­zung aber kaum geeig­net. Schon unter der DSGVO fri­stet der Anspruch ein Schat­ten­da­sein. Kri­tisch zu bewer­ten sind ausser­dem die Ein­grif­fe in die Vertragsfreiheit.

In allen vor­ge­nann­ten Punk­ten dürf­te der Ver­ord­nungs­ent­wurf ohne­hin noch Ände­run­gen erfah­ren. Glei­ches gilt für die Ein­füh­rung tech­ni­scher Inter­ope­ra­bi­li­täts­stan­dards, über die vie­le Bran­chen­ver­bän­de bereits ihren Unmut geäu­ssert haben.

Behörde

Gebiet

Themen

Ähnliche Beiträge