Die schwedische EU-Ratspräsidentschaft hat den fünften Kompromisstext zum Datengesetz in Umlauf gebracht, der EURACTIV vorliegt und die Möglichkeit einführt, Anträge auf gemeinsame Nutzung von Daten abzulehnen, wenn sie Gefahr laufen, schweren wirtschaftlichen Schaden zu verursachen.
Das Data Act ist eine Vorzeigegesetzgebung zur Regulierung der Portierung, des Zugriffs und der gemeinsamen Nutzung von Industriedaten. Das Europäische Parlament wird seine Position zu dem Dossier bis Mitte März formalisieren. Schweden, das den rotierenden Vorsitz im EU-Ministerrat innehat, strebt einen ähnlichen Zeitplan an, wobei der Text kurz vor der Fertigstellung steht.
Der Kompromiss wird am kommenden Dienstag (28. Februar) auf einer Sitzung der Telecom Working Party diskutiert, einem technischen Gremium des EU-Rates, das die Grundlage für die Ministerzustimmung im Gesetzgebungsverfahren bereitet.
Betriebsgeheimnisse
Das Datenschutzgesetz schreibt vor, dass die Benutzer vernetzter Geräte das Recht haben sollten, auf die Daten zuzugreifen, die sie zur Generierung beitragen, oder dieses Recht an Dritte zu delegieren, die die Daten zur Entwicklung eines neuen Dienstes verwenden könnten.
Eine solche Verpflichtung zur gemeinsamen Nutzung von Daten ließ seitens der Branche Bedenken aufkommen, dass sie Geschäftsgeheimnisse und sensible Geschäftsinformationen preisgeben könnte. Insbesondere hat die schwedische Ratspräsidentschaft die Möglichkeit eingeführt, dass die Organisation, die die Daten kontrolliert, einen Antrag auf Zugang ablehnen kann, wenn sie nachweisen kann, dass dies wahrscheinlich zu ernsthaften wirtschaftlichen Schäden führen wird.
Der Schaden würde trotz der technischen und organisatorischen Maßnahmen eintreten, die die empfangende natürliche oder juristische Person zum Schutz der Geschäftsgeheimnisse ergreifen würde.
„Im Ratsvorschlag hat ein Dateninhaber zahlreiche einseitige Vetopunkte, um Benutzer daran zu hindern, Daten von einem Produkt zu verwenden oder weiterzugeben, das sie besitzen und für das sie bezahlt haben. Das ist eine absurde Entwicklung und verwandelt das Data Act in ein Herstellerrecht auf Datenunterdrückung“, sagte MdEP Damian Boeselager gegenüber EURACTIV.
Finden die betroffenen Parteien keine Einigung, können sie den Fall vor eine Streitbeilegungsstelle bringen. Um einen Missbrauch der neuen Maßnahme zu vermeiden, muss die Streitbeilegungsstelle, wenn sie gegen die Dateninhaber entscheidet, diese auch die Rechtskosten und andere angemessene Ausgaben der Datenempfänger tragen.
Im Gegensatz dazu müssen die Datenempfänger nicht die Kosten der Dateninhaber tragen, wenn sie verlieren, es sei denn, die Streitbeilegungsstelle ist der Ansicht, dass sie „offensichtlich“ in böser Absicht gehandelt haben.
Gleichzeitig wurde der Umfang der von den Datenweitergabepflichten erfassten Datentypen reduziert, um Daten auszuschließen, die mit „spezifischem Know-how“ verarbeitet werden, um Erkenntnisse über das Produkt oder das Verbraucherverhalten zu gewinnen.
Entschädigung & Streitbeilegung
Das Datengesetz sieht vor, dass die Daten an Verbraucher kostenlos weitergegeben werden sollen (B2C), aber eine Entschädigung verlangt werden kann, wenn die empfangende Partei ein Unternehmen ist (B2B).
KMU sollten jedoch nicht mehr zahlen als die tatsächlichen Kosten für die Bereitstellung der Daten. Der neue Text weist darauf hin, dass die Kosten auf der Grundlage der Datenformatierung, -speicherung und -weitergabe sowie der in die Datenerfassung und -produktion getätigten Investitionen berechnet werden sollten.
Bei allen anderen B2B-Interaktionen kann der Dateninhaber eine Marge einschließen. Während frühere Fassungen des Ratstextes einen solchen Spielraum von der Verwendung der Daten durch den Datenempfänger abhängig machten, wurde dieser präskriptive Wortlaut entfernt, wodurch der Dateninhaber mehr Spielraum bei der Festlegung des Spielraums erhielt.
„Eine solche Entschädigung kann auch von der Menge, dem Format und der Art der Daten abhängen“, fügt der Text hinzu.
Die Verpflichtung für jedes EU-Land, zum Zeitpunkt des Inkrafttretens der neuen Verordnung mindestens eine Streitbeilegungsstelle auf seinem Staatsgebiet zu haben, wurde gestrichen.
Cloud-Switching
Das Datengesetz beabsichtigt auch, den Wettbewerb auf dem Cloud-Markt zu fördern, indem es die Bedingungen für den Wechsel von einem Cloud-Dienst zu einem anderen erleichtert. In diesem Zusammenhang sollten Cloud-Anbieter alle Wechsel- und Austrittsgebühren drei Jahre nach Inkrafttreten der Verordnung fallen lassen.
Ausgangsgebühren decken die Kosten für die Übertragung von Daten und gelten nicht als Wechselgebühr. Der Kompromisstext stellt nun die Möglichkeit klar, Vorfälligkeitsentschädigungen in die Vertragsgestaltung aufzunehmen, so dass diese ebenfalls nicht als Wechselentgelt anzusehen sind.
Die schwedische Ratspräsidentschaft hat die Verpflichtung eingeführt, solche Vorfälligkeitsentschädigungen und Austrittsgebühren ausdrücklich in den Verträgen anzugeben.
B2G-Datenzugriff
Der Gesetzentwurf enthält Bestimmungen, die es öffentlichen Stellen ermöglichen, unter bestimmten Umständen Industriedaten von Privatunternehmen anzufordern (Business-to-Government).
Die Behörde kann die erhaltenen Daten an Forscher und statistische Institute weiterleiten. Sobald die Daten nicht mehr erforderlich sind, muss die öffentliche Stelle sie löschen und den Dateninhaber und alle empfangenden Personen oder Organisationen informieren.
Wenn die öffentlichen Stellen Daten von jemandem mit Sitz in einem anderen EU-Land anfordern möchten, müssen sie die Anfrage an die zuständige Behörde dieses Landes richten. Die zuständige Behörde kann den Antrag aus hinreichend begründeten Gründen ablehnen, die die öffentlichen Stellen berücksichtigen müssen, wenn sie den Antrag erneut stellen.
Interoperabilität
Damit Daten ungehindert fließen können, enthält das Datenschutzgesetz die Festlegung verbindlicher technischer Standards und grundlegender Anforderungen, die die Interoperabilität zwischen verschiedenen Systemen und Unternehmen gewährleisten.
Das Verfahren zur Erstellung dieser technischen Standards wurde an der EU-Maschinenverordnung ausgerichtet.
Inkrafttreten
Die Frist für das Inkrafttreten der Verordnung wurde von 18 auf 24 Monate verlängert.
[Edited by Alice Taylor]