Data Act – Datenregulierungs-Vorhaben der EU
Eine Herausforderung für Cloud-Anbieter
Der Entwurf für ein Datengesetz der EU-Kommission
Beitrag von Rechtsanwältin Marion Schultz in der Sonderbeilage der Fachzeitschrift IT-BUSINESS: CLOUD & VIRTUALISIERUNG im September 2022.
Am 23.2.2022 hat die EU-Kommission einen Vorschlag für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act E) vorgelegt. Seit dem 12.07.2022 liegt ein überarbeiteter Kompromissvorschlag vor.
Es ist ein ambitionierter Antritt, denn es handelt sich um nicht weniger als um eine grundlegende Neuregelung des Zugangs zu bzw. der Nutzung von Daten und der verbindlichen Schaffung einer neuen Cloud-Generation in Europa mit höchsten Standards.
Grundlage: Die „Europäische Datenstrategie“
Ein konkreter Schritt zu dem in dem komplexen Grundsatzpapier „Eine europäischen Datenstrategie“ der EU-Kommission am 19.02.2020 dargestellten Ziel der Sicherung der technologischen Zukunft Europas.
ZIEL
SICHERUNG DER TECHNOLOGISCHEN ZUKUNFT EUROPAS
STRATEGIE
Die im Data Act E zur Erreichung dieses Ziels entwickelten Strategien sind die Durchsetzung europäischer Grundwerte und europäischen Rechts auf der Basis europäischer Federführung und Weltmarktführerschaft in der Entwicklung einer internationalen Datenwirtschaft und die Herstellung von Datensouveränität.
➔ Strategie: Datenwirtschaft
➔ Strategie: Datensouveränität
Maßnahmen
Die Strategie Datenwirtschaft soll insbesondere durch folgende 4 Maßnahmen umgesetzt werden:
- Ausbau von Datenverarbeitungskapazitäten und -infrastrukturen
- Interoperabilität von Kapazitäten
- Zusammenschluss von Kapazitäten
- Entwicklung gemeinsamer Daten- und Cloud-Infrastrukturen
Der Umsetzung der Strategie Datensouveränität dienen im Wesentlichen die 3 Maßnahmen
- Entwicklung von Interoperabilitässtandards für Daten
- Schaffung europäischer Datenräume und Datenpools
- Schutzvorkehrungen gegen die unrechtmäßige Übermittlung nicht personenbezogener Daten an staatliche Institutionen von Drittländern durch Cloud-Diensteanbieter
Gesetzliche Mindestanforderungen an Cloud-Anbieter als Antwort auf die fehlgeschlagene Selbstregulierung
Die EU-Kommission sieht die Fähigkeit von Cloud-Kunden, einfach und kostengünstig von einem Anbieter zu einem anderen zu wechseln, als wesentliche Voraussetzung für einen vom Wettbewerb geprägten Markt mit geringen Marktzutrittsschranken für neue Diensteanbieter. Die Portabilität der Cloud-Anwendung trägt Studien zufolge zum Ausbau der Kapazitäten bei und ist somit Teil der Maßnahmen zur Umsetzung der Strategie Datenwirtschaft.
Nachdem der Selbstregulierungsansatz der „Free flow of Data Verordnung“ aus dem Jahr 2018 zur Beseitigung von Hindernissen für einen Wechsel zwischen Cloud-Anbietern gescheitert ist, legt der neue Verordnungsentwurf nun rechtliche Mindestanforderungen gewerblicher, technischer, vertraglicher und organisatorischer Art für Cloud-Anbieter verbindlich fest. Es gilt, wie schon bei der DSGVO, das Marktortprinzip mit der Folge, dass die Vorschriften der Verordnung auch Anbieter mit Sitz außerhalb der EU betreffen, soweit sie Cloud-Lösungen für Kunden in der EU anbieten.
Reine Infrastrukturanbieter sind zum Erhalt der so genannten Funktionsäquivalenz nach dem Anbieterwechsel verpflichtet.
Funktionsäquivalenz bedeutet nach Art. 2 Nr. 14 Data Act (E), „die Aufrechterhaltung eines Mindestfunktionsumfangs in der Umgebung eines neuen Datenverarbeitungsdienstes nach dem Wechselvorgang, sodass der Nutzer bei einer Eingabe zu Kernelementen des Dienstes vom übernehmenden Dienst das gleiche Ergebnis mit der gleichen Leistung und dem gleichen Niveau der Sicherheit, Betriebsstabilität und Dienstqualität erhält wie vom vorherigen Dienst zum Zeitpunkt der Vertragskündigung“.
Diejenigen, die daneben Zugang zu Betriebsdiensten, zu Software und zu Anwendungen gewähren, müssen offene Schnittstellen kostenlos bereitstellen und die Kompatibilität ihrer Systeme mit bestimmten bestehenden, offenen Interoperabilitätsspezifikationen und europäischen Normen oder noch zu erlassenden, detaillierten europäischen Interoperabilitätsnormen gewährleisten. Wenn und solange solche Vorgaben nicht bestehen, sind alle erzeugten Daten auf Wunsch des Kunden, einschließlich relevanter Datenformate und Datenstrukturen, in einem strukturierten, gängigen und maschinenlesbaren Format an den Kunden oder an einen von ihm bestimmten Dritten zu exportieren. Ab dem 4. Jahr nach Inkrafttreten des Data Act darf der Anbieter für den Wechsel keine Entgelte mehr verlangen.
Sanktionen
Von den übrigen Vorschriften des Data Act E ist Art. 33 von besonderer praktischer Bedeutung. Er verpflichtet die Mitgliedstaaten zur Festlegung wirksamer, verhältnismäßiger und abschreckender Sanktionen, die bei Verstößen gegen Vorschriften des Data Act zu verhängen sind.
Bezieht sich der Verstoß auf eine Regelung des Data Act zum Schutz personenbezogener Daten, kann die Geldbuße im Einklang mit Art. 83 DSGVO bis zu 20 Mio. EUR oder 4% des gesamten weltweit erzielten Jahresumsatzes erreichen. Dass eine solche Festlegung für andere Verstöße nicht erfolgte, muss kein Indiz dafür sein, dass die zu erwartenden Sanktionen geringer sein werden.
Aussichten
Der sich ergebende Handlungsbedarf kann für Cloud-Anbieter eine erhebliche Belastung sein. Neben der Anpassung der Produkte sind auch Allgemeine Geschäftsbedingungen bzw. Vertragsmuster grundlegend zu überarbeiten.
TRENCHANT® unterstützt Sie hierbei gerne.
Für Anwender erwartet die EU-Kommission auf Basis einer geeigneten rechtlichen und regulierungstechnischen Beratung und einer problemlosen Übertragbarkeit von Daten und anderen digitalen Vermögenswerten zwischen konkurrierenden Anbietern von Cloud-Diensten, zahlreiche neue, datengestützte Geschäftsmodelle.
Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.