RECHT kurz: Der Heuking Podcast mit Tischler & Petermann Cover

Recht Kurz

Dr. Marcus Georg Tischler & Tim Petermann

Since 04/2020 58 Episoden

Folge054: EU Digitalrecht – Data Act

19.09.2024 11 min

Zusammenfassung & Show Notes

In unserer fünften Folge zum EU-Digitalrecht und damit insgesamt Folge 054 dreht sich alles um den Data Act, durch den die Datenlandschaft Europas neu gestaltet wird. Erfahren Sie gemeinsam mit Tischler und Petermann, was das für Unternehmen und Verbraucher bedeutet. Dr. Hans Markus Wulf erläutert „RECHT kurz“ und messerscharf.

Transkript

Tim

00:00:21

Moin und herzlich willkommen bei Recht kurz. Moin Markus.

Marcus

00:00:25

Hi Tim, grüß dich. Grüß dich. Wir sind nicht allein.

Tim

00:00:28

Wir sind nicht allein. Bei uns ist wieder einmal Dr. Hans-Markus Wulff, IT-Anwalt und Datenschutzrechtler, der uns heute, wie er uns vor zwei Wochen versprochen hat, aufschlaut zum Thema Data Act. Hallo Markus.

Dr. Hans Markus Wulf

00:00:47

Ja, vielen Dank. Danke für die Einladung nochmal. Wir hatten vielleicht zur Einleitung nochmal vier Bereiche im EU-Digitalrecht, die in den nächsten Jahren kommen. Erster Bereich KI, zweiter Bereich Informationssicherheit, da ist NIS II und Cyber Resilience Act und DORA mit drin. Dann gibt es den Bereich Online-Dienste, Digitale Dienste Plattform, das ist der Digital Services Act und einige andere Verordnungen. Und der vierte Bereich ist eben das Datenrecht. Und es ist tatsächlich ein Rechtsgebiet, was jetzt auch als Gattungsbegriff zunehmend Verwendung findet. Juwe zum Beispiel, der Branchendienst in der Rechtsberatung, hat bisher eigentlich bei den Rankings Datenschutz als eigenen Bereich gehabt. Hat sie jetzt nicht mehr. Die nennen das jetzt Datenrecht. Warum? Weil das Thema Datenschutz tatsächlich eine Unterkategorie wird in einem größeren Rechtsgebiet, nämlich um die Frage, was ist eigentlich mit den Daten, die bei jedem Unternehmen immer mehr anfallen, weil die Digitalisierung natürlich greift und was machen wir eigentlich mit denjenigen, die einen riesengroßen Vorteil haben, zum Beispiel Google oder Amazon oder Co., die ja wahnsinnige Milliarden von Daten ansammeln und dadurch Geschäftsmittel aufbauen, das natürlich auch ordentlich monetarisieren und ordentlich dann noch Geld verdienen mit sogar Werbung. Und die Daten haben wir natürlich nicht rausgeben. Warum sollen sie es machen? Die haben ja investiert in diese Bereiche und haben jetzt wahnsinnige Datenbestände. Aber es gibt auch andere große Dateninhaber, wie das jetzt genannt wird nach dem neuen Data Act, die wahnsinnige Datenbestände dadurch ansammeln, dass sie smarte Produkte verkaufen. Also Kühlschrank oder ein Rasenmäher oder ein Staubsauger oder eine Smartwatch oder ein Smartphone, die verkaufen vergnetzte Produkte, die werden automatisch mit dem Internet verbunden über Mobilfunk und hauen permanent Daten auf die Plattform drauf. Aber die Plattformen sind geschlossen, natürlich nur der Dateninhaber, also der Anbieter, der Hersteller, der verwaltet. Ja. Und jetzt kommt die EU-Kommission und sagt, okay, wir haben vor ein paar Jahren die EU-Digitalstrategie, also IT-Digitalstrategie, und die ist dann dahingehend ausgerechnet, dass gesagt wird, okay, wie können wir das ungefähr machen, dass wir das Ganze mal in einen Rechtsrahmen bringen und zwar einheitlich, bestenfalls durch die EU-Verordnung, dass überall das gleiche Recht herrscht. Und im Datenrecht ist es der Data Act, der dann tatsächlich sagt, okay, wir müssen mal dieses Datenmonopol aufbrechen. Wir müssen mal dafür sorgen, dass diese großen Inhaber der Daten auch ihren Nutzern die Daten zur Verfügung stellen und dass die vielleicht sogar auch was damit machen. Vielleicht sogar einem Datenhändler weitergeben, damit die daraus ein Geschäftsmodell machen, dass die Forschungseinrichtungen von diesen Daten profitieren, damit die Gesellschaft sozusagen mit den Daten auch umgehen kann. Der Data Act, der ist auch schon längere Zeit da. Umsetzungsfrist greift momentan und läuft ab am 12.09.25. Für Unternehmen, die also Datenbestände haben von ihren Nutzern, wir reden also von Datenbeständen von Nutzern, die müssen das Ganze dann entsprechend umgesetzt werden.

Tim

00:03:40

Ja, wenn du gerade von den großen Playern gesprochen hast, die sitzen doch in der Regel nicht in der EU. Wie kriege ich die denn da zu fassen letztlich? Kommt es darauf an, wo die Daten letztlich liegen de facto oder wo die Unternehmen ihren Sitz haben oder lachen die sich kaputt, weil wir uns hier große Verpflichtungen selbst auferlegen und an die da gar nicht rankommen dann letztlich?

Dr. Hans Markus Wulf

00:04:05

Also die Antwort lässt sich mit einem Wort eigentlich geben, das nennt sich Marktortprinzip.

Tim

00:04:11

Aha.

Dr. Hans Markus Wulf

00:04:12

Das bedeutet, ein Unternehmen, das für sich entscheidet, wir bieten unsere Leistung an, innerhalb der EU, sitzen aber auf den Cayman Islands oder in Australien oder USA oder wo auch immer, die lassen sich dann darauf ein. Das ist das erstmalige so richtig groß Publik geworden bei der DSGVO. Ähnliches Prinzip. Wir entscheiden als US-Anbieter, wir gehen an den europäischen Markt. Ist ja ein riesengroßer Markt, ist ja ein großes Geld zu verdienen. Aber in dem Moment, wo wir uns mit den Angeboten an die EU-Bürger richten, in dem Moment greift die DSGVO. Und in dem Moment, wo die nicht entsprechend DSGVO-konform arbeiten, in dem Moment gibt es Bußgelder. Und da ist natürlich die Frage, wie vollstreckt man diese Bußgelder? Also in dem Moment, wo man eine Plattform hätte, die sich richtet an die EU-Bürger, in dem Moment würde man sagen, okay, dann schalten wir die Plattform hier in Europa ab. Dann lassen wir sie einfach nicht mehr durch. Das wäre das Case. In der Regel haben die aber Standorte. Also Google oder Amazon oder so, die setzen sich dann in Irland fest oder Apple und dann sind die entsprechend dort und können natürlich auch Bußgelder geben. Und es gibt auch Bußgelder. Also bei DSGVO gab es einen Bußgeld gegen Google für 50 Millionen. Deswegen, die sitzen zwar ganz weit weg, wollen aber in Europa Geschäft machen, haben häufig auch Niederlassungen und Standorte und die kann man dann entsprechend greifen. Und so ist es beim Data Act auch. Deswegen also, wir haben beim Data Act jetzt zwei Bereiche, die relevant werden. Einmal der Bereich, wir brechen das Datenmonopol auf. Wir haben also Ansprüche der Nutzer gegen die entsprechenden Hersteller der smarten Produkte, die diese Daten rausgeben müssen. Also wie können wir das sozusagen anspruchsmäßig gestalten und in dem Moment, wo der Nutzer sagt, ich will das aber alles selbst nicht machen, ist mir zu aufwendig, ich will das lieber abgeben an jemanden, der das für mich macht, also einen Datenhändler, der nennt sich dann Datenempfänger, Der kann auch sagen, okay, lieber Nutzer, ich gehe in die Werbung zum Beispiel, ich gehe in die Zeitung, in die Öffentlichkeit und sage, kommt zu mir, wenn ihr jetzt die und die smarten Produkte habt, eure Daten liegen in der Cloud und wir haben dann einen direkten Anspruch als Nutzer gegen den Datenhersteller und ich bekomme eine Vollmacht als Unternehmen, gehe an den Nutzer ran, lasse mir eine Vollmacht geben, gehe dann direkt an den Dateninhaber ran, also den Hersteller und sage, gib mir alle Daten raus. Das ist der typische Fall. Und die können dann mit den Daten machen, was sie wollen. Die können sie dann verkaufen, die können sie möglicherweise den Nutzer auch beteiligen. Also dieses Aufbrechen des Datenmonopols, das findet auf der einen Seite statt. Der zweite Teil des Data Acts ist, dass man sagt, wie können denn die Datenbestände übergehen auf einen anderen Anbieter. Und dann sagt der alte Anbieter, kriegst du nicht die Daten, die sind bei mir. Dann greife ich die Karte Data Act und sage, hier, Bußgelder bis zu 20 Millionen, kann ich gerne melden. Oder du gibst mir die Daten, aber nicht an mich, sondern an den neuen Anbieter, weil ich habe erst das Produkt von dem gekauft. Das ist sozusagen diese Datenverarbeitungsdienst, Artikel 23 fortfolgende. Das ist der zweite Teil des Data Act. Wie müssen die arbeiten, was haben die für entsprechende Regelungen, damit man dort entsprechend umgehen kann. Also, wenn man Dateninhaber ist, man hat eine Plattform, man bietet seinen Nutzern, seinen Kunden seine eigene Plattform an, um dort Daten einzustellen und dann möglicherweise sich auszutauschen, Leistungen in Anspruch zu nehmen, dann ist die Frage, was sind die Pflichten? Da sind also geregelt in Artikel 3 und 4 und auch 8. Man muss also eine Konzeption machen, welche Daten haben wir eigentlich, in welchem Format liegen die, an welcher Stelle, wie können wir möglichst schnell diese Daten rausgeben, wenn die Anforderungen kommen. Wir müssen den Nutzer informieren, Achtung, wir sind Dateninhaber, du hast unser smartes Produkt und jetzt geben wir dir die Information, was du machen musst, wenn du diese Daten raushaben willst. Dann muss der Datenzugang auch gewährleistet werden, bestenfalls Download. Ich logge mich als Nutzer ein und lade meine Sachen runter. Wenn das nicht möglich ist, muss ich die auch herausgeben auf einem anderen Weg. Ich muss den Datenschutz einhalten. Unter bestimmten Umständen, Geheimhaltung und so weiter, kann ich diese Datenherausgabe auch verhindern als Dateninhaber. Und ich muss entsprechend einen Vertragsschluss durchführen, obwohl ich es gar nicht will, mit dem Unternehmen, das bevollmächtigt wurde von meinem Nutzer. Das ist eine komplett neue Konstellation. Also das sind so ein bisschen die wesentlichen Pflichten für den Dateninhaber. Und der letzte Teil, die Datenverarbeitungsdienste, was muss ich tun als Unternehmen, dass jetzt dem Nutzer die Gelegenheit geben muss, zu einem anderen Produkt zu wechseln und der ganze Datenbestand soll mitgehen. Da muss ich entsprechend technisch-organisatorische Maßnahmen treffen, ich muss darüber informieren, was er genau machen muss, bestenfalls eine Funktion auf der Webseite zur Verfügung stellen, ich muss die entsprechenden Schnittstellen bereitstellen, Formate bereitstellen, ich muss einen einfachen Anbieterwechsel gewährleisten, Mitwirkungspflichten, also da ist sozusagen in diesem Bereich eine ganze Menge Musik drin. Aber insgesamt beim Data Act, wir haben ja noch jetzt ein bisschen mehr als ein Jahr Zeit, die Mandanten kommen so langsam und sagen, wir haben hier tatsächlich bei uns jetzt schon Projekte, wo wir versuchen, unsere Datenbestände umzugestalten, dass wir relativ auf Knopfdruck, relativ schnell in der Lage sind, alle Nutzerdaten rauszugeben. Ja, da sind wir dabei. Da ist immer die Frage, wie weit geht es, wie weit kann man verweigern, was sind die Anforderungen für die Geheimhaltung, wo haben wir jetzt Rückbehaltungsrechte. Aber das wird in Zukunft noch viel, viel stärker sein, weil die Unternehmen mit einer eigenen Plattform natürlich wahnsinnig daran gelegen ist, diese Bußgelder zu vermeiden, die irgendwann kommen, ne.

Marcus

00:09:10

Und wie schnell muss ich sowas herausgeben? Also unverzüglich?

Dr. Hans Markus Wulf

00:09:13

Ja, da gibt es gewisse Fristen. Unverzüglichkeit, aber das weiß ich jetzt nicht ganz genau, ob das vielleicht eine ganz konkrete Vorgabe ist, aber es ist häufig eine Parallele zu DSGVO. In dem Moment, wo man Daten, personenbezogene Daten rausgeben muss, greift grundsätzlich beim Auskunftsrecht zum Beispiel jetzt auch die Monatsfrist. Das ist etwas, was wir merken häufig bei der Beratung, dass wir den Herausgabeansprüchen und bei den sonstigen Ansprüchen der Data Act so ein bisschen konform läuft zu DSGVO. oh, man kann da zurückgreifen. Es gab übrigens ein Datenübertragungsrecht, auch vorher schon, wo man das in Anspruch hatte, zur Datenübertragung auf andere Anbieter. Aber das bezog sich eben nur auf personenbezogene Daten. Und der Data Act, der geht eben auch auf die nicht personenbezogene Daten über.

Tim

00:09:51

Hast du noch Fragen, Markus?

Marcus

00:09:53

Nee.

Tim

00:09:54

Also dann...

Marcus

00:09:55

Haben wir es für heute wieder.

Tim

00:09:56

Haben wir es für heute. Es war wirklich... Fülle an Informationen und man merkt, man hat sich damit ordentlich auseinandergesetzt. Ich muss es mir gleich nochmal anhören.

Marcus

00:10:08

Wir haben ja auch noch ein letztes Thema dann in zwei Wochen.

Tim

00:10:11

Was machen wir in zwei Wochen?

Dr. Hans Markus Wulf

00:10:12

Digital Services Act, wenn ihr möchtet.

Marcus

00:10:15

Hört sich gut an.

Dr. Hans Markus Wulf

00:10:16

Da geht es auch um Plattformen.

Tim

00:10:17

Auf jeden Fall. Vielen Dank, Markus.

Marcus

00:10:20

Geht für euch beide. Tschüss.

2024 - Dr. Marcus Georg Tischler & Tim Petermann

Hosted by LetsCast.fm
Deinen eigenen Podcast erstellen