Im Interview spricht Axel Anderl, Managing Partner der Rechtsanwaltskanzlei DORDA, über Chancen und problematische Auswirkungen des EU Data Act in der Geschäftspraxis für heimische Unternehmen. Ferner erklärt er die Unterschiede im Rechtsansatz zur DSGVO und dem EU AI Act und hat schließlich auch Handlungsempfehlungen parat. [...]
Einerseits befürworten europäische Unternehmen Regulierung, andererseits warnen sie vor Überregulierung und Wettbewerbsverzerrung. Wie beurteilen Sie das im Hinblick auf den EU Data Act?
Ich verstehe die Warner sehr gut. Es kommen immer mehr Gesetzesakte in kürzeren Abständen. Die gesamte Gesellschaft ist damit überfordert, nicht nur die Unternehmen. Es spricht Bände, wenn zum Beispiel die Europäische Kommission scheitert, einen DSGVO-konformen Vertrag mit Microsoft auszuhandeln und sich dann über die praktischen Hürden der DSGVO wundert oder Österreich bei der Umsetzung von mehr als 120 EU-Rechtsakten säumig ist. Es entsteht seit gut zwei Jahrzehnten der Eindruck, dass die Europäische Union erfolglos versucht, durch Regulierung die schon damals bestehende Digitalisierungslücke zu den USA, neuerdings auch zu China, zu schließen. Am Ende hat sie aber durch die Selbstbeschränkungen für europäische Unternehmen genau das Gegenteil erreicht.
Wobei man die diversen Gesetzesakte unterschiedlich bewerten muss: Die DSGVO beispielsweise ist sehr formalistisch und wird vom EuGH zunehmend weit als Konsumentenschutzrecht statt zur Durchsetzung des Schutzes des Datenschutzrechts der Betroffenen ausgelegt. Die Folge ist überbordende Bürokratie und die Aushebelung anderer Rechtsvorschriften wie Beweislastregelungen im Zivilverfahren durch sachfremde (Massen-)Auskunftsbegehren. Das führt zu einem Gängelungsinstrument, dass findige Konsumenten gerne gegenüber der Behörde und Unternehmen einsetzen. Der AI Act dagegen setzt sehr stark auf den risk based approach und ist damit weniger innovationshemmend. Allerdings stellt sich auch hier die Frage, ob man nicht zuerst die Industrie hätte aufbauen sollen, um überhaupt heimische Unternehmen zum Regulieren zu haben.
Der Data Act folgt einer sehr guten Intention. Er soll die Nutzung der großen, zu 80 Prozent brachliegenden user generated Datensammlungen ermöglichen. Salomonisch, aber kritisch ist aber der Ansatz, den Nutzer in den Mittelpunkt der Berechtigungsvergabe des Datenzugangs zu stellen. Die Frage ist, ob er damit nicht überfordert ist und der Datenpool dann wie gewünscht großflächig innovativ genutzt werden kann. Kritisch ist zudem wiederum die Qualität des Regelungswerkes. Zahlreiche schwammige Bestimmungen sind auslegungsbedürftig. Abstimmungsthemen etwa zur DSGVO fehlen bzw. sind schlecht gelöst. Das zentrale Beispiel: Der Dateninhaber ist verpflichtet, die Daten auf Wunsch des Nutzers an ihn oder einen von ihm benannten Dritten herauszugeben. So weit so gut. Sind personenbezogene Daten betroffen, gilt der Data Act aber nicht als Rechtsgrundlage für den Datentransfer, sondern es bedarf einer separaten Rechtfertigung. Das halte ich für einen Schildbürgerstreich mit potentiellen, unnötigen Haftungsfolgen für das Unternehmen. Es muss herausgeben, hat aber keine unmittelbare, sichere Rechtsgrundlage. Praxistipp: Eine Anonymisierung der Daten hilft aus der Patsche, dann ist die DSGVO nicht mehr anwendbar.
Die juristische Seite ist das eine, die fachliche das andere. Oft verwässern schwammige fachliche Definitionen den juristisch guten Ansatz bzw. juristische Formulierungen scheitern an fehlendem Fachwissen (siehe EU AI Act). Stimmen Sie dieser Aussage zu und gilt diese Ihrer Meinung nach auch für den EU Data Act?
Im Ergebnis ja – siehe auch oben. Die Frage ist aber die Ursache. Die sehe ich eher im umfassenden, oft sehr langen Abstimmungsprozess sowie in der Lobbyarbeit. Am Ende kommt regelmäßig ein verwaschener Kompromiss heraus. Und wenn man sich überhaupt nicht einigen kann, die nächste Informationspflicht statt einer inhaltlichen Regelung. Wenn man als Unternehmen alle Informationspflichten einhält, führt das mittlerweile zu mehr Verwirrung, als es Klarheit bringt. Die Marktgegenseite sieht den Wald vor lauter Bäumen nicht (information overload). Dazu kommt, dass die Regulierung in den letzten Jahren immer technikspezifischer wird. Das veraltet aber sehr rasch. Bei abstrakten, auf das Problem statt dem technischen Mittel fokussierenden Regelungen passiert das nicht – schlag nach beim österreichischen ABGB, das seit 1. 1. 1812 in Kraft und immer noch sehr frisch ist.
Was bedeutet der EU Data Act für österreichische Unternehmen?
Sowohl eine Chance auf Innovation durch Zugriff auf einen schlummernden, bislang monopolisierten Datenschatz und einen Aufwand in der Umsetzung gleichermaßen. Ich denke, dass gerade kleine und mittlere Betriebe sehr profitieren können, da sie so neue Geschäftsmodelle umsetzen können. Große Betriebe werden mehr mit der Ermöglichung des Datenzugriffs und der Umsetzung der schwammigen Rahmenbedingungen beschäftigt sein.
Wenn sie das vernetzte Produkt hergestellt oder konzipiert haben, sind sie von den Pflichten zur Bereitstellung von Daten bei vernetzten Geräten ausgenommen. Das betrifft Betriebe mit weniger als 50 Mitarbeitern oder einem Jahresumsatz und einer Jahresbilanzsumme von unter 10 Millionen Euro. Das klingt zunächst nach einer klaren Entlastung für die kleinen Marktteilnehmer – tatsächlich aber darf man die Ausnahmen nicht isoliert betrachten: Eine etwaige Konzernzugehörigkeit ist zu berücksichtigen. Die Regelung zielt also darauf ab, wirklich nur unabhängige Kleinunternehmen zu schützen und eine Umgehung durch rechtlich verbundene Unternehmen zu verhindern. Auch findet die Ausnahme keine Anwendung, wenn das Kleinunternehmen als Unterauftragnehmer beauftragt wurde. Dann ist nämlich der Auftragnehmer in der Lage, das Kleinunternehmen angemessen zu entschädigen.
Anders sieht es beim Wechselrecht zwischen Cloud-basierten Datenverarbeitungsdiensten aus: Hier greift keine Größenbegrenzung, es gibt keine Erleichterung für kleine Unternehmen. Wer also Cloud-basiert Daten verwaltet, muss sich auch als Kleinunternehmen auf dieselben Pflichten einstellen wie große Anbieter.
Benachteiligen die Umsetzungskosten nicht wieder nicht so große europäische Firmen im Gegensatz zu großen US-Firmen? Was ist für heimische Unternehmen zu tun?
Hier muss man rechtliche und faktische Aspekte trennen: US-Unternehmen müssen die Vorgaben einhalten, wenn sie vernetzte Produkte in der EU vertreiben oder verbundene Dienste anbieten. Heimische Unternehmen können ihnen gegenüber also als Nutzer Datenzugang verlangen und diese Informationen nutzen, um zum Beispiel neue Dienste zu entwickeln. Dazu muss das US-Unternehmen in der EU auch greifbar sein. Ohne eine Niederlassung ist es das aber faktisch nicht. Viele Cloud-Anbieter agieren schon jetzt rein aus dem Ausland, ohne sich jemals physisch in Europa niederzulassen. Da gehen die Verpflichtungen bzw. die Durchsetzungsmöglichkeiten gegen US-Unternehmen faktisch ins Leere. So gesehen haben große heimische Unternehmen einen Wettbewerbsnachteil.
Problematisch ist auch, dass sich auch EU-ausländische Unternehmen auf den Data Act berufen können und so Daten beziehen, während es in die umgekehrte Richtung nur eingeschränkt geht. Hier gibt es gewisse Vorkehrungen und Grenzen: Torwächter (also sehr marktmächtige Unternehmen nach dem Digital Markets Act) haben keinen Datenzugang. Generell kann der Datenzugang auch dann verweigert werden, wenn der Schutz von Betriebs- und Geschäftsgeheimnissen in Drittländern nicht gewährleistet ist. Ob diese Maßnahmen greifen, bleibt abzuwarten. Faktisch wird es hier zumindest im Graubereich zu einem Abfluss und einer faktischen Benachteiligung von EU-Unternehmen kommen.
Ist der EU Data Act ohne digitale Souveränität überhaupt sinnvoll umsetzbar?
Das Problem der fehlenden digitalen Souveränität verfolgt uns auf allen Ebenen. Ohne dieser bleibt es bei der digitalen und damit (nicht nur) wirtschaftlichen Abhängigkeit von Europa. Mit jedem weiterten Gesetz, auf das sich EU-Ausländer gleichermaßen berufen können, ohne selbst effektiv gebunden zu sein bzw. mit dem Europa seine Unternehmen im Vergleich zur globalen Konkurrenz beschränkt, wird das Ungleichgewicht und damit die Abhängigkeit größer. In dem Rahmen profitieren gewisse EU-ausländische Unternehmen gegebenenfalls mehr vom Data Act, als heimische, da sie nur nehmen und nicht effektiv geben müssen.
Was müssen Unternehmen jetzt tun? Wie sehen Sie die Weiterentwicklung des Data Acts und welche Expertise bringt DORDA ein?
Im ersten Schritt erfolgt die Bestandsanalyse: Zu prüfen ist, ob und für welche Produkte und Dienste der Data Act relevant ist. Gibt es Anwendungsbereiche, sind vor allem vertragliche Anpassungen in den eigenen Kundenverträgen erforderlich – und zwar sowohl für den Datenzugang bei vernetzten Produkten als auch bei Cloud-basierten Datenverarbeitungsdiensten. Ohne einen eigenen Annex zum Vertrag geht es praktisch nicht. Der Data Act verlangt nämlich eine Vielzahl ausdrücklicher vertraglicher Regelungen, die den Datenzugang und den Datentransfer verbindlich festlegen. Ergänzend sind Informationsquellen einzurichten und zu pflegen, etwa ein Online-Register zu Datenstrukturen und Formaten. Zwar sieht der Data Act unverbindliche Mustervertragsklauseln der Kommission vor. Bislang gibt es aber nur Entwürfe, die umfassend überarbeitet werden müssen. Hier schließt sich der Kreis zur ersten Frage …
DORDA unterstützt Unternehmen sowohl bei der initialen Betroffenheitsanalyse als auch bei der praktischen Umsetzung, um die Anforderungen des EU Data Act strukturiert abzubilden und damit Haftungsrisiken zu reduzieren.
Be the first to comment