Mit ihrem Verordnungsentwurf für ein Datengesetz (E‑DG) hat die EU-Kommission den letzten Baustein ihrer europäischen Datenstrategie vorgelegt. Das E‑DG soll regeln, wer im EWR erzeugte Daten (einschliesslich Sachdaten) nutzen darf und Zugriff darauf hat. Die EU-Kommission erhofft sich davon einen wettbewerbsfähigeren, faireren und innovativeren Datenmarkt.
Extraterritorialer Anwendungsbereich des E‑DG
Wie die Datenschutzgrundverordnung (DSGVO) hat das E‑DG extraterritoriale Wirkung. Anders als die DSGVO findet das E‑DG jedoch auch auf Sachdaten Anwendung. Die in ihm enthaltenen Pflichten sind insbesondere relevant für schweizerische Hersteller, die vernetzte Produkte («Internet of Things») auf dem EWR-Markt anbieten. Als Beispiele nennt das E‑DSG vernetzte Fahrzeuge, Konsumgüter oder Industriemaschinen. Produkte, die primär die Darstellung oder Übertragung von Inhalten bezwecken (z.B. Tablets oder Kameras), sind hingegen nicht vom Anwendungsbereich erfasst. Ebenfalls relevant ist das E‑DG für schweizerische Anbieter mit Kunden im EWR von (i) Cloud-Services oder (ii) digitalen Services (einschliesslich Software), die für die Nutzung vernetzter Produkte erforderlich sind.
Das E‑DG regelt den Umgang mit Daten, die bei der Nutzung der zuvor erwähnten Produkte bzw. Services entstehen (z.B. durch Nutzerhandlungen generierte Daten, Diagnosedaten), unabhängig davon ob der Nutzer eine natürliche oder juristische Person ist. Ausgenommen vom Anwendungsbereich sind jedoch Daten, die der Hersteller oder Anbieter in Eigenleistung selbst errechnet, erstellt oder auf andere Weise aus Nutzerhandlungen oder ‑ereignissen ableitet (Erwgr. 14).
Zugangsrecht zu Daten vernetzter Geräte
Das E‑DSG beinhaltet unter anderem
- den Grundsatz des «Sachdatenzugangs by Design». Hersteller vernetzter Geräte bzw. Anbieter von mit diesen Geräten integral verbundenen Services müssen diese so konzipieren, dass Nutzer zu anfallenden Nutzungsdaten Zugang haben (Art. 3 Abs. 1 E‑DG). Um dieses Ziel zu erreichen, führt das E‑DSG vorvertragliche Informationspflichten ein (Art. 3 Abs. 2 E‑DG). Zu informieren ist vorgängig unter anderem über den Zweck und die Weitergabe von Daten, die bei Nutzung des Geräts erzeugt werden. Nicht erfasst von diesen Pflichten sind jedoch kleine und mittlere Unternehmen (KMU, Art. 7 E‑DG); und
- das Recht des Nutzers auf Datenportabilität (Art. 4 E‑DG) der im Rahmen der Nutzung erzeugten Daten, unter Umständen sogar fortwährend und in Echtzeit («real-time»). Wie unter der DSGVO kann der Nutzer auch verlangen, die Daten direkt einem Dritten zur Verfügung zu stellen (Art. 5 Abs. 1 E‑DG). «Gatekeeper» im Sinne des Digital Markets Act kommen als solche Dritte nicht in Betracht. Die EU-Kommission will mit dem Recht auf Datenportabilität unter anderem erreichen, dass Nutzer ihre vernetzten Geräte kostengünstiger durch Dritte reparieren und warten lassen können (Erwgr. 19).
KMU profitieren auch hier von einer Ausnahme (Art. 7 E‑DG). «Grössere» Unternehmen, die sich einem Anspruch auf Datenportabilität ausgesetzt sehen, können die Portierung auf Grundlage von Geschäftsgeheimnissen oder (eigenen oder dritten) Rechte des geistigen Eigentums ggf. einschränken oder verweigern. Zu beachten ist aber, dass das E‑DG die EU-Datenbankrichtlinie so revidiert, dass Datenbanken, die Daten von Geräten und Objekten des Internet der Dinge enthalten, nicht (mehr) urheberrechtsähnlichen Schutz geniessen.
Verbot missbräuchlicher Vertragsklauseln gegenüber KMU
Weiter hat sich die EU-Kommission zum Ziel gesetzt, für KMU eine ausgewogene Verhandlungsmacht herzustellen – dies durch Einführung einer Klauselkontrolle im B2B-Bereich zugunsten von KMU. Dies erweist sich als pauschaler Eingriff in die Vertragsfreiheit – zumal KMU bei Verhandlungen mit grossen Playern oft, aber eben nicht immer in der schwächeren Verhandlungsposition sind.
Klauseln, welche etwa die Haftung des AGB-Verwenders für Vorsatz oder grobe Fahrlässigkeit ausschliessen oder beschränken, hält die EU-Kommission für schlechthin unzulässig. Dies wird auf dem Schweizer Markt (vgl. Art. 100 Abs. 1 OR) wie auch in anderen europäischen Rechtsordnungen (vgl. § 309 Nr. 7 BGB) kaum für Aufregung sorgen.
Der Katalog vermuteter unzulässiger Klauseln ist jedoch teilweise viel zu generisch, als dass er in der Rechtsanwendung handhabbar wäre («significantly detrimental to the legitimate interests of the other contracting party»). Hier ist zu hoffen, dass die Mustervertragsbedingungen für Klarheit sorgen, welche die EU-Kommission erarbeiten will, um KMU dabei zu helfen, «faire Verträge über die gemeinsame Datennutzung abzufassen und auszuhandeln».
Zugangsrechte von Behörden zu Daten im Besitz von Privaten
Darüber hinaus enthält das E‑DG Mittel für Behörden für den Zugang und die Nutzung von Daten im Besitz des Privatsektors, die unter besonderen Umständen (z.B. Überschwemmungen, Waldbrände) benötigt werden, sofern Daten nicht anderweitig verfügbar sind (Art. 14 E‑DG).
Wechsel des Cloud-Providers
Das E‑DG führt zudem neue Vorschriften ein, um EWR-Kunden den effektiven Wechsel zwischen Anbietern von Cloud-Services zu ermöglichen und führt «Schutzmassnahmen gegen unrechtmässige Datenübermittlungen» ein. Insbesondere müssen Cloud-Provider zukünftig
- wirtschaftliche, technische, vertragliche und organisatorische Hürden abbauen, die einen Wechsel erschweren. Zum Beispiel soll es Kunden möglich sein nach dreissigtägiger Frist zu kündigen (Art. 23 Abs. 1 lit. a E‑DG);
- eine vertragliche Bestimmung vorsehen, die dem Kunden den Anbieterwechsel ausdrücklich erlaubt und die damit einhergehenden Pflichten des Cloud-Providers (z.B. Übertragung der vorhandenen Daten, Anwendungen und digitalen Assets) spezifiziert;
- unter bestimmten Umständen von der EU-Kommission festgelegte technische Interoperabilitäts-Standards einhalten; und
- geeignete Massnahmen treffen, um die grenzüberschreitende Offenlegung von Daten, insbesondere an ausländische Behörden, zu verhindern, wo eine solche Offenlegung im Widerspruch zum Unionsrecht bzw. dem Recht eines Mitgliedsstaats stünde.
Fazit
Die im E‑DSG enthaltenen Regelungen sind im Grossen und Ganzen weder notwendig noch zielführend. Viele Bestimmungen, wie etwa zu «Sachdatenzugang by Design», Informationspflichten, Datenportabilität oder «Legal Access Requests» sind stark an die DSGVO angelehnt. Da im Gegensatz zu personenbezogenen Daten bei Sachdaten aber der (ohnehin wenig klare) Schutzzweck der «informationellen Selbstbestimmung» fehlt, kann man sich zu Recht fragen, welche Überlegungen die weiten und sektorübergreifenden Pflichten rechtfertigen. Das Anliegen, einen technisch bedingten Lock-In-Effekt zu brechen, ist nicht neu, eine Datenportabilität zu seiner Durchsetzung aber kaum geeignet. Schon unter der DSGVO fristet der Anspruch ein Schattendasein. Kritisch zu bewerten sind ausserdem die Eingriffe in die Vertragsfreiheit.
In allen vorgenannten Punkten dürfte der Verordnungsentwurf ohnehin noch Änderungen erfahren. Gleiches gilt für die Einführung technischer Interoperabilitätsstandards, über die viele Branchenverbände bereits ihren Unmut geäussert haben.