12/2022 – Fachartikel Swiss Infosec AG
Im digitalen Zeitalter gehören Daten zu den wichtigsten Ressourcen. Die EU-Kommission ist der Ansicht, dass über alle Sektoren und Branchen hinweg die meisten Unternehmen nicht den vollen Wert oder das Potenzial dieser Daten ausschöpfen. Die steigende Anzahl von vernetzten Produkten (engl. «Internet of Things») führt zu einer noch grösseren Datenmenge und existierende Rechtsvorschriften wie die EU-Datenschutz-Grundverordnung («EU-DSGVO») befassen sich nur damit, wie «personenbezogene Daten» zu behandeln sind. Es fehlen jedoch Rechtsvorschriften dazu, was Unternehmen und Nutzer tatsächlich mit den generierten Daten bzw. Sachdaten tun dürfen.
Aus diesem Grund hat die EU-Kommission im Februar 2022 ihren Entwurf für ein EU-Datengesetz («E-DG») veröffentlicht, das den Zugang zu sowie die Nutzung von im Europäischen Wirtschaftsraum («EWR») erzeugten Daten[1] regelt, die bei der Verwendung von vernetzten Produkten entstehen. Damit soll der Datenmarkt wettbewerbsfähiger, fairer und innovativer gestaltet werden. Was das für Unternehmen bedeutet und welche Pflichten sie einzuhalten haben, fassen wir hier zusammen.
Was soll mit dem E-DG erreicht werden?
Es regelt den Umgang mit Nutzungsdaten von Einzelpersonen und Unternehmen, die bei der Verwendung von vernetzten Produkten und Diensten entstehen (z.B. Diagnosedaten). Demgegenüber fallen Daten, die der Hersteller oder Anbieter selber generiert (z.B. berechnet, erstellt, ableitet), nicht unter das E-DG. Hersteller müssen ihre vernetzten Produkte und Dienste so gestalten, dass Nutzer unkompliziert auf die erzeugten Daten zugreifen können und die Möglichkeit haben, die Daten Dritten zur Verfügung zu stellen. Damit sollen die Betroffenen mehr Kontrolle über ihre Daten erhalten.
Zudem soll das E-DG anderen Unternehmen ermöglichen, auf der Basis solcher Daten eigene Dienste und neue Geschäftsmodelle aufzubauen. Ferner sollen diese Daten auch zur Entwicklung und Verbesserung anderer digitaler Dienste und in Bereichen des Verkehrs- oder Unfallsektors genutzt werden können.
Sind Schweizer Unternehmen davon betroffen?
Das E-DG hat wie die EU-DSGVO extraterritoriale Wirkung und betrifft damit auch Schweizer Unternehmen, die vernetzte Produkte oder Dienste auf dem EWR-Markt anbieten (z.B. Fahrzeuge oder Haushaltsgeräte, die Daten erzeugen und diese elektronisch übermitteln). Anbieter von Cloud-Diensten und verbundenen Diensten, einschliesslich Software, die für die Nutzung der vernetzten Produkte erforderlich sind, fallen auch in den Anwendungsbereich des E-DG, nicht aber Produkte wie Tablets, Webcams oder Smartphones, die vorrangig nur Inhalte darstellen oder übertragen.
Verlieren Unternehmen die Kontrolle über die von ihren Produkten erzeugten Daten?
Die Unternehmen können die Daten weiterhin selber nutzen und erhalten eine angemessene Entschädigung für die Kosten, die durch von Nutzern veranlasste Datenweitergaben an Dritte entstehen. Gleichzeitig dürfen die bereitgestellten Daten nicht dafür verwendet werden, direkte Konkurrenzprodukte zu erstellen, sondern sie sollen es Dritten insbesondere ermöglichen, neue und innovative Produkte oder verbundene Dienste zu entwickeln.
Die wichtigsten Eckpunkte im E-DG
1. Verbot missbräuchlicher Vertragsklauseln gegenüber KMU
- Klauselkontrolle: Um die Verhandlungsmacht von Kleinstunternehmen sowie kleinen und mittleren Unternehmen («KMU») zu stärken, hat die EU-Kommission eine Klauselkontrolle im Bereich «Business-to-Business» zu Gunsten solcher Unternehmen eingeführt. Diese beschneide zwar die Vertragsfreiheit, rechtfertige sich aber aufgrund der schwächeren Verhandlungsposition dieser Unternehmen gegenüber grossen Playern.
- Allgemeine Geschäftsbedingungen («AGB»): Die EU-Kommission erklärt Klauseln, welche die Haftung in AGB für «Vorsatz» oder «grobe Fahrlässigkeit» ausschliessen oder beschränken, für unzulässig. Eine solche Beschränkung ist im Schweizer Markt bereits heute nichtig.
- Mustervertragsbedingungen: Die EU-Kommission plant die Erarbeitung von Mustervertragsbedingungen. Diese sollen insbesondere Kleinstunternehmen und KMU helfen, «faire Verträge über die gemeinsame Datennutzung abzufassen und auszuhandeln».
2. Zugangsrecht zu Daten
- «Vorvertragliche Informationspflichten»: Damit Nutzer einen einfachen Zugang zu den Daten haben, führt das E-DG «vorvertragliche Informationspflichten» ein. Diese gesetzlichen Mindestinformationen sind den Nutzern vorab in einem klaren und verständlichen Format bereitzustellen und umfassen unter anderem Art und Umfang der durch die Nutzung des Produkts/verbundenen Dienstes erzeugten Daten, eine Erläuterung, wie auf die Daten zugegriffen werden kann und Informationen hinsichtlich Datenweitergaben. Kleinst- und Kleinunternehmen sind grundsätzlich von dieser Informationspflicht befreit.
- «Datenportabilität»: Der Nutzer hat ein Anrecht auf die im Rahmen der Nutzung erzeugten Daten (ggf. durchgehend und in Echtzeit). Er kann die Daten zudem direkt einem Dritten zur Verfügung stellen lassen, damit er z.B. Reparaturen und Wartungen seiner vernetzten Produkte kostengünstiger veranlassen kann. Damit entfällt der urheberrechtliche Schutz für Datenbanken, die Daten von vernetzten Produkten enthalten.
3. Pflichten des Cloud-Providers bei einem Wechsel
- Beseitigung von Hindernissen: Abbau von wirtschaftlichen, technischen, vertraglichen und organisatorischen Hürden für einen Wechsel des Cloud-Providers (z.B. dreissigtägige Kündigungsfrist, Datenportabilität).
- Vertragsbedingungen: Ausdrückliche vertragliche Bestimmung zugunsten des Kunden für den Wechsel des Anbieters und die Spezifizierung der Pflichten des Cloud-Providers (Übertragung von Daten, Anwendungen etc.).
- Technische Aspekte: Einhaltung von festgelegten technischen Interoperabilitäts-Standards;
- Auslandsbekanntgaben: Geeignete Massnahmen gegen die grenzüberschreitende Offenlegung von Daten (v.a. gegenüber ausländischen Behörden), falls diese gegen EU-Recht oder das Recht eines Mitgliedstaates verstösst.
4. Zugangsrecht für Behörden
Gemäss E-DG bekommen Behörden unter besonderen Umständen (z.B. bei Naturkatastrophen, Pandemien) und soweit anders nicht verfügbar, die Mittel für den Zugang und die Möglichkeit zur Nutzung von Daten, die im Privatbesitz sind. Behörden müssen ein solches Datenverlangen unter anderem in einer klaren und verständlichen Sprache formulieren, die aussergewöhnliche Notwendigkeit nachweisen und die Rechtsgrundlage angeben. Kleinst- und Kleinunternehmen sind von dieser Herausgabepflicht befreit.
Sanktionen, Fristen und Ausblick
Jeder EU-Mitgliedstaat ernennt eine oder mehrere zuständige Behörden, die für die Bearbeitung von Beschwerden sowie für die Anwendung und Durchsetzung des E-DG verantwortlich ist. Verstösse werden mit Verwaltungs- und Geldstrafen geahndet. Da Mitgliedstaaten die Sanktionen festlegen, gibt es einen deutlichen Spielraum für Unterschiede und Unsicherheiten beim Durchsetzungsrisiko innerhalb der EU. Sind zudem Personendaten betroffen, hat eine Verletzung bestimmter Pflichten des E-DG zur Folge, dass die Datenschutzbehörden der jeweiligen Mitgliedsstaaten Geldstrafen von bis zu EUR 20’000’000.- oder 4% des weltweit erzielten Jahresumsatzes sprechen können. Das E-DG verweist in seinen Sanktionsbestimmungen auf den entsprechenden Bussenrahmen der EU-DSGVO. Das E-DG sieht auch vor, dass Streitigkeiten zwischen Dateninhabern und Datenempfängern durch zertifizierte Streitbeilegungsstellen beigelegt werden können. Das EU-Parlament hat den Text des E-DG angenommen. Er muss nun vom EU-Rat formell angenommen werden, bevor er im Amtsblatt publiziert und in Kraft treten kann.
5. Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) zum E-DG
In einer gemeinsamen Stellungnahme haben der EDSA und EDSB ihre Bedenken zum E-DG geäussert, da er zu einer Verringerung des Schutzes der Privatsphäre und der Rechte der Betroffenen führe. Entsprechend haben sie einige Verbesserungsvorschläge geäussert, wie die Festlegung von Verwendungseinschränkungen von Daten für Zwecke wie Werbung oder Mitarbeiterüberwachung, oder die Präzisierung der Anforderungen unter welchen Behörden im Falle von besonderen Umständen Zugang zu Daten erhalten.
[1] Das E-DG versteht unter Daten «jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material», vgl. Art. 2 Ziffer 1 E-DG.
Gerne beantworten wir Ihre Fragen oder helfen Ihnen bei der Umsetzung interner Prozesse, sobald der E-DG angenommen wurde.
Swiss Infosec AG; 01.12.2022
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch