Ein neues Datenrecht für die EU: Digitaler Wandel zum Wohle aller?
Damit die Regelungen nicht zum Bumerang werden, sollten sie jedenfalls auf ein leicht anwendbares Mindestmaß beschränkt bleiben.
Nach den Worten der Europäischen Kommission soll die EU zukünftig die Führungsrolle in der datengestützten Gesellschaft übernehmen. Nicht weniger als “digitaler Wandel zum Wohle aller” gibt die Kommission als Losung aus. Gelingen soll dies durch die Europäische Datenstrategie – ein gesetzgeberisches Großprojekt aus Brüssel, welches einen Binnenmarkt zum Teilen und Nutzen von Daten zwischen Unternehmen, Forschern und öffentlicher Verwaltung schaffen soll. Gleich eine ganze Reihe von Rechtsakten lässt sich der Datenstrategie zuordnen: Der Digital Markets Act legt neue Spielregeln für Big Tech wie Amazon, Google und Meta in der EU fest. Für solche Gatekeeper schafft die EU zukünftig nicht nur eine Art eigenes Wettbewerbsrecht und verbietet viele bislang typische Marktstrategien (bspw. eine bevorzugte Platzierung der eigenen Produkte), sondern auch Fragmente eines Datenrechts. So regelt der Digital Markets Act auch Rechte auf Datenportabilität und gibt anderen Unternehmen in gewissem Umfang die Möglichkeit, Zugang zu Nutzungs- und Transaktionsdaten der Big Tech-Unternehmen zu erlangen. Der oftmals in einem Atemzug genannte Digital Service Act soll laut Ursula von der Leyen dafür sorgen, dass das “Online-Umfeld ein sicherer Raum bleibt, der die freie Meinungsäußerung schützt” und enthält Teile eines Datenrechts für Online-Plattformen. Komplementiert wird das neue europäische Datenrecht durch den Data Governance Act und den jüngst von der Kommission im Februar 2022 vorgeschlagenen Data Act. Während der Data Governance Act die Weiterverwendung von Daten der öffentlichen Hand erleichtern soll (und vielleicht deshalb bislang wenig Aufmerksamkeit erfahren hat?), werden mit dem Data Act sektorübergreifende Regelungen für den Zugang und die Verwendung von Daten geschaffen. Der Data Act soll den Datenaustausch zwischen Unternehmen (B2B) und Unternehmen und Verbrauchen (B2C) sowie Unternehmen und Behörden (B2G) fördern. Die Zielrichtung des neuen Datenrechts scheint jedenfalls klar: Gesetzliche, wirtschaftliche und technische Hemmnisse für den Datentausch und die Datenverwertung sollen abgebaut werden, damit die freie und faire (!) Datenindustrie bessere Produkte zum Wohle aller anbieten kann. Zugleich sollen die Verbraucherrechte gestärkt werden. Die Kommission erhofft sich vom Maßnahmenbündel bis 2028 sogar einen BIP-Zuwachs i. H. v. 270 Mrd. Euro in den Mitgliedstaaten. Angesichts dieser Zielrichtung überrascht es vielleicht nicht, dass der Entwurf des Data Acts von der Industrie bislang zwar nicht enthusiastisch gefeiert, aber doch verhalten positiv aufgenommen wird. Die Idee freier Märke für Daten und die Maxime des sharing is caring scheinen auf den ersten Blick anschlussfähige Konzepte zu sein, die leicht ihre Befürworter finden. Der Teufel steckt aber bekanntlich im Detail. Beinahe apodiktisch erklärt der Data Act, der Schutz personenbezogener Daten nach der DSGVO bleibe unberührt. Das sind hehre Worte und schöne Ziele – doch wie soll die Industrie die Einhaltung der DSGVO und des Data Acts bewerkstelligen? Eine trennscharfe Abgrenzung zwischen personenbezogenen Daten und nicht personenbezogenen Daten ist noch keinem gelungen. Zu weich und unscharf sind die begrifflichen Konturen dessen, was personenbezogene Daten sind (was im Übrigen beabsichtigt ist, damit ein hoher Datenschutzstandard gewährleistet wird). Hier liegt nun aber das Problem, da die Regelungen doch gegenteiliges bezwecken: Das klassische Schutzziel des Datenschutzrechts (Vertraulichkeit!) scheint gar inkompatibel mit der Maxime des sharing is caring des neuen EU-Datenrechts. Wenn der Gesetzgeber beide Regelungen für nebeneinander anwendbar erklärt, schafft er damit nicht nur Denksportaufgaben für Juristen, sondern auch handfeste Bußgeldfallen für Unternehmen. Schließlich soll ein Verstoß gegen den Data Act ebenso geahndet werden, wie ein Verstoß gegen die DSGVO. Es kann daher schnell unangenehm werden.
Mit dem Datenschutzrecht hat der Gesetzgeber auf “Datenexklusion” gerichtete Triebkräfte entfaltet. Es ist eben leichter, ein Datensilo zu betreiben, als Daten rechtskonform zu kaufen, zu tauschen oder zu teilen. In Pandemiezeiten scheint sich nun die Erkenntnis durchzusetzen (und in der neuen Gesetzgebung zu materialisieren), dass ein zu restriktiver Datenschutz im Zweifel nicht nur (die Privatsphäre schützende) Datensilos zur Folge hat, sondern auch lebenswichtige Forschung und Entwicklung hemmen kann. Das ist im Grundsatz begrüßenswert, wenngleich die Umsetzung nicht leicht werden wird.
Wenig Freude dürften auch die neuen Informationspflichten des Data Acts bringen. Kommt der Data Act, muss datenverarbeitenden Produkten künftig ein “Beipackzettel” beigelegt werden: Der Unternehmer hat den Nutzer dann vor Vertragsschluss über die Datenverarbeitung und seine Rechte aufzuklären. All dies erinnert doch sehr an die datenschutzrechtlichen Informationspflichten. In der Theorie sind diese Pflichten zwar leicht verständlich und sinnvoll. In der Praxis bereiten sie aber häufig Kopfzerbrechen und sind in der Wirkung fraglich. Hilft es dem Nutzer wirklich, wenn er zusätzlich zu den schon heute überlangen Datenschutzinformationen zukünftig auch noch über seine Datenrechte für nicht personenbezogene Daten aufgeklärt wird? Damit die Regelungen nicht zum Bumerang werden, sollten sie jedenfalls auf ein leicht anwendbares Mindestmaß beschränkt bleiben.
Philippe
Heinzke
, LL.M., RA, ist Partner bei CMS Hasche Sigle am Standort in Düsseldorf. Er berät technologiegetriebene Unternehmen an der Schnittstelle zwischen Technik und Recht, insbesondere bei der rechtskonformen Implementierung von digitalen Geschäftsmodellen.
Heinzke, BB 2022, Heft 18, Umschlagteil, I