Die Datenstrategie der EU: Das Daten­recht als neues Rechts­ge­biet?

Es handelt sich um ein kühnes Regelwerk, das die Europäische Kommission am 23. Februar vorstellte: Einen Entwurf für den Data Act. Er zielt auf nicht weniger ab als eine grundlegende rechtliche Neuordnung von Datenzugang und Datennutzung.

Der Data Act steht dabei nicht allein, sondern ist Teil einer groß angelegten Datenstrategie der EU. Sie möchte vor allem die branchenübergreifende Nutzung von Daten fördern, dabei aber gleichzeitig Datenschutzstandards und Verbraucherrechte wahren. Das Datenrecht als neues Rechtsgebiet nimmt in diesem Spannungsfeld an Konturen an. Sowohl bereits verabschiedete Gesetze als auch in den Startlöchern stehende Vorhaben zählen dazu. Sie lassen sich anhand von fünf leitenden Zielen kategorisieren.

Die Förderung des Datenzugangs

Erstens zielt eine Reihe von Rechtsakten darauf ab, den Datenzugang zu fördern. Dazu gehört insbesondere die seit dem 28. Mai 2019 geltende Free-Flow-of-Data Verordnung, die den freien Verkehr nicht-personenbezogener Daten regelt. Das möchte der Gesetzgeber im Grundsatz durch ein Verbot von (nationalen) Datenlokalisierungsauflagen erreichen. Dabei handelt es sich um Vorgaben, die Anbieter verpflichten, Daten ausschließlich im Inland zu verarbeiten, wie z. B. die Speicherung von Verkehrsdaten gemäß § 176 Telekommunikationsgesetz.

Darüber hinaus beabsichtigt er mit der Public-Sector-Information Richtlinie, dass öffentliche Einrichtungen und Stellen Daten möglichst leicht und unentgeltlich Dritten zur Weiterverwendung zugänglich machen. Hierzulande ist die PSI-RL seit dem 23. Juli 2021 maßgeblich im Datennutzungsgesetz umgesetzt.

Der Schutz von Persönlichkeitsrechten

Das zweite Ziel des Datenrechts ist der Datenschutz.  Dieser soll die Persönlichkeitsrechte von Individuen schützen, die von zunehmend komplexen Datenverarbeitungen in der digitalen Welt betroffen sind.

Die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz regeln bekanntlich in strenger Weise die Anforderungen an eine Verarbeitung personenbezogener Daten. Bemerkenswert sind allerdings aktuelle Entwicklungen rund um das sog. "Private Enforcement": Ein Richtungswechsel in der Rechtsprechung animiert betroffene Personen zunehmend, bei Datenschutzverstößen immateriellen Schadensersatz geltend zu machen.

Weil Datenschutzverstöße oft eine Vielzahl von Personen gleichermaßen betreffen, wittern Rechtsdienstleister ein lukratives Geschäftsmodell, bei dem sie auf ihre Erfahrungen aus anderen Massenverfahren wie etwa zum Kartellschadensersatz, zur Diesel-Thematik und zum sog. Widerrufsjoker bei Verbraucherdarlehensverträgen zurückgreifen können. Das Private Enforcement verleiht dem Datenschutzrecht als Compliance-Thema nochmals mehr Gewicht.

Ferner regelt die nunmehr fast schon veraltete ePrivacy-Richtlinie bereichsspezifische Datenschutzvorgaben im Bereich elektronischer Kommunikation. Nach langem Hin und Her hat nun auch der deutsche Gesetzgeber die letzte Anpassung der ePrivacy-Richtlinie mit dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) vom 1. Dezember 2021 umgesetzt. Es führt bereichsspezifische datenschutzrechtliche Vorgaben für Telemedien- und Telekommunikationsdienste in einem neuen Stammgesetz zusammen. Darüber hinaus schafft es einen neuen Rechtsrahmen für den Einsatz von Cookies und anderen Trackingtechnologien.

Darauf aufbauend arbeitet der Gesetzgeber seit – zu – langer Zeit an einer weiteren datenschutzrechtlichen Vereinheitlichung des Binnenmarkts für den Bereich der elektronischen Kommunikation – und zwar in Gestalt der Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation (ePrivacy-VO). Die ePrivacy-VO soll die ePrivacy-Richtlinie ablösen und den Datenschutzrechtsrahmen für elektronische Kommunikation in der EU vereinheitlichen und aktualisieren. Der aktuelle Entwurf vom 10. Februar 2022 entstammt der Feder des Rats der Europäischen Union. Mit einer Verabschiedung ist frühestens im Lauf des Jahres 2022 zu rechnen.

Datenaustausch und Datennutzung

Drittens befinden sich auf europäischer Ebene zwei Rechtsakte auf der legislativen Zielgeraden, die für das Datenrecht besonders wichtig sein werden.

Zum einen arbeitet der Gesetzgeber derzeit an einer Verordnung über europäische Daten-Governance, dem Data Governance Act. Diese soll die Verfügbarkeit von Daten im Allgemeinen fördern und eine gemeinsame Datennutzung zwischen Unternehmen und dem öffentlichen Sektor erleichtern. Darüber hinaus möchte der Unionsgesetzgeber Anbieter von Diensten zur gemeinsamen Datennutzung (sog. Datenmittler) stärken. Der Data Governance Act soll noch im ersten Halbjahr 2022 verabschiedet werden.

Zum anderen hat die Kommission jüngst den bereits angesprochenen Entwurf für eine Verordnung zur Gewährleistung einer fairen Wertverteilung in der Datenwirtschaft vorgestellt, den Data Act. Auch dieser zielt darauf ab, den Zugang zu Daten und deren Nutzung zu fördern. Insbesondere sieht er vor, dass Nutzer Zugang zu nutzergenerierten Daten erhalten und öffentliche Stellen im Falle eines außergewöhnlichen Bedarfs, etwa bei Pandemien, auf Daten von Unternehmen zugreifen können. Im Bereich der Cloud-Dienste soll der Data Act zudem den Anbieterwechsel erleichtern und die Interoperabilität stärken.

Regulierung von Plattformen und KI

Außerdem befindet sich eine Reihe weiterer datenrelevanter Rechtsakte in Arbeit. Die im Dezember 2020 von der Kommission vorgeschlagene Verordnung über bestreitbare und faire Märkte im digitalen Sektor, der Digital Markets Act, wird besondere Vorgaben für zentrale Plattformdienste enthalten. Dazu soll die Pflicht gehören, unter bestimmten Voraussetzungen Dritten die Nutzung eigener Daten zu ermöglichen.

Die ebenfalls im Dezember 2020 vorgeschlagene Verordnung über einen Binnenmarkt für digitale Dienste, der Digital Services Act, komplementiert den Digital Markets Act. Datenrelevant ist er insoweit, als er etwa Nutzern weitere Rechte einräumen soll, gegen rechtswidrige Inhalte auf Plattformen vorzugehen.

Die im April 2021 vorgeschlagene Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz, der Artifical Intelligence Act, zielt darauf ab, einen einheitlichen Rechtsrahmen für die Entwicklung, Vermarktung und Verwendung künstlicher Intelligenz zu schaffen. Er enthält Regelungen auch zur Verwendung von Trainingsdaten, etwa einzuhaltende Qualitätskriterien.

IT- und Datensicherheit an der Seite des Datenrechts

Schließlich und fünftens steht dem Datenrecht im engeren Sinne das IT-Sicherheitsrecht zur Seite:

Zentrale Rechtsakte auf Unionsebene sind die NIS-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, die demnächst durch die NIS2-Richtlinie abgelöst werden soll, der Cybersecurity Act sowie künftig der Cyber Resilience Act.

Neben Regelungen in zahlreichen Einzelgesetzen ist auf deutscher Ebene vor allem das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, das BSI-Gesetz, maßgeblich. Es wurde jüngst durch das sog. IT-Sicherheitsgesetz 2.0 erheblich modifiziert und sieht nunmehr Bußgelder von bis zu zwei Millionen Euro vor, falls Betreiber kritischer Infrastrukturen ihren Pflichten nicht nachkommen.

Das Datenrecht: Ein Dickicht an Regeln

Es zeigt sich: Die regulatorische Komplexität in der Datenwirtschaft nimmt unter der Ägide des Datenrechts erheblich zu. Akteure müssen durch ein zunehmendes Dickicht datenregulatorischer Anforderungen navigieren und zahlreiche Compliance-Vorgaben erfüllen. Zudem ist fraglich, ob die mit den neuen Rechtsakten einhergehenden Regelungen zum Datenzugang, zum Datenaustausch und zur Datennutzung ihre Ziele werden erreichen können, obwohl sie den Regelungsgehalt der Datenschutz-Grundverordnung unberührt lassen sollen. Vielleicht wäre es gesetzgeberisch zielführender, die dortigen Beschränkungen und Pflichten an bestimmten Stellen mit Augenmaß zu reduzieren.

Im Übrigen lehren die praktischen Erfahrungen aus der Datenschutz-Grundverordnung, dass mit erheblich gestiegenen Compliance-Anforderungen über lange Zeit auch ein hohes Maß an Rechtsunsicherheit zur Auslegung neuer Rechtsbegriffe und der Abgrenzung der Rechtsakte zueinander einhergeht. Alle relevanten Akteure sind angehalten, die weiteren Entwicklungen genau im Auge zu behalten – wohl kaum eine Rechtsmaterie wird sich auf absehbare Zeit so dynamisch entwickeln wie das neue Datenrecht.

Der Autor Pascal Schumacher ist Rechtsanwalt und Associated Partner bei Noerr. Er ist auf moderne Technologien spezialisiert und arbeitet schwerpunktmäßig im Bereich des Datenschutzes. Zu seinen Mandanten zählen sowohl Industrieunternehmen als auch einige der erfolgreichsten Tech Start-ups Europas.

Die Autoren Dr. Max von Schönfeld und Dr. Marvin Bartels sind Rechtsanwälte und Associates bei Noerr. Sie beraten zu allen rechtlichen und strategischen Aspekten der Digitalisierung. Ihr Fokus liegt auf IT-rechtlichen und datenrechtlichen Themen sowie regulierten digitalen Geschäftsmodellen.