Gastbeitrag: Wem sollen Daten vernetzter Produkte gehören?
Am 23. Februar 2022 präsentierte die Europäische Kommission ihren Vorschlag für ein neues Datengesetz. Das Gesetz will u.a. die Ausschöpfung des wirtschaftlichen Wertes von Daten vorantreiben, die beim Einsatz vernetzter Produkte entstehen. Hierzu enthält es Grundregeln dazu, wem, wie und unter welchen Bedingungen Hersteller solcher Produkte Einsatzdaten zugänglich zu machen haben. Der Beitrag zeigt, dass bei etlichen Normen erheblicher Nachbesserungsbedarf besteht.
Foto: Univ.-Prof. Dr. Torsten J. Gerpott
Das Angebot von Produkten, die durch ihren Einsatz erzeugte Daten zumeist über das Internet
elektronisch an den Hersteller oder Dritte übertragen, also zum „Internet of Things“ extern
„connected“ sind, hat in den letzten Jahren rasant zugenommen. Verbraucher können vernetzte
Haushalts- und Gebäudetechnikgeräte, Autos, Fahrräder, Armbanduhren, Fitnesstrainer, Spielzeuge
oder sprachgesteuerte persönliche Assistenzsysteme wie Amazon Alexa oder Google
Home erwerben. Selbst Zahn- und Haarbürsten mit Internetanbindung zur Unterstützung bei der individualisiert optimierten Produktnutzung sind inzwischen verfügbar. Ähnlich ist
unter dem Schlagwort „Industrie 4.0“ die externe Vernetzung von technischen Systemen und
Werkzeugen z.B. in Funktionen wie Fertigung, Wartung und Logistik oder in Sektoren wie der
Verkehrs-, Energie-, Versicherungs-, Land- und Gesundheitswirtschaft merklich vorangeschritten.
Bis zum Jahr 2030 soll der wirtschaftliche Wert, der von mit Aktoren und Sensoren ausgestatteten
vernetzten Produkten weltweit erzeugt wird, nach einer Schätzung des McKinsey Global Institute auf 5,5 bis 12,6 Billionen US-Dollar von 0,7 bis 1,6 Billionen US-Dollar im Jahr 2020 zunehmen.
Wer verfügt über welche Nutzungsrechte?
Angesichts dieser Entwicklungen hat die Klärung der Frage, wer über welche Nutzungsrechte für Daten, die bei der Verwendung vernetzter Produkte aufgezeichnet werden, verfügen sollte, enorm an praktischer Bedeutung gewonnen. In Betracht kommen neben Herstellern solcher Produkte deren Nutzer und von Letzteren beauftragte spezialisierte Drittparteien, die auf Basis von Einsatzdaten verbesserte eigene Leistungen (z.B. Expressreparaturen, fahrstilabhängige Pkw-Versicherungstarife) kommerzialisieren. Bisher behindert die Sorge, durch eine Gewährung von Datenzugang ohne eindeutige Nutzungsgrenzen für die Empfänger Wettbewerbsnachteile zu erleiden, gegen Datenschutzrechte der Nutzer oder gegen Rechte anderer Datengeber zu verstoßen, die Entstehung einer prosperierenden Datenwirtschaft in Deutschland und der EU. Um europaweit harmonisiert diese rechtlichen Unsicherheiten zu beseitigen, veröffentlichte die Europäische Kommission am 23. Februar den Entwurf eines Datengesetzes (Data Act, (DA-E)). Das Gesetz, das nach Zustimmung durch das Europäische Parlament und den Europäischen Rat ein Jahr nach seinem Inkrafttreten ohne Anpassungen auf nationaler Ebene in allen EU-Staaten angewendet werden soll, enthält in seinen Abschnitten II bis IV elf Artikel, die Grundregeln dazu aufstellen, wem und wie Hersteller vernetzter Produkte und damit verbundener Services Nutzungsdaten zugänglich zu machen haben.
Regeln zur Steuerung von Datenzugang und -nutzung
Der DA-E sieht in Art. 3 Abs. 2 in Verbindung mit Art. 7 Abs. 1 vor, dass Hersteller vernetzter Produkte, die mindestens 50 Mitarbeiter und einen Jahresumsatz oder eine Jahresbilanzsumme von mehr als 10 Mio. Euro haben, potenzielle Nutzer ihrer Angebote schon bei Abschluss eines Kauf-, Miet- oder Leasingvertrags umfassend über die geplante Einsatzdatenerhebung einschließlich der Wege, um die von ihnen erzeugten Daten Dritten zur Verfügung zu stellen, informieren müssen. Außerdem haben gemäß Art. 4 Abs. 1 Hersteller gespeicherte Produktverwendungsdaten (z.B. Reifenabnutzungsgrad eines Pkw) Nutzern auf deren Anfrage unverzüglich und unentgeltlich elektronisch zugänglich zu machen. Nutzer dürfen Hersteller dazu anhalten, ihre Einsatzdaten direkt an Dritte zur Weiterverarbeitung zu transferieren (Art. 5 Abs. 1). Datenempfangende Dritte sollen mit pflichtunterworfenen Herstellern Zugangsverträge zu „fairen, angemessenen und nicht diskriminierenden Bedingungen“ (Art. 8 Abs. 1) schließen. Sofern es sich bei dem Datenempfänger nicht um ein Großunternehmen handelt, schützt der DAE ihn gegen einseitig vom Datenbesitzer auferlegte Vertragsbedingungen dadurch, dass er in Art. 13 Abs. 3 und 4 eine Liste von Klauseln angibt (z.B. Begrenzung der Haftung des Datenbesitzers bei bewusstem oder fahrlässigem Fehlverhalten), die stets oder möglicherweise verboten sind.
Als Großunternehmen klassifiziert der DA-E Unternehmen mit mindestens 250 Beschäftigten und einem Jahresumsatz von mehr als 50 Mio. Euro oder einer Jahresbilanzsumme von mehr als 43 Mio. Euro (Art. 13 Abs. 1). Datenabgebende Hersteller dürfen mit Dritten gemäß Art. 9 ein angemessenes Entgelt für den Zugang vertraglich vereinbaren. Bei der Wahl von Dritten schränkt Art. 5 Abs. 2 Nutzer allerdings insofern ein, als dass Betreiber sehr großer Online-Plattformen (= gemäß Art. 3 des Digital Markets Act Entwurfs der Kommission vom 15.12.2020 als Gatekeeper eingestufte Unternehmen wie Google, Amazon, Facebook oder Apple), nicht mit Einsatzdaten von Produkten anderer Hersteller versorgt werden dürfen. Die Kommission erhebt den Anspruch mit den skizzierten Zugangsinterventionen Fairness bei der Verteilung des wirtschaftlichen Wertes von Einsatzdaten vernetzter Produkte sicherzustellen und so einen bedeutsamen Beitrag zur Entwicklung einer europäischen Datenwirtschaft zu leisten. Dieses Selbstlob ist überzogen, da der Gesetzesvorschlag nicht nur Schwächen im Detail, sondern fundamentale Defizite auf mindestens fünf Feldern aufweist.
Lücke bei digitalen Produkten
Erstens werden durch den DA-E rein digitale Produkte nicht erfasst (vgl. Art. 2 Nr. 2–4). Das Gesetz greift nur für materielle Waren mit digitalen Komponenten, unabhängig davon, ob die Komponenten für die Funktionserfüllung der Produkte unverzichtbar sind (vgl. als relevante deutsche Vorschrift § 327a Abs. 3 S. 1 BGB, sowie mit ihnen verbundene Dienste (z.B. vernetzter Kaffeeautomat mit Nachbestellungsservice).
Nicht eingeschlossen sind Datenzugang und -nutzung bei digitalen Inhalten oder Dienstleistungen, die keine Hardware beinhalten (vgl. als relevante deutsche Norm § 327 Abs. 1–2 BGB). Hierzu gehören etwa Musik- und Videostreaming/-downloads, Informationsdienste in den Bereichen Finanzen, Verkehr, Gesundheit und Energieverbrauch sowie cloudbasierte Software. Beispielsweise müsste Deezer seinen Abonnenten oder von ihnen ermächtigten Dritten keine Daten zu Verfügung stellen, die über Musikvorlieben der Nutzer erhoben wurden. Diese Einschränkung des Geltungsumfangs im DA-E sollte aufgegeben werden.
Keine Verbesserung der Rechtssicherheit
Zweitens wird der DA-E allenfalls zu einer marginalen Steigerung der Rechtssicherheit beim Zugang führen, weil das Regelwerk an vielen Stellen mit abstrakten, nicht eindeutig zu interpretierenden Rechtsbegriffen arbeitet. Beispielsweise bleibt in Art. 3 Abs. 1 unklar, wann ein Produkt so designt ist, dass eine „leichte Zugänglichkeit“ von Einsatzdaten für Produktnutzer gegeben ist. Ähnlich unscharf gibt Art. 4 Abs. 3 vor, dass Hersteller Geschäftsgeheimnisse Nutzern durch Datenzugang nur zu offenbaren haben, wenn Letztere „sämtliche spezifischen Maßnahmen“ zu deren Schutz insbesondere gegenüber Dritten getroffen haben. Hier lässt sich trefflich debattieren, ob im konkreten Fall diese Auflage erfüllt ist.
Art. 9 bleibt praktisch brauchbare Hilfestellungen für die Kalkulation kostenorientierter Entgelte, die Hersteller von Dritten für den Datenzugang fordern können (s.u.), schuldig. Ebenso vage verweist Art. 11 Abs. 2 auf die missbräuchliche Ausnutzung offensichtlicher Lücken in der technischen Infrastruktur, die Hersteller zum Schutz von Nutzungsdaten errichtet haben, durch Dritte zum Zweck der Datenerlangung ohne auf konkrete technische Spezifikationen zurückzugreifen.
Weiter muss der Versuch mit Art. 13 Abs. 2–4, Rechtssicherheit durch eine auf Daten empfangende kleine und mittelgroße Unternehmen anzuwendende „black list“ bzw. „grey list“ von Zugangsvertragsbedingungen, die immer bzw. vermutlich als unfair und deswegen verboten einzustufen sind, als gescheitert gewertet werden. Diese Listen sind zu allgemein und auslegungsbedürftig, als dass sie als stabile Leitplanken dienen könnten. Die Aufzählung der inhaltsarmen Generalklauseln im DA-E kann man leicht auf eine dreistellige Zahl von Positionen erweitern. Solche Vorschriften beseitigen rechtliche Unsicherheiten nicht, weil sie zu gerichtlichen Auseinandersetzungen geradezu einladen. Deshalb sollte der DA-E so überarbeitet werden, dass er wesentlich präziser (technische) Bedingungen des Datenzugangs und der Datennutzung vorgibt.
In gleicher Weise ist es wichtig, in das Gesetz Empfehlungen zu Musterklauseln für entsprechende Verträge aufzunehmen, die Datengebern und -nehmern helfen, eine faire Verteilung von Rechten und Pflichten zu vereinbaren, anstatt mit Art. 34 solche Prototypen außerhalb des Gesetzes in das Gutdünken der Kommission zu stellen.
Zu wenig Anreize
Drittens schafft der DA-E keine ausreichenden Anreize für Hersteller, ihre Produkte zu vernetzen, und für Nutzer, ihre Einsatzdaten an Dritte weiterzugeben. Art. 9 Abs. 2 in Verbindung mit den Erwägungsgründen 42, 44 und 45 zwingt Hersteller vernetzter Produkte Nutzungsdaten an Dritte, die kein Großunternehmen (s.o.) sind, zu einem Preis abzugeben, der die direkten Zugangskosten nicht überschreiten darf. Bei diesen Empfängern können Hersteller keine Gewinne aus dem Datenzugang erzielen. Da 99,4 Prozent der Unternehmen in Deutschland keine Großunternehmen sind, macht es der nicht an weitere Bedingungen geknüpfte Preisdeckel für Hersteller weniger attraktiv, vernetzte Produkte zu entwickeln.
Für die Forcierung digitaler Geschäftsfelder hilfreicher wäre es, wenn der DA nicht nur Preisobergrenzen erzwingen, sondern außerdem sämtliche gewerbsmäßig tätigen Datenempfänger unabhängig von ihrer Größe dazu verpflichten würde, Hersteller an den Gewinnen teilhaben zu lassen, die von Ersteren aufgrund der Einsatzdaten erzielt werden. Ebenso fehlt es im DA-E an Kompensationsrechten für Nutzer vernetzter Produkte. Man setzt darauf, dass Nutzer von ihnen erzeugte Daten weitgehend selbstlos spenden, damit Dritte bessere Angebote vermarkten können. Zwar ist nicht ausgeschlossen, dass Nutzer von diesen Verbesserungen über niedrigere Preise und höhere Qualität der Produkte und Dienste der Weiterverwerter von Daten auch Vorteile haben. Es darf stark bezweifelt werden, dass allein dies als Anreiz zur wesentlich intensiveren Wahrnehmung eigener Zugangsrechte ausreicht. Folglich sollte der DA Datenweiterverwerter dazu anhalten, Nutzer analog zu Herstellern finanziell angemessen an ihren Zusatzgewinnen aus dem Datenzugang zu beteiligen.
Jenseits finanzieller Vorteile lassen sich Hersteller- bzw. Nutzeranreize zum Angebot bzw. zur Nachfrage vernetzter Produkte dadurch zu steigern, dass Gatekeeper nicht ohne jegliche Möglichkeit zur Einzelfallprüfung der Situation auf dem Markt für bestimmte Einsatzdaten apodiktisch als Empfänger der Daten ausgeschlossen werden. Dieses pauschale Vorgehen in Art. 5 Abs. 2 lässt außer Acht, dass es Situationen auf Datenmärkten geben kann, in denen ein Datenzugang für Gatekeeper die einzige Option ist, dass Hersteller und Nutzer von der Datenweiterverwertung durch einen Dritten profitieren können, weil keine hinreichend leistungsfähigen alternativen Drittparteien für zusätzliche Verwertungen vorhanden sind. Deshalb sollte der DA – ähnlich wie deutsche Kartellrechtsvorschriften (§19, §19a und §20 GWB) – es den zuständigen Aufsichtsbehörden ermöglichen, auf sachlichen begründeten Antrag von Gatekeepern hin Letzteren Ausnahmen vom Datenzugangsverbot zu genehmigen.
Scheintransparenz
Viertens baut der DA-E für Nutzer vernetzter Produkte die Transparenz bezüglich der gesammelten Einsatzdaten durch vorvertragliche Informationsauflagen für Hersteller in Art. 3 Abs. 2 de facto nicht genügend aus, weil sie – wie schon die Datenschutzrichtlinie für die elektronische Kommunikation und die Datenschutz-Grundverordnung – dazu führen, dass durchschnittliche Nutzer aufgrund der Fülle der Angaben sie nicht mehr kritisch durchdringen.
Deswegen sollte der DA-E durch Vorschriften zur Einführung von Zertifikaten, die sich Hersteller freiwillig im Hinblick auf die Konformität von bei der Produktnutzung gesammelten Daten mit den Interessen der Nutzer erteilen lassen können, oder zu vergleichbaren softwaregestützten Verfahren, die von vertrauenswürdigen Instanzen zur Verfügung gestellt werden können, erweitert werden. Die Kommission kann sich diesbezüglich prinzipiell an § 26 des deutschen Telekommunikation- Telemedien-Datenschutz-Gesetzes ein Beispiel nehmen.
Unzureichende Wege zur Rechtsdurchsetzung
Fünftens fehlt es dem DA-E an Durchschlagskraft, weil er nur stiefmütterlich Möglichkeiten für Nutzer, Hersteller und Dritte schafft, mit dem Gesetz eingeräumte Rechte, rasch und mit niedrigen Kosten praktisch durchzusetzen. Zwar sieht der DA-E in Art. 10 hierfür staatlich geprüfte außergerichtliche Institutionen zur Streitbeilegung als vermeintlich „einfache, schnelle und niedrige Kosten verursachende Lösung“ (Erwägungsgrund 48) vor, die Entscheidungen innerhalb von 90 Tagen treffen und von mindestens einer Behörde in den Mitgliedsstaaten der EU überwacht werden sollen. Es fehlen aber ausreichend konkrete Normen, die eine entsprechende Ressourcenausstattung dieser Institutionen und Behörden auf nationaler Ebene sicherstellen.
Weiter sagt der Entwurf mit Ausnahme des Diskriminierungsverbots bei Zugangsverträgen (Art. 8 Abs. 3) und des Fairnesstests für Vertragsklauseln, die jeweils für kleine und mittelgroße Datenempfänger gelten sollen (Art. 13 Abs. 5), nichts dazu, ob derjenige, der eine Rechtsverletzung behauptet oder derjenige, der sich mit dem Vorwurf eines Verstoßes gegen das Gesetz konfrontiert sieht, im Streitfall die Beweislast tragen soll. Solche Beweislastregeln (z.B. bei potenziellen Verletzungen von Geschäftsgeheimnissen) haben aber große Bedeutung für die praktische Rechtsdurchsetzung. Es ist deshalb notwendig, sie auszuweiten.
Resümee
Alles in allem beruht der DA-E auf der Annahme, dass es sinnvoll ist, branchenübergreifende Grundregeln für den Zugang und die Nutzung von Daten zu schaffen, die von Besitzern vernetzter Produkte bei deren Verwendung mehr oder minder bewusst erzeugt werden. Deshalb muss er naturgemäß an vielen Stellen inhaltsarm bleiben. Es ist deshalb unwahrscheinlich, dass eine horizontale Regulierungsstrategie der beste Weg zur Forcierung der Datenwirtschaft in der EU sein könnte. Viel spricht dafür, dass stattdessen branchenbezogene, vertikale Zugangs- und Nutzungsrechte, -pflichten und -anreize, wie es sie beispielsweise schon in der Automobilindustrie gibt, wirksamer sein dürften. Es ist aber unrealistisch davon auszugehen, dass auf EU-Ebene Parlament und Rat die DA-Initiative der Kommission versanden lassen werden.
Umso unverständlicher ist es, dass die derzeitigen Regierungsparteien in ihrem Koalitionsvertrag vom 24.11.2021 auf Seite 17 noch vollmundig ein nationales Datengesetz für Deutschland in Aussicht stellen. Für ein solches Gesetz lässt der DA-E keinen Raum. Viel wichtiger ist es, dass sich die Vertreter Deutschlands zumindest die aufgezeigten fundamentalen Schwächen des Kommissionsvorschlags zu reduzieren. Hierfür besteht angesichts dessen, dass der bevorstehende legislative Prozess, der aufgrund der Komplexität und des Streitpotenzials der Materie nicht vor 2025 in eine Gesetzesanwendung in der EU münden dürfte, hinreichend Zeit. Man darf gespannt sein, inwiefern deutsche Politiker diese Chance nutzen wollen und können.
Zur Person
Univ.-Prof. Dr. Torsten J. Gerpott leitet den Lehrstuhl für Unternehmens- und Technologieplanung an der Mercator School of Management Duisburg der Universität Duisburg-Essen.