Der Data Act (DA) zielt bekanntlich darauf ab, den Zugang zu und die Nutzung von Daten in der EU durch klare rechtliche Rahmenbedingungen zu regeln – dabei werden einige spezifische Regelungen zu Software getroffen, die bislang im öffentlichen Diskurs untergehen. Wobei der Data Act speziell bei den Regeln zum Cloud Switching alle Unternehmen betrifft, es gibt hier keine Ausnahme für KMU!
So fokussiert sich der Data Act zum einen auf Datenportabilität, Interoperabilität und die Förderung eines fairen Wettbewerbs, was reflexartig spürbare Auswirkungen auf Softwareentwicklung und Softwareangebote hat, vornehmlich in Bereichen wie Software-as-a-Service (SaaS) und Cloud-Computing. Daneben werden ausdrückliche Regelungen zu Smart Contracts getroffen. Und Cybercrime kommt auch nicht zu kurz.
Förderung von Interoperabilität
Artikel 24 und Erwägungsgrund 80 des Data Act regeln Anforderungen an Interoperabilität, speziell für Anbieter von Cloud- und Edge-Diensten sowie SaaS-Lösungen. Ziel ist es, technische und rechtliche Hürden für das „Switching Cloud Providers“ zu beseitigen:
- Technische Interoperabilität: Entwickler müssen sicherstellen, dass ihre Software-Architekturen offene Standards unterstützen. Dies erfordert Änderungen in der Infrastruktur, um Datenübertragbarkeit und nahtlose Integration mit anderen Plattformen zu ermöglichen.
- Standardisierung: Es wird erwartet, dass sich einheitliche Schnittstellen (APIs) durchsetzen, die standardisierte Datenformate für die Portabilität gewährleisten. Dies könnte Entwickler zwingen, bestehende proprietäre Systeme zu überarbeiten.
Zugang zu Daten und Datennutzung
Der Data Act schafft Rechte für Nutzer, Daten, die durch IoT-Geräte generiert werden, zu exportieren und sie an Drittparteien weiterzugeben (Artikel 4-6). Diese Bestimmungen fördern die Entstehung von Sekundärmärkten und eröffnen neue Möglichkeiten für datengetriebene Geschäftsmodelle:
- Neue Anwendungsbereiche: Entwickler können verstärkt datengetriebene Softwarelösungen erstellen, die Analysen und Optimierungen auf Basis von IoT-Daten ermöglichen.
- Herausforderungen bei der Datensicherheit: Softwareanbieter müssen robustere Sicherheitsmechanismen implementieren, um den Anforderungen an Datenintegrität und Vertraulichkeit zu genügen, insbesondere bei der Weitergabe an Drittanbieter.
Cloud-Anbieter und SaaS
Die Regelungen zur Datenportabilität adressieren Cloud-Provider direkt. Softwareentwickler müssen dies bei der Entwicklung von SaaS-Angeboten berücksichtigen:
- Verpflichtung zur Datenportabilität: Anbieter müssen sicherstellen, dass Kunden ihre Daten in standardisierten Formaten exportieren und zu anderen Plattformen migrieren können. Absehbar wird das eine verstärkte Entwicklung von Export- und Import-Funktionen in SaaS-Produkten erfordern – wobei es hier keine Ausnahme für Klein(st)-Unternehmen gibt! Diese Anforderung gilt damit für jeden Anbieter von SaaS-Lösungen.
- Wettbewerbsvorteile durch Interoperabilität: Anbieter, die benutzerfreundliche und kosteneffiziente Migrationstools entwickeln, können sich im Markt hervorheben.
Vertragsrechtliche Aspekte
Der Data Act führt neue Regelungen ein, die Missbrauch durch unfaire Vertragsklauseln in B2B-Datennutzungsverträgen verhindern sollen (Artikel 13). Für Softwareunternehmen bedeutet dies:
- Anpassung der Verträge: Standardverträge müssen angepasst werden, um den Anforderungen an Transparenz und Fairness zu entsprechen. Beispielsweise dürfen Nutzungsrechte an Daten nicht unverhältnismäßig eingeschränkt werden.
- Flexibilität bei Lizenzmodellen: Anbieter sollten prüfen, wie flexible Lizenzmodelle entwickelt werden können, die den neuen rechtlichen Anforderungen gerecht werden.
Artikel 13 Absätze 2 bis 4 des Data Act regeln dabei eine zukünftig anzustellende Klauselkontrolle in Verträgen über den Zugang zu und die Nutzung von Daten, um den Schutz der schwächeren Vertragspartei – häufig kleinerer Unternehmen – zu gewährleisten. Die Regelungen sind darauf ausgelegt, unfaire Vertragsklauseln im Verhältnis zwischen wirtschaftlich ungleichen Parteien zu verhindern, insbesondere in Business-to-Business (B2B)-Beziehungen, in denen oft ein Machtgefälle besteht. Diese Prüfung ergänzt die schon bestehende AGB-Prüfung nach dem bekannten Muster!
In Absatz 2 wird eine Generalklausel eingeführt, auf die Artikel 13 Absatz 3 mit einer Blacklist folgt, mit der Vertragsklauseln, die eine unangemessene Beschränkung der Rechte der schwächeren Partei enthalten, für nichtig erklärt werden können. Dies betrifft beispielsweise Klauseln, die den Zugang zu Daten übermäßig einschränken oder den schwächeren Vertragspartner in seiner Fähigkeit behindern, die bereitgestellten Daten wirtschaftlich zu nutzen. Das Ziel dieser Regelung ist es, einen fairen und ausgewogenen Datenaustausch zu fördern und die Marktteilnehmer vor einseitigen Bedingungen zu schützen.
Artikel 13 Absatz 4 erweitert diese Schutzmechanismen und führt eine Art Grundsatz-Inhaltskontrolle ein, die auf Transparenz und Fairness abzielt. Der Data Act sieht vor, dass bestimmte Klauseln einer spezifischen Prüfung unterzogen werden können, um festzustellen, ob sie im Einklang mit den Grundprinzipien der Fairness stehen. Dabei werden insbesondere die wirtschaftlichen Auswirkungen und die Angemessenheit der Vertragsbedingungen berücksichtigt. Diese Bestimmung dient dazu, sicherzustellen, dass Verträge nicht dazu genutzt werden, die schwächere Partei unzulässig zu benachteiligen.
Schließlich regelt Artikel 13 Absatz 5 die Beweislast im Rahmen der Klauselkontrolle. Hier wird festgelegt, dass die Partei, die sich auf die Rechtmäßigkeit der fraglichen Klauseln beruft, nachweisen muss, dass diese angemessen und verhältnismäßig sind. Diese Umkehr der Beweislast soll die Position der schwächeren Vertragspartei stärken, indem sie verhindert, dass diese durch die rechtliche Durchsetzung ihrer Ansprüche unverhältnismäßig belastet wird.
Smart Contracts
Der Data Act widmet sich in Art. 36 DA auch der Regelung von Smart Contracts, die eine zentrale Rolle in der automatisierten Verarbeitung und Übertragung von Daten spielen.
Diese Technologie – in der deutschen Übersetzung des Data Act leider „intelligenter Vertrag“ genannt – wird typischerweise in verteilten Ledger-Systemen wie Blockchain eingesetzt. Sie ermöglicht die automatische Ausführung von Verträgen und wird als wesentliches Instrument angesehen, um Vertrauen und Transparenz in datengetriebenen Geschäftsmodellen zu fördern.
Um den reibungslosen Einsatz zu gewährleisten, strebt der Data Act dabei eine Standardisierung der technischen und rechtlichen Rahmenbedingungen für Smart Contracts an.
Im Kontext des Data Act werden Smart Contracts als technisches Mittel positioniert, um Prozesse der Datenübertragung und -nutzung effizienter und sicherer zu gestalten.
Anforderungen an Smart Contracts
Besondere Anforderungen werden an die Integrität und Interoperabilität der durch Smart Contracts verarbeiteten Daten gestellt. Diese müssen sicherstellen, dass Daten zuverlässig übertragen und mit unterschiedlichen Systemen kompatibel sind. Gleichzeitig fordert der Data Act Mechanismen, die Schutz vor Fehlfunktionen und Missbrauch bieten, etwa durch integrierte Sicherheitsfunktionen oder durch die Möglichkeit, Smart Contracts in Notfallsituationen zu pausieren oder zu beenden. Damit trägt der Gesetzgeber den Herausforderungen Rechnung, die mit der zunehmenden Automatisierung von Verträgen verbunden sind, insbesondere in Hinblick auf die Vermeidung potenzieller Schäden durch unkontrollierte Ausführungen.
Ein weiterer Schwerpunkt des Data Act liegt auf der Förderung der Transparenz und Überprüfbarkeit von Smart Contracts. Diese müssen auditierbar gestaltet sein, um Manipulationen oder Sicherheitslücken frühzeitig erkennen und beheben zu können. Dies dient nicht nur der Sicherheit, sondern auch der Akzeptanz solcher Technologien im Markt.
Definition von Smart Contracts
Der Data Act definiert Smart Contracts als
ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden;
Mit dieser sehr weitgehenden Definition wird jedenfalls die herkömmliche Verwendung insoweit erfasst, als Smart Contracts in digitalen und verteilten Ledger-Systemen (wie beispielsweise Blockchain-Technologien) verwendet werden, um die automatische Ausführung von Verträgen sicherzustellen. Diese Definition hebt den funktionalen Charakter von Smart Contracts hervor, der sich durch die selbständige und automatisierte Durchführung vorab festgelegter Vertragsbedingungen auszeichnet, ohne dass dabei menschliches Eingreifen erforderlich ist.
Im Kern beschreibt der Data Act Smart Contracts damit als digitale Protokolle, die eine automatisierte und verbindliche Durchführung von Vereinbarungen ermöglichen. Diese automatisierten Verträge dienen dazu, Transaktionen oder Datenverarbeitungsprozesse effizient und sicher abzuwickeln, insbesondere in der datenbasierten Wirtschaft. Ein zentraler Bestandteil der Definition ist die Verknüpfung von Smart Contracts mit spezifischen Technologien, wie beispielsweise Blockchain, um Transparenz, Rückverfolgbarkeit und Manipulationssicherheit zu gewährleisten.
Ebenso legt der Data Act besonderen Wert darauf, dass Smart Contracts nicht nur automatisierte Mechanismen darstellen, sondern auch rechtlich und technisch robust sein müssen. Sie sollen vorwiegend in der Lage sein, im Kontext von Datenportabilität und Interoperabilität zu funktionieren und dabei sicherzustellen, dass die zugrunde liegenden Daten geschützt und korrekt übertragen werden.
In der Praxis finden Smart Contracts im Rahmen des Data Act wohl vor allem bei der Automatisierung von Zugriffsrechten und der Datenportabilität Anwendung. Sie ermöglichen es, Rechte und Bedingungen für die Nutzung von Daten automatisch durchzusetzen, ohne dass ein manueller Eingriff erforderlich ist. Dies ist insbesondere bei der Übertragung von Daten zwischen Anbietern oder Plattformen von Vorteil, da dadurch sowohl Effizienz als auch Sicherheit erhöht werden. Zudem spielen sie eine entscheidende Rolle auf Datenmarktplätzen, wo sie Transaktionen zwischen Datenanbietern und -nutzern sowie Lizenzvereinbarungen und Zahlungen automatisieren können. Auch im Bereich der Cloud-Portabilität wird ihre Bedeutung hervorgehoben, da sie den Wechsel von Daten zwischen Cloud-Anbietern reibungslos gestalten können.
Vorsicht bei Cyberkriminalität
Auswirkungen des Data Act auf die Sicherheitsforschung
Auch die Sicherheitsforschung wird interessanterweise durch den Data Act berührt. Man findet für Nutzer in Art. 4 Abs. 7 folgenden Aspekt:
Der Nutzer darf keine Zwangsmittel einsetzen oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur eines Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.
Damit wird deutlich, dass jedenfalls grundsätzlich ein Zugriff über Sicherheitslücken problematisch ist, wodurch die ohnehin schon bestehende Rechtslage verschärft werden würde. Dies gilt auch für Dritte über Art. 5 Abs.5, was zeigt, dass es dem Unionsgesetzgeber ernst ist mit dieser Maßgabe. Es bleibt abzuwarten, ob in dem nationalen Begleitgesetz hierzu gesonderte Sanktionen vorgesehen sind.
Jedenfalls aber verschärft diese gesetzliche Lage die bisherige Situation zum Zugriff über Sicherheitslücken. Dabei ist die Formulierung „um Zugang zu Daten zu erlangen“ so zu verstehen, dass nicht die Sicherheitsforschung an sich betroffen ist, sondern dass nur der zielgerichtete Zugriff auf Daten erfasst sein soll. Was aber, wenn das Unternehmen insolvent geht, partout nicht mehr auf Anfragen reagiert und der Nutzer in dieser Situation im Zuge einer Selbsthilfe durch die Ausnutzung einer Lücke die ihm ohnehin zustehenden Daten abgreift?
Data Act & Software: Ausblick
Der Data Act stellt Softwareentwickler vor neue regulatorische Herausforderungen, bietet aber auch zahlreiche Chancen für Innovationen. Anbieter müssen insbesondere Interoperabilität und Datenportabilität in den Mittelpunkt ihrer Entwicklungen stellen.
Neben technischen Anpassungen sind auch vertragliche und geschäftsstrategische Überlegungen entscheidend, um sich im zunehmend regulierten Datenmarkt der EU zu behaupten. Unternehmen, die frühzeitig auf die neuen Regelungen reagieren, können sich langfristig Wettbewerbsvorteile sichern. Spannend ist dabei vor allem, dass der Data Act die zentrale Bedeutung von Smart Contracts für die moderne Datenwirtschaft hervorhebt. Gleichzeitig stellt er aber auch hohe Anforderungen an deren Ausgestaltung und Einsatz, um sowohl Rechtssicherheit als auch technische Funktionalität zu gewährleisten. Entwickler und Unternehmen, die Smart Contracts einsetzen, sind daher gefordert, diese Anforderungen zu erfüllen, um die rechtlichen und wirtschaftlichen Potenziale der Technologie zu nutzen. Dies wird langfristig sowohl die Innovationskraft als auch die Wettbewerbsfähigkeit der europäischen Datenwirtschaft stärken.
Im Alltag vernetzter Produkte, von Konsumgütern bis hin zu Industrieanlagen, werden die Absätze 2 bis 4 des Art. 13 DSG einen neuen Rechtsrahmen bieten, der eine ausgewogene Gestaltung von Datennutzungsverträgen sicherstellt – aber auch Anforderungen an das Vertragsmanagement stellt. Sie fördern die Transparenz, verhindern Missbrauch und stärken den Schutz kleinerer Marktteilnehmer, die sonst durch übermächtige Vertragspartner benachteiligt werden könnten.
Schließlich – und das ist der spannende Teil des Strafrechts – bleibt abzuwarten, wie sich das ausdrückliche Verbot der Ausnutzung von Sicherheitslücken auswirken wird. Schade ist, dass der Gesetzgeber
- Cannabissamen & THC: Verkauf von Cannabisprodukten an Tankstellen - 8. Februar 2025
- Einordnung von CBD-Öl als neuartiges Lebensmittel - 8. Februar 2025
- Strafbarkeit des Weiterleitens eines Gewaltvideos nach § 201a StGB - 7. Februar 2025