Nach dem Entwurf des Data Act (DA-E) muss der Dateninhaber auf Verlangen des Nutzers Daten auch an Dritte bereitstellen. Im Rahmen des Rechts des Nutzers auf Datenweitergabe muss der Dateninhaber eine Reihe von Anforderungen beachten.

Anspruch auf Datenweitergabe

Auf Verlangen des Nutzers muss der Dateninhaber die Daten einem Dritten unverzüglich, für den Nutzer kostenlos, in derselben Qualität, die dem Dateninhaber zur Verfügung steht, und gegebenenfalls kontinuierlich und in Echtzeit bereitstellen (Art. 5 Abs. 1 DA-E). Warum die Modalitäten dieses Anspruchs, wie z. B. die Unverzüglichkeit, aus Unternehmenssicht durchaus herausfordernd sein können, haben wir in Episode 3 erläutert. Unternehmen, die zentrale Plattformdienste erbringen (Gatekeeper) dürfen Daten nicht bereitgestellt werden (Art. 5 Abs. 2 DA-E).

Vertrag zwischen Dateninhaber und Dritten

Die Bereitstellung von Daten erfolgt auf Grundlage eines Vertrags zwischen dem Dateninhaber und dem Dritten. Der Grundsatz der Vertragsfreiheit gestattet es den Parteien, die genauen Bedingungen für die Bereitstellung von Daten in ihren Verträgen frei auszuhandeln. Dabei müssen sie sich jedoch im Rahmen der allgemeinen Zugangsvorschriften für die Bereitstellung von Daten bewegen. Auch sind die Bestimmungen über das Verbot missbräuchlicher Vertragsklauseln gegenüber KMU zu beachten (Art. 13 DA-E). Nach dem Parlamentsentwurf soll das Verbot missbräuchlicher Vertragsklauseln sogar gegenüber allen Unternehmen gelten (Art. 13 Abs. 1 DA-E des Parlaments).

Modalitäten der Datenweitergabe

Bei der Datenbereitstellung an Dritte durch den Dateninhaber sind die sogenannten FRAND-Bedingungen zu beachten. Das bedeutet, die Datenweitergabe muss zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise erfolgen (Art. 8 DA-E).

Das Recht auf Datenzugang und -weitergabe ergänzt das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO hinsichtlich der nicht personenbezogenen Daten. Insofern ist das Recht auf Datenweitergabe aus Art. 5 DA-E in Bezug auf die Anforderungen an die Form der Datenweitergabe identisch zu Art. 20 DSGVO. Letztere Norm sichert betroffenen Personen bereits ein Recht auf Übertragbarkeit ihrer personenbezogenen Daten zu (bspw. zwischen verschiedenen Cloud-Plattformen). Die Bereitstellung muss also in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format erfolgen. Das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO darf durch Versäumnisse des Dateninhabers oder des Dritten, Vorkehrungen für die Übermittlung der Daten zu treffen, nicht beeinträchtigt werden (Art. 5 Abs. 7 DA-E). M. a. W. können Unternehmen also nicht argumentieren, dass sie für die rechtskonforme Datenübertragbarkeit noch keine (hinreichenden) Vorkehrungen getroffen haben. Vielmehr haben sie demnach entsprechende Vorkehrungen zu treffen.

Die Bereitstellung von personenbezogenen Daten darf nur aufgrund einer Rechtsgrundlage nach der DSGVO erfolgen (Art. 6 und 9 DSGVO). Das Recht auf Weitergabe darf die Datenschutzrechte anderer Personen zudem nicht beeinträchtigen (Art. 5 Abs. 9 DA-E).

Kosten der Bereitstellung

Es kann eine Gegenleistung für die Bereitstellung der Daten vereinbart werden. Diese muss angemessen sein. Werden Daten an KMU bereitgestellt, darf die Gegenleistung die unmittelbaren Kosten der Bereitstellung der Daten nicht übersteigen. Unmittelbar sind die Kosten, die für die Reproduktion, die elektronische Verbreitung und Speicherung von Daten erforderlich sind, nicht aber die Kosten der Datensammlung oder -produktion (ErwG 45 S. 1 DA-E). Diskussionen werden zukünftig also vermutlich darüber entstehen, wie hoch diese vorgenannten Kosten genau beziffert werden.

Schutz von Geschäftsgeheimnissen

Geschäftsgeheimnisse müssen dem Dritten gegenüber nur insoweit offengelegt werden, als dies für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck unbedingt erforderlich ist. Außerdem kann die Offenlegung davon abhängig gemacht werden, dass der Dritte zwischen ihm und dem Dateninhaber vertraglich vereinbarte Maßnahmen zum Schutz der Vertraulichkeit der Geschäftsgeheimnisse einhält (Art. 5 Abs. 8 DA-E).

Bereitstellung von Daten für öffentliche Stellen

Daneben regelt der DA-E die Bereitstellung von Daten für öffentliche Stellen. In bestimmten Fällen wie Notständen muss der Dateninhaber auf Verlangen von öffentlichen Stellen oder Stellen der Union diesen Daten bereitstellen. Dies gilt nicht für kleine Unternehmen und Kleinstunternehmen. Einen Vertrag muss die ausnahmsweise Daten verlangende öffentliche Stelle übrigens ausweislich der Anforderungen aus Art. 17 Abs. 1 und 2 DA-E weder mit dem Dateninhaber noch dem Nutzer schließen.

Empfehlungen für die Praxis

Da Unternehmen im Rahmen des Rechts des Nutzers auf Datenweitergabe eine Reihe von Anforderungen beachten müssen, sollten frühzeitig Maßnahmen zur Implementierung entsprechender Prozesse und Funktionalitäten getroffen werden. Dazu können Anpassungen von Produkten und insbesondere die Erstellung und Anpassung von Verträgen mit möglichen Datenempfängern zählen. Bei der Vertragsgestaltung sollten insbesondere Regelungen zu den Bedingungen der Bereitstellung, Form, Gegenleistung und zum Geschäftsgeheimnisschutz getroffen werden. Auch das Verbot von missbräuchlichen Klauseln kann neue vertragsrechtliche Fragen aufwerfen.

Das laufende Gesetzgebungsverfahren sollte im Hinblick auf mögliche Anpassungen im Pflichtenprogramm des Dateninhabers verfolgt werden. Wie gezeigt sieht der Parlamentsentwurf Änderungen und teilweise Verschärfungen in Bezug auf die Anforderungen im Rahmen der Datenweitergabe vor.

In unserer DA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Data Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen