Das neue EU-Datengesetz für Sachdaten
Fachbeitrag Datenschutz
Im digitalen Zeitalter gehören Daten zu den wichtigsten Ressourcen. Die EU-Kommission ist der Ansicht, dass über alle Sektoren und Branchen hinweg die meisten Unternehmen nicht den vollen Wert oder das Potenzial dieser Daten ausschöpfen. Die steigende Anzahl von vernetzten Produkten (engl. «Internet of Things») führt zu einer noch grösseren Datenmenge und existierende Rechtsvorschriften wie die EU-Datenschutz-Grundverordnung («EU-DSGVO») befassen sich nur damit, wie «personenbezogene Daten» zu behandeln sind. Es fehlen jedoch Rechtsvorschriften dazu, was Unternehmen und Nutzer tatsächlich mit den generierten Daten bzw. Sachdaten tun dürfen.
Aus diesem Grund hat die EU-Kommission im Februar 2022 ihren Entwurf für ein EU-Datengesetz («E-DG») veröffentlicht, das den Zugang zu sowie die Nutzung von im Europäischen Wirtschaftsraum («EWR») erzeugten Daten[1] regelt, die bei der Verwendung von vernetzten Produkten entstehen. Damit soll der Datenmarkt wettbewerbsfähiger, fairer und innovativer gestaltet werden. Was das für Unternehmen bedeutet und welche Pflichten sie einzuhalten haben, fassen wir hier zusammen.
Was soll mit dem E-DG erreicht werden?
Es regelt den Umgang mit Nutzungsdaten von Einzelpersonen und Unternehmen, die bei der Verwendung von vernetzten Produkten und Diensten entstehen (z.B. Diagnosedaten). Demgegenüber fallen Daten, die der Hersteller oder Anbieter selber generiert (z.B. berechnet, erstellt, ableitet), nicht unter das E-DG. Hersteller müssen ihre vernetzten Produkte und Dienste so gestalten, dass Nutzer unkompliziert auf die erzeugten Daten zugreifen können und die Möglichkeit haben, die Daten Dritten zur Verfügung zu stellen. Damit sollen die Betroffenen mehr Kontrolle über ihre Daten erhalten.
Zudem soll das E-DG anderen Unternehmen ermöglichen, auf der Basis solcher Daten eigene Dienste und neue Geschäftsmodelle aufzubauen. Ferner sollen diese Daten auch zur Entwicklung und Verbesserung anderer digitaler Dienste und in Bereichen des Verkehrs- oder Unfallsektors genutzt werden können.
Sind Schweizer Unternehmen davon betroffen?
Das E-DG hat wie die EU-DSGVO extraterritoriale Wirkung und betrifft damit auch Schweizer Unternehmen, die vernetzte Produkte oder Dienste auf dem EWR-Markt anbieten (z.B. Fahrzeuge oder Haushaltsgeräte, die Daten erzeugen und diese elektronisch übermitteln). Anbieter von Cloud-Diensten und verbundenen Diensten, einschliesslich Software, die für die Nutzung der vernetzten Produkte erforderlich sind, fallen auch in den Anwendungsbereich des E-DG, nicht aber Produkte wie Tablets, Webcams oder Smartphones, die vorrangig nur Inhalte darstellen oder übertragen.
Verlieren Unternehmen die Kontrolle über die von ihren Produkten erzeugten Daten?
Die Unternehmen können die Daten weiterhin selber nutzen und erhalten eine angemessene Entschädigung für die Kosten, die durch von Nutzern veranlasste Datenweitergaben an Dritte entstehen. Gleichzeitig dürfen die bereitgestellten Daten nicht dafür verwendet werden, direkte Konkurrenzprodukte zu erstellen, sondern sie sollen es Dritten insbesondere ermöglichen, neue und innovative Produkte oder verbundene Dienste zu entwickeln.
Die wichtigsten Eckpunkte im E-DG
1. Verbot missbräuchlicher Vertragsklauseln gegenüber KMU
2. Zugangsrecht zu Daten
Empfohlen von LinkedIn
3. Pflichten des Cloud-Providers bei einem Wechsel
4. Zugangsrecht für Behörden
Gemäss E-DG bekommen Behörden unter besonderen Umständen (z.B. bei Naturkatastrophen, Pandemien) und soweit anders nicht verfügbar, die Mittel für den Zugang und die Möglichkeit zur Nutzung von Daten, die im Privatbesitz sind. Behörden müssen ein solches Datenverlangen unter anderem in einer klaren und verständlichen Sprache formulieren, die aussergewöhnliche Notwendigkeit nachweisen und die Rechtsgrundlage angeben. Kleinst- und Kleinunternehmen sind von dieser Herausgabepflicht befreit.
Sanktionen, Fristen und Ausblick
Jeder EU-Mitgliedstaat ernennt eine oder mehrere zuständige Behörden, die für die Bearbeitung von Beschwerden sowie für die Anwendung und Durchsetzung des E-DG verantwortlich ist. Verstösse werden mit Verwaltungs- und Geldstrafen geahndet. Da Mitgliedstaaten die Sanktionen festlegen, gibt es einen deutlichen Spielraum für Unterschiede und Unsicherheiten beim Durchsetzungsrisiko innerhalb der EU. Sind zudem Personendaten betroffen, hat eine Verletzung bestimmter Pflichten des E-DG zur Folge, dass die Datenschutzbehörden der jeweiligen Mitgliedsstaaten Geldstrafen von bis zu EUR 20’000’000.- oder 4% des weltweit erzielten Jahresumsatzes sprechen können. Das E-DG verweist in seinen Sanktionsbestimmungen auf den entsprechenden Bussenrahmen der EU-DSGVO. Das E-DG sieht auch vor, dass Streitigkeiten zwischen Dateninhabern und Datenempfängern durch zertifizierte Streitbeilegungsstellen beigelegt werden können. Das EU-Parlament hat den Text des E-DG angenommen. Er muss nun vom EU-Rat formell angenommen werden, bevor er im Amtsblatt publiziert und in Kraft treten kann.
5. Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und des Europäischen Datenschutzbeauftragten (EDSB) zum E-DG
In einer gemeinsamen Stellungnahme haben der EDSA und EDSB ihre Bedenken zum E-DG geäussert, da er zu einer Verringerung des Schutzes der Privatsphäre und der Rechte der Betroffenen führe. Entsprechend haben sie einige Verbesserungsvorschläge geäussert, wie die Festlegung von Verwendungseinschränkungen von Daten für Zwecke wie Werbung oder Mitarbeiterüberwachung, oder die Präzisierung der Anforderungen unter welchen Behörden im Falle von besonderen Umständen Zugang zu Daten erhalten.
[1] Das E-DG versteht unter Daten «jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material», vgl. Art. 2 Ziffer 1 E-DG.
Gerne beantworten wir Ihre Fragen oder helfen Ihnen bei der Umsetzung interner Prozesse, sobald der E-DG angenommen wurde.
Kompetenzzentrum Datenschutz & IT-Recht,
+41 41 984 12 12, infosec@infosec.ch