EU: Politische Einigung über Inhalt des Data Act

Das am 8.6.2023 von Rat und Parlament akkordierte und damit politisch beschlossene Datengesetz („Data Act“, COM/2022/68 final) – in der Sprache des Unionsrechts handelt es sich um eine Verordnung – ist ein ganz wichtiger Meilenstein neben der DSGVO, dem „Digital Service“ und dem „Digital Market Act“ in der Durchsetzung der digitalen Marktstrategie der EU. Im Kern geht es hier um die Gewährleistung eines fairen Datenzugangs und einer fairen Datennutzung. Das politisch und vor allem rechtlich zu bewältigende Dilemma besteht allerdings, wie die Kommission mit Recht hervorhebt, darin, dass das Datenvolumen in den letzten Jahren schneller als rasant angewachsen ist, vor allem aber, dass die so erzeugten und verfügbaren Daten „hauptsächlich in den Händen einer relativ geringen Anzahl großer Unternehmen“ liegt (Ziff. I). Erkennbar hindert dies die volle Ausschöpfung des zu hebenden Potenzials datengesteuerter Innovation.

Gesetzestechnisch geht es bei der Datenstrategie der Union darum, „einen echten Binnenmarkt für Daten zu schaffen und Europa zu einem weltweit führenden Akteur in der datenagilen Wirtschaft zu machen“ (Ziff. I). Gleichzeitig sieht sich die EU aber auch verpflichtet, den europäischen Werten „uneingeschränkte Achtung“ zu verschaffen und im gleichen Atemzug die Herkules-Aufgabe zu stemmen, nämlich „die digitale Kluft“ zu beseitigen, die sich auf der einen Seite durch den immensen Fortschritt der chinesischen Datemwirtschaft auftürmt und auf der anderen Seite durch den amerikanischen Datenkapitalismus geprägt ist, der sich auf die Buchstabenkombination GAFA reimt.
Einer der Kernpunkte dieser Verordnung ist (vgl. 2022/0047 (COD)), dass sich der beabsichtigte Schutzzweck – gestützt auf die Binnenmarktregel des Art. 114 AEUV – sowohl an Verbraucher wie auch an Unternehmen richtet (KMU). Diese Definition orientiert sich an der EU-Empfehlung 2003/361, erfordert also eine Beschäftigtenzahl von weniger als 250 und einen Umsatz von bis zu 50 Mio. €.
Der Anwendungsbereich des Datengesetzes ist sehr breit angelegt. Gemäß Art. 1 Abs. 2 gilt diese Verordnung für „Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden, und die Nutzer solcher Produkte oder Dienste“. Sie gilt aber nach dieser Vorschrift auch für „Dateninhaber, die Datenempfängern in der Union Daten bereitstellen“. Ebenso „für Datenempfänger in der Union, denen Daten bereitgestellt werden“. Schließlich werden auch „Anbieter von Datenverarbeitungsdiensten“erfasst, „denen Daten bereitgestellt werden“. Von besonderem Belang ist in diesem Kontext, dass der Anwendungsbereich dieser Verordnung sich auch auf „öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der Union, die von Dateninhabern verlangen, Daten bereitzustellen“ bezieht. Doch es kommt hier nach Art. 1 Abs. 2 lit. d eine wesentliche Einschränkung zum Tragen. Diese Daten müssen nämlich „wegen außergewöhnlicher Notwendigkeit zur Wahrnehmung einer Aufgabe von öffentlichem Interesse benötigt werden“. Die Zielrichtung gegen China lässt grüßen. Gemeint sind damit, wie sich aus dem Erwägungsgrund Nr. 56 ablesen lässt „öffentliche Notlagen oder andere Ausnahmesituationen“, auf die die öffentliche Hand reagieren muss (Nr. 57).
Damit die bei der Herstellung eines Produkts erzeugten Daten für Nutzer entsprechend der Zielsetzung dieses Gesetzes zugänglich gemacht und zur Verfügung gestellt werden können, bestimmt Art. 3 Abs. 1: „Produkte werden so konzipiert und hergestellt und verbundene Dienste so erbracht, dass die bei ihrer Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sind.“ Dabei ist der Begriff „Produkt“ spezifisch definiert; es muss als „körperlicher Gegenstand“ qualifiziert werden, was u.a. „Daten über seine Nutzung oder Umgebung erlangen, erzeugen oder sammeln“ kann. Vor Abschluss von Kauf-, Miet- oder Leasingverträgen für ein solches Produkt müssen dem Nutzer zahlreiche Informationen in transparenter Weise zur Verfügung gestellt werden, u.a. „Art und Umfang der Daten, die voraussichtlich bei der Nutzung des Produkts oder verbundenen Dienstes“ oder „in Echtzeit erzeugt werden“. Daher zur Abrundung des Verständnisses die Norm des Art. 4 Abs. 1: „Soweit der Nutzer nicht direkt vom Produkt aus auf die Daten zugreifen kann, stellt der Dateninhaber dem Nutzer die bei der Nutzung eines Produkts oder verbundenen Dienstes erzeugten Daten unverzüglich, kostenlos und ggf. kontinuierlich und in Echtzeit zur Verfügung. Dies geschieht auf einfaches Verlangen auf elektronischem Wege, soweit dies technisch machbar ist.“
Aus dem breiten Spektrum zwingend missbräuchlicher Klauseln, die für Verbraucher, aber auch für KMUs gelten, seien nur zwei herausgegriffen. Als erstes die Generalklausel des Art. 13 Abs. 2: „Eine Vertragsklausel ist missbräuchlich, wenn ihre Verwendung gröblich von der guten Geschäftspraxis beim Datenzugang und der Datennutzung abweicht und gegen das Gebot von Treu und Glauben und des redlichen Geschäftsverkehrs verstößt.“ Das ist exakt die Formel, welche der BGH – geboren aus § 242 BGB – als Missbrauchstatbestand nach § 307 Abs. 1 Satz 1 BGB bereithält. Dann ist noch die Norm des Art. 13 Abs. 3 lit. b hervorzuheben, weil hier die Kommisssion überdeutlich das Konzept der „Kardinalpflicht“ als zwingendes Verbot einer Haftungsbegrenzung bei „Nichterfüllung der Vertragspflichten“, verschuldensunabhängig formuliert. Eine solche Klausel ist missbräuchlich, die „den Ausschluss der Rechtsbehelfe, die der Partei, der die Klausel einseitig auferlegt wurde, bei Nichterfüllung von Vertragspflichten zur Verfügung stehen, oder den Ausschluss der Haftung der Partei, die die Klausel einseitig auferlegt hat, bei einer Verletzung solcher Pflichten“. Das ist auf der Ebene des Unionsrechts fast radikal zu nennen, ist aber deckungsgleich mit § 307 Abs. 2 Nr. 2 BGB.