Von Susan Kempe-Müller*)

Viele Produkte und Services, zum Beispiel Industrieroboter, benötigen Daten, um gut und verlässlich zu funktionieren. Das gilt ganz besonders, wenn künstliche Intelligenz (KI) zum Einsatz kommt. KI-gestützte Systeme sind nur so gut wie die Daten, mit denen sie gefüttert wurden. Dabei geht es weniger um personenbezogene, sondern mehr um technische Daten und Nutzungsdaten. Solche Daten werden zwar ständig und an vielen Orten produziert. Der Zugang zu großen Datenmengen ist bislang aber schwierig. Er ist großen Unternehmen und Spezialisten vorbehalten. Wie schmerzlich das Fehlen von verlässlichen Daten sein kann, haben wir zuletzt in der Corona-Pandemie gemerkt. Für Daten aus vernetzten Produkten möchte die Europäische Kommission die Datenlage künftig für uns alle ändern. Dafür hat die EU-Kommission einen Vorschlag für ein Datengesetz vorgelegt: 2022/0047 (COD).

Das geplante Datengesetz soll vernetzte Produkte umfassen, das heißt alle Produkte, die selbst bestimmte Daten sammeln und mittels elektronischer Kommunikationsdienste übermitteln. Das sind Industrieroboter, vernetzte Haushaltsgeräte, Geräte zur elektronischen Gesundheitsüberwachung oder auch Fitness­uhren. Zukünftig werden viele weitere Produkte hinzukommen, unter anderem selbstfahrende Autos. Ausgenommen sind Geräte, bei denen die Daten vorrangig durch menschliche Eingabe entstehen, etwa Computer, Smartphones und Kameras.

Das Datengesetz richtet sich nicht auf personenbezogene Daten, sondern auf Gerätedaten. Es geht um Daten, die nicht von Menschen, sondern von Maschinen erzeugt oder erfasst werden. Diese Daten aus vernetzten Produkten sollen allen Nutzern kostenlos zur Verfügung stehen, die zur Erzeugung der Daten beigetragen haben. Nutzer können sowohl Unternehmen als auch natürliche Personen sein. Vernetzte Produkte müssen deshalb zukünftig so konzipiert sein, dass die entstandenen Daten leicht zugänglich sind. Verantwortlich dafür ist der Hersteller des vernetzten Produktes. Er muss nicht nur die technischen Möglichkeiten für den Zugriff auf die Daten schaffen (Schnittstelle), sondern die Daten auch so aufbereiten, dass sie von den Nutzern übernommen werden können. Produkthersteller sind außerdem verpflichtet, angemessene technische­ Sicherheitsmechanismen gegen unberechtigten Zugriff auf die Nutzungsdaten zu ergreifen und Geschäftsgeheimnisse der Nutzer zu schützen.

Zur Herstellung von Konkurrenzprodukten dürfen die erlangten Daten nicht genutzt werden. Was genau ein Konkurrenzprodukt ist, wird vom bisherigen Entwurf des Datengesetzes nicht geregelt. Das wird zukünftig zu interessanten Fragen bei der Abgrenzung zwischen erlaubtem und verbotenem Datengebrauch führen.

Nutzer sollen nicht nur ein Recht auf eigenen Zugriff auf die Gerätedaten haben. Sondern Produktnutzer können auch verlangen, dass die Daten Dritten zu fairen Bedingungen zugänglich gemacht werden. Dieses Weitergaberecht eröffnet Nutzern die Möglichkeit, die eigenen Nutzungsdaten kommerziell zu verwerten. Das könnte der Startschuss für einen ganz neuen Datenmarkt sein, an dem sich viele unterschiedliche Akteure beteiligen können: Den schon bislang aktiven Internetkonzernen können sich mit Hilfe des Datengesetzes zukünftig mittlere und kleine Unternehmen sowie Privatpersonen hinzugesellen. Intendiert ist, den Wettbewerb im Datenmarkt zu fördern und die europäische Datenwirtschaft anzukurbeln, die der Datenwirtschaft in den USA und in China hinterherhinkt.

Die schöne neue Datenwelt hat aber auch Schattenseiten. Das Datenzugriffsrecht der Nutzer geht mit dem Verlust der Datensouveränität der Produkthersteller einher. Es ist möglich, dass erhebliche Investitionen in Daten, die den Gebrauch von vernetzten Produkten verbessern, zukünftig verpuffen, weil die Nutzer und Dritte auf bestimmte Daten zugreifen können. Nicht nur Unternehmen und Privatpersonen sollen Zugang zu Daten erhalten. Im Falle eines außergewöhnlichen Bedarfes soll auch der öffentliche Sektor von der Zugangsregelung des Datengesetzes profitieren.

Ein solcher Bedarf kann zum Beispiel dann gegeben sein, wenn die Daten zur Reaktion auf einen Katas­trophenfall oder eine Pandemie aus Gemeinwohlgründen erforderlich sind. Öffentliche Stellen können an private Organisationen herantreten und den Zugang zu bestimmten Daten verlangen.

Vom Zugriff auf personenbezogene Daten sollen öffentliche Stellen wenn möglich Abstand nehmen. Eingeschränkt werden soll der Zugriff auf Daten durch große Plattformbetreiber mit dominierender Marktmacht, die im Entwurf für das Datengesetz als „Gatekeeper“ bezeichnet werden. Damit lehnt sich der Gesetzentwurf an das kürzlich in Kraft getretene Gesetz über Digitale Märkte an. Gatekeeper sollen nicht von den Regelungen des Datengesetzes profitieren. Sie sollen als Empfänger von Daten ausgeschlossen sein, selbst wenn sie an der Erzeugung der Daten beteiligt waren. Mit dieser Einschränkung möchte der EU-Gesetzgeber die gegenwärtigen Kräfteverhältnisse auf dem Datenmarkt ändern. Nach den Vorstellungen des EU-Gesetzgebers soll das Datengesetz auch kleineren Unternehmen die Möglichkeit geben, an Daten zu gelangen und diese für Innovationen zu nutzen.

Denkbar wäre, dass Gatekeeper die Daten über Dritte beziehen. Auch diesen Weg möchte der aktuelle Gesetzentwurf abschneiden. Nutzer, die Zugang zu Daten erhalten haben, dürfen Gatekeepern die Daten nicht zur Verfügung stellen. Gatekeeper dürfen auch keine Anreize für Nutzer schaffen, ihnen die Daten mittelbar auf anderen Wegen zugänglich zu machen. Ob und wie das in der Praxis funktioniert, bleibt abzuwarten.

Den Gegenpol zu den Regelungen für Gatekeeper bildet die Ausnahme für Klein- und Kleinstunternehmen. Als Nutzer von vernetzten Produkten können sie vom Datengesetz profitieren. Ihre eigenen Produkte müssen den Anforderungen des Datengesetzes jedoch nicht genügen.

Neben dem Zugriff auf Daten regelt das Datengesetz auch die Mitnahme von Daten beim Wechsel zwischen verschiedenen Cloud-Diensten und anderen Datenverarbeitungsdiensten. Die Anbieter von Cloud-und ähnlichen Diensten müssen (technische) Maßnahmen ergreifen, um den Datentransfer von einem Anbieter zum nächsten zu ermöglichen. Die Interoperabilität soll Nutzern den Wechsel zwischen verschiedenen Serviceanbietern erleichtern.

Das Datengesetz sieht außerdem vor, dass bei internationalen Datentransfers von den Serviceanbietern angemessene Maßnahmen getroffen werden, um den rechtswidrigen Zugriff von Nicht-EU-Staaten auf nichtpersonenbezogene Daten zu verhindern. Diese Regelung soll eine Lücke schließen, die die DSGVO bislang lässt.

Der Entwurf des Datengesetzes hat viele Diskussionen ausgelöst. Wie lange es dauern wird, bis eine Einigung gefunden ist, der Europäische Rat und das Parlament zugestimmt haben, ist offen. Der EU-Gesetzgeber rechnet momentan mit einem Inkrafttreten des Datengesetzes im Jahr 2024. Wenn es so weit ist, wird das Datengesetz unmittelbar in allen EU-Mitgliedstaaten gelten. Einer Umsetzung ins nationale Recht bedarf es nicht. Nach dem Inkrafttreten bekommen alle Beteiligten ein Jahr Schonfrist, bevor es ernst wird und bei Verstößen Bußgelder verhängt werden können. Der Entwurf des Datengesetzes stellt Bußgelder in ähnlicher Höhe wie die Datenschutzgrundverordnung in Aussicht. Das dürfte über kurz oder lang zu zahlreichen Bußgeldverfahren mit hohen Streitwerten führen.

Eine (weitere) Achillesferse des aktuellen Gesetzentwurfes ist die unzureichende Verzahnung mit der DSGVO. Hier sind viele Fragen offen.

In jedem Fall wird das Datengesetz zu mehr Aufwand für die Hersteller von vernetzten Produkten führen. Sie sollten sich jetzt schon auf das Datengesetz einstellen, selbst wenn das Gesetzgebungsverfahren noch einige Zeit in Anspruch nimmt. Die Entwickler von neuen vernetzten Produkten sollten das zukünftige Recht auf Datenzugang im Hinterkopf haben, wenn sie Produkte konzipieren und die Datenströme trennen.

*) Dr. Susan Kempe-Müller ist Rechtsanwältin und Partnerin bei Latham & Watkins in Frankfurt.