Data Act – Datenregulierungs-Vorhaben der EU

Eine Herausforderung für Cloud-Anbieter

Der Entwurf für ein Datengesetz der EU-Kommission

Beitrag von Rechtsanwältin Marion Schultz in der Sonderbeilage der Fachzeitschrift IT-BUSINESS: CLOUD & VIRTUALISIERUNG im September 2022.

Am 23.2.2022 hat die EU-Kommission einen Vorschlag für eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act E) vorgelegt. Seit dem 12.07.2022 liegt ein überarbeiteter Kompromissvorschlag vor.

Es ist ein ambitionierter Antritt, denn es handelt sich um nicht weniger als um eine grundlegende Neuregelung des Zugangs zu bzw. der Nutzung von Daten und der verbindlichen Schaffung einer neuen Cloud-Generation in Europa mit höchsten Standards.

Grundlage: Die „Europäische Datenstrategie“

Ein konkreter Schritt zu dem in dem komplexen Grundsatzpapier „Eine europäischen Datenstrategie“ der EU-Kommission am 19.02.2020 dargestellten Ziel der Sicherung der technologischen Zukunft Europas.

ZIEL

SICHERUNG DER TECHNOLOGISCHEN ZUKUNFT EUROPAS

STRATEGIE

Die im Data Act E zur Erreichung dieses Ziels entwickelten Strategien sind die Durchsetzung europäischer Grundwerte und europäischen Rechts auf der Basis europäischer Federführung und Weltmarktführerschaft in der Entwicklung einer internationalen Datenwirtschaft und die Herstellung von Datensouveränität.

➔ Strategie: Datenwirtschaft

➔ Strategie: Datensouveränität

Maßnahmen

Die Strategie Datenwirtschaft soll insbesondere durch folgende 4 Maßnahmen umgesetzt werden:

  1. Ausbau von Datenverarbeitungskapazitäten und -infrastrukturen
  2. Interoperabilität von Kapazitäten
  3. Zusammenschluss von Kapazitäten
  4. Entwicklung gemeinsamer Daten- und Cloud-Infrastrukturen

Der Umsetzung der Strategie Datensouveränität dienen im Wesentlichen die 3 Maßnahmen

  1. Entwicklung von Interoperabilitässtandards für Daten
  2. Schaffung europäischer Datenräume und Datenpools
  3. Schutzvorkehrungen gegen die unrechtmäßige Übermittlung nicht personenbezogener Daten an staatliche Institutionen von Drittländern durch Cloud-Diensteanbieter

Gesetzliche Mindestanforderungen an Cloud-Anbieter als Antwort auf die fehlgeschlagene Selbstregulierung

Die EU-Kommission sieht die Fähigkeit von Cloud-Kunden, einfach und kostengünstig von einem Anbieter zu einem anderen zu wechseln, als wesentliche Voraussetzung für einen vom Wettbewerb geprägten Markt mit geringen Marktzutrittsschranken für neue Diensteanbieter. Die Portabilität der Cloud-Anwendung trägt Studien zufolge zum Ausbau der Kapazitäten bei und ist somit Teil der Maßnahmen zur Umsetzung der Strategie Datenwirtschaft.
Nachdem der Selbstregulierungsansatz der „Free flow of Data Verordnung“ aus dem Jahr 2018 zur Beseitigung von Hindernissen für einen Wechsel zwischen Cloud-Anbietern gescheitert ist, legt der neue Verordnungsentwurf nun rechtliche Mindestanforderungen gewerblicher, technischer, vertraglicher und organisatorischer Art für Cloud-Anbieter verbindlich fest. Es gilt, wie schon bei der DSGVO, das Marktortprinzip mit der Folge, dass die Vorschriften der Verordnung auch Anbieter mit Sitz außerhalb der EU betreffen, soweit sie Cloud-Lösungen für Kunden in der EU anbieten.
Reine Infrastrukturanbieter sind zum Erhalt der so genannten Funktionsäquivalenz nach dem Anbieterwechsel verpflichtet.

Funktionsäquivalenz bedeutet nach Art. 2 Nr. 14 Data Act (E), „die Aufrechterhaltung eines Mindestfunktionsumfangs in der Umgebung eines neuen Datenverarbeitungsdienstes nach dem Wechselvorgang, sodass der Nutzer bei einer Eingabe zu Kernelementen des Dienstes vom übernehmenden Dienst das gleiche Ergebnis mit der gleichen Leistung und dem gleichen Niveau der Sicherheit, Betriebsstabilität und Dienstqualität erhält wie vom vorherigen Dienst zum Zeitpunkt der Vertragskündigung“.
Diejenigen, die daneben Zugang zu Betriebsdiensten, zu Software und zu Anwendungen gewähren, müssen offene Schnittstellen kostenlos bereitstellen und die Kompatibilität ihrer Systeme mit bestimmten bestehenden, offenen Interoperabilitätsspezifikationen und europäischen Normen oder noch zu erlassenden, detaillierten europäischen Interoperabilitätsnormen gewährleisten. Wenn und solange solche Vorgaben nicht bestehen, sind alle erzeugten Daten auf Wunsch des Kunden, einschließlich relevanter Datenformate und Datenstrukturen, in einem strukturierten, gängigen und maschinenlesbaren Format an den Kunden oder an einen von ihm bestimmten Dritten zu exportieren. Ab dem 4. Jahr nach Inkrafttreten des Data Act darf der Anbieter für den Wechsel keine Entgelte mehr verlangen.

Sanktionen

Von den übrigen Vorschriften des Data Act E ist Art. 33 von besonderer praktischer Bedeutung. Er  verpflichtet die Mitgliedstaaten zur Festlegung wirksamer, verhältnismäßiger und abschreckender Sanktionen, die bei Verstößen gegen Vorschriften des Data Act zu verhängen sind.

Bezieht sich der Verstoß auf eine Regelung des Data Act zum Schutz personenbezogener Daten, kann die Geldbuße im Einklang mit Art. 83 DSGVO bis zu 20 Mio. EUR oder 4% des gesamten weltweit erzielten Jahresumsatzes erreichen. Dass eine solche Festlegung für andere Verstöße nicht erfolgte, muss kein Indiz dafür sein, dass die zu erwartenden Sanktionen geringer sein werden.

Aussichten

Der sich ergebende Handlungsbedarf kann für Cloud-Anbieter eine erhebliche Belastung sein. Neben der Anpassung der Produkte sind auch Allgemeine Geschäftsbedingungen bzw. Vertragsmuster grundlegend zu überarbeiten.




TRENCHANT® unterstützt Sie hierbei gerne.

Für Anwender erwartet die EU-Kommission auf Basis einer geeigneten rechtlichen und regulierungstechnischen Beratung und einer problemlosen Übertragbarkeit von Daten und anderen digitalen Vermögenswerten zwischen konkurrierenden Anbietern von Cloud-Diensten, zahlreiche neue, datengestützte Geschäftsmodelle.

Mehr als 20 Jahre Erfahrung an der
Schnittstelle von Recht, Wirtschaft
und Technik.

Kontakt aufnehmen
17. Februar 2024
Data Act und KI im industriellen Umfeld – Haftungsfragen
Artikel lesen
2. Februar 2024
Die RED-Verordnung und ihre praktische Umsetzung
Artikel lesen
2. Juli 2023
Robotik und Steuerungstechnik: Umsetzung neuer Cyber-Security-Vorschriften
Gerade waren alle noch in emotionalen Höhenflügen auf der Messe "automatica", wo sie stolz ihre technischen Neuheiten vorstellten.
Artikel lesen
22. Mai 2023
KI-generierter Quellcode
KI generierter Quellcode – wem stehen die Nutzungsrechte zu?
Artikel lesen
5. Mai 2023
Der EU Data Act und die Folgen für das Design von IoT-Produkten
Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?
Artikel lesen
27. Januar 2023
Data Act – Datenregulierungs-Vorhaben der EU
Die EU-Kommission legt einen Entwurf für ein Datengesetz vor
Artikel lesen
30. November 2022
Updatepflicht für embedded Systems
Digitale-Inhalte-Richtlinie und die Warenkauf-Richtlinie der EU
Artikel lesen
25. November 2022
Agile Einführung einer Software
Fallbeispiel
Artikel lesen
25. November 2022
Vertraulichkeitsvereinbarung in kollaborativer Cloud-Umgebung
Artikel lesen
15. Mai 2022
CR 2022, 281: Nutzung von Cloud-Services im Unternehmen
Nutzung von Cloud-Services im Unternehmen – Verantwortlichkeiten für die IT-Sicherheit
Artikel lesen
15. März 2021
CR 2021, 145: Vertragsklauseln zum IT-Projektmanagement
Zentrale Weichenstellungen
Artikel lesen