EU-Digitalgesetzgebung

DA-Update - Episode 4: Anforderungen im Rahmen der Datenweitergabe

Nach dem Entwurf des Data Act (DA-E) muss der Dateninhaber auf Verlangen des Nutzers Daten auch an Dritte bereitstellen. Im Rahmen des Rechts des Nutzers auf Datenweitergabe muss der Dateninhaber eine Reihe von Anforderungen beachten.

Anspruch auf Datenweitergabe

Auf Verlangen des Nutzers muss der Dateninhaber die Daten einem Dritten unverzüglich, für den Nutzer kostenlos, in derselben Qualität, die dem Dateninhaber zur Verfügung steht, und gegebenenfalls kontinuierlich und in Echtzeit bereitstellen (Art. 5 Abs. 1 DA-E). Warum die Modalitäten dieses Anspruchs, wie z. B. die Unverzüglichkeit, aus Unternehmenssicht durchaus herausfordernd sein können, haben wir in Episode 3 erläutert. Unternehmen, die zentrale Plattformdienste erbringen (Gatekeeper) dürfen Daten nicht bereitgestellt werden (Art. 5 Abs. 2 DA-E).

Vertrag zwischen Dateninhaber und Dritten

Die Bereitstellung von Daten erfolgt auf Grundlage eines Vertrags zwischen dem Dateninhaber und dem Dritten. Der Grundsatz der Vertragsfreiheit gestattet es den Parteien, die genauen Bedingungen für die Bereitstellung von Daten in ihren Verträgen frei auszuhandeln. Dabei müssen sie sich jedoch im Rahmen der allgemeinen Zugangsvorschriften für die Bereitstellung von Daten bewegen. Auch sind die Bestimmungen über das Verbot missbräuchlicher Vertragsklauseln gegenüber KMU zu beachten (Art. 13 DA-E). Nach dem Parlamentsentwurf soll das Verbot missbräuchlicher Vertragsklauseln sogar gegenüber allen Unternehmen gelten (Art. 13 Abs. 1 DA-E des Parlaments).

Modalitäten der Datenweitergabe

Bei der Datenbereitstellung an Dritte durch den Dateninhaber sind die sogenannten FRAND-Bedingungen zu beachten. Das bedeutet, die Datenweitergabe muss zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise erfolgen (Art. 8 DA-E).

Das Recht auf Datenzugang und -weitergabe ergänzt das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO hinsichtlich der nicht personenbezogenen Daten. Insofern ist das Recht auf Datenweitergabe aus Art. 5 DA-E in Bezug auf die Anforderungen an die Form der Datenweitergabe identisch zu Art. 20 DSGVO. Letztere Norm sichert betroffenen Personen bereits ein Recht auf Übertragbarkeit ihrer personenbezogenen Daten zu (bspw. zwischen verschiedenen Cloud-Plattformen). Die Bereitstellung muss also in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format erfolgen. Das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO darf durch Versäumnisse des Dateninhabers oder des Dritten, Vorkehrungen für die Übermittlung der Daten zu treffen, nicht beeinträchtigt werden (Art. 5 Abs. 7 DA-E). M. a. W. können Unternehmen also nicht argumentieren, dass sie für die rechtskonforme Datenübertragbarkeit noch keine (hinreichenden) Vorkehrungen getroffen haben. Vielmehr haben sie demnach entsprechende Vorkehrungen zu treffen.

Die Bereitstellung von personenbezogenen Daten darf nur aufgrund einer Rechtsgrundlage nach der DSGVO erfolgen (Art. 6 und 9 DSGVO). Das Recht auf Weitergabe darf die Datenschutzrechte anderer Personen zudem nicht beeinträchtigen (Art. 5 Abs. 9 DA-E).

Kosten der Bereitstellung

Es kann eine Gegenleistung für die Bereitstellung der Daten vereinbart werden. Diese muss angemessen sein. Werden Daten an KMU bereitgestellt, darf die Gegenleistung die unmittelbaren Kosten der Bereitstellung der Daten nicht übersteigen. Unmittelbar sind die Kosten, die für die Reproduktion, die elektronische Verbreitung und Speicherung von Daten erforderlich sind, nicht aber die Kosten der Datensammlung oder -produktion (ErwG 45 S. 1 DA-E). Diskussionen werden zukünftig also vermutlich darüber entstehen, wie hoch diese vorgenannten Kosten genau beziffert werden.

Schutz von Geschäftsgeheimnissen

Geschäftsgeheimnisse müssen dem Dritten gegenüber nur insoweit offengelegt werden, als dies für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck unbedingt erforderlich ist. Außerdem kann die Offenlegung davon abhängig gemacht werden, dass der Dritte zwischen ihm und dem Dateninhaber vertraglich vereinbarte Maßnahmen zum Schutz der Vertraulichkeit der Geschäftsgeheimnisse einhält (Art. 5 Abs. 8 DA-E).

Bereitstellung von Daten für öffentliche Stellen

Daneben regelt der DA-E die Bereitstellung von Daten für öffentliche Stellen. In bestimmten Fällen wie Notständen muss der Dateninhaber auf Verlangen von öffentlichen Stellen oder Stellen der Union diesen Daten bereitstellen. Dies gilt nicht für kleine Unternehmen und Kleinstunternehmen. Einen Vertrag muss die ausnahmsweise Daten verlangende öffentliche Stelle übrigens ausweislich der Anforderungen aus Art. 17 Abs. 1 und 2 DA-E weder mit dem Dateninhaber noch dem Nutzer schließen.

Empfehlungen für die Praxis

Da Unternehmen im Rahmen des Rechts des Nutzers auf Datenweitergabe eine Reihe von Anforderungen beachten müssen, sollten frühzeitig Maßnahmen zur Implementierung entsprechender Prozesse und Funktionalitäten getroffen werden. Dazu können Anpassungen von Produkten und insbesondere die Erstellung und Anpassung von Verträgen mit möglichen Datenempfängern zählen. Bei der Vertragsgestaltung sollten insbesondere Regelungen zu den Bedingungen der Bereitstellung, Form, Gegenleistung und zum Geschäftsgeheimnisschutz getroffen werden. Auch das Verbot von missbräuchlichen Klauseln kann neue vertragsrechtliche Fragen aufwerfen.

Das laufende Gesetzgebungsverfahren sollte im Hinblick auf mögliche Anpassungen im Pflichtenprogramm des Dateninhabers verfolgt werden. Wie gezeigt sieht der Parlamentsentwurf Änderungen und teilweise Verschärfungen in Bezug auf die Anforderungen im Rahmen der Datenweitergabe vor.

In unserer DA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Data Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

DA-Update

DA-Update – Episode 8: Wann gilt der Data Act für Verkäufer von Produkten / Betreiber von Online-Shops und was ist zu beachten?

Der Data Act (im Folgenden „DA“) gilt (größtenteils) ab dem 12. September 2025, während einzelne zentrale Vorschriften ein Jahr später in Kraft treten werden. Allerdings herrscht bei vielen Verkäufern und Online-Shop-Betreibern noch Unsicherheit darüber, was das in der Praxis bedeutet.

DA-Update – Episode 7: Der Hersteller-Begriff nach dem Data Act

Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (Data Act/ DA) verabschiedet. Diese Verordnung trat nach ihrer Verkündung im Amtsblatt der EU am 11. Januar 2024 in Kraft. Nach einer Übergangsfrist von 20 Monaten gilt sie ab dem 12. September 2025 EU-weit. Art. 3 Abs. 1 DA ist jedoch erst ab dem 12. September 2026 für vernetzte Produkte und zugehörige Dienste anwendbar.

Die Verordnung ist für viele Branchen relevant, doch bleibt eine zentrale Frage weitgehend unbeantwortet: Ab wann gilt jemand als Hersteller im Sinne des DA?

DA-Update - Episode 6: Anspruch auf Weitergabe von Daten an Dritte – Herausforderungen bei der parallelen Geltendmachung nach DA und DSGVO

Der Data Act (DA) enthält mit Art. 5 DA eine Regelung zur Datenportabilität. Demnach muss der Dateninhaber auf Verlangen des Nutzers Daten an Dritte bereitstellen. Ähnlichkeiten bestehen zu dem Recht auf Datenübertragbarkeit aus Art. 20 Abs. 1 DSGVO. Beide Normen gewähren im Grundsatz einen ähnlichen Anspruch, wobei entscheidende Unterschiede in der Ausgestaltung der Ansprüche bestehen. Insbesondere unterscheidet sich die Frist, innerhalb derer das Verlangen beantwortet werden muss. Nachfolgend werden die beiden Ansprüche dargestellt und Unterschiede aufgezeigt. Im Anschluss wird die Frage geklärt, in welchem Verhältnis die beiden Regelungen zueinander stehen, welche Fristenregelung also bei dem Verlangen einer Person auf Weitergabe von Daten an Dritte für Unternehmen maßgeblich ist.

DA-Update - Episode 5: Wechsel zwischen Datenverarbeitungsdiensten und Interoperabilität

Kapitel VI des Entwurfs des Data Act (DA-E) enthält Bestimmungen über den Wechsel zwischen Datenverarbeitungsdiensten. Dazu zählen insbesondere Cloud- und Edge-Services. Anbieter von Datenverarbeitungsdiensten werden verpflichtet, den Wechsel zu konkurrierenden Dienstleistern zu erleichtern. Zu diesem Zweck sollen Hindernisse zwischen Anbietern von Datenverarbeitungsdiensten beseitigt werden.

DA-Update - Episode 4: Anforderungen im Rahmen der Datenweitergabe

Nach dem Entwurf des Data Act (DA-E) muss der Dateninhaber auf Verlangen des Nutzers Daten auch an Dritte bereitstellen. Im Rahmen des Rechts des Nutzers auf Datenweitergabe muss der Dateninhaber eine Reihe von Anforderungen beachten.

DA-Update - Episode 3: Pflichten im Rahmen des Datenzugangs

Der Entwurf des Data Act (DA-E) regelt die Bereitstellung von Daten an den Nutzer, Dritte sowie an öffentliche Stellen. Im Folgenden wird der Datenzugangsanspruch des Nutzers nach Art. 3 DA-E dargestellt (zur Erinnerung, „Nutzer“ ist eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt, vgl. Art. 2 Nr. 5 DA-E). Unternehmen, die nach dem DA-E als Dateninhaber gelten, werden im Rahmen des Datenzugangsanspruchs des Nutzers eine Reihe von Pflichten auferlegt.

DA-Update - Episode 2: Wer sind die Adressaten des DA-E?

Der Entwurf des Data Act (DA-E) nennt eine Reihe von Akteuren, auf die die Verordnung Anwendung finden soll. In unserem Beitrag erläutern wir Ihnen das Wichtigste dazu.

DA-Update - Episode 1: Auf welche Produkte findet der Data Act- Entwurf Anwendung?

Die Europäische Kommission hat einen Entwurf für eine Verordnung des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz) vorgelegt, zu dem das Europäische Parlament und der Rat der Europäischen Union inzwischen auch Änderungsvorschläge veröffentlicht haben (zu den einzelnen Entwürfen können Sie sich in unserer Übersicht zur EU-Digitalgesetzgebung informieren). Im Folgenden dient der Kommissionsentwurf als Grundlage (nachfolgend „DA-E“). Wo nötig, werden Unterschiede aufgrund der Entwürfe von Parlament und Rat dargestellt.