25.07.2023

Was der Data Act für österreichische Startups bedeutet

Interview. Im Juni einigten sich das EU-Parlament und die Mitgliedsstaaten auf den Data Act. Der Rechtsanwalt Arthur Stadler erklärt, was jetzt auf Startups zukommt.
/artikel/data-act-fuer-startups
Foto: Stadler Völkel Rechtsanwälte / Unsplash
Arthur Stadler erklärt, was der Data Act für österreichische Startups bedeutet. Foto: Stadler Völkel Rechtsanwälte / Unsplash

Im Wohnzimmer ist der Staubsauger-Roboter unterwegs, die Apple-Watch am Handgelenk zeichnet Gesundheitsdaten auf, das smarte Türschloss öffnet die Garageneinfahrt. Ob in den eigenen vier Wänden oder in Fabrikshallen – überall entstehen heutzutage Daten. Diese Daten haben auch einen großen wirtschaftlichen Wert, ohne sie geht in der Digital Economy nichts mehr.

Bis zu 80 Prozent der Daten ungenutzt

Ganz eigene Geschäftsmodelle wurden rund um Daten und Geräte aufgebaut: Wer etwa einen Smartwatch kauft, muss oft eine spezielle App dafür verwenden. Elektroautos werden mit ihrer eigenen Software ausgeliefert. Damit soll damit künftig jedoch Schluss sein.

Im Juni haben sich das EU-Parlament und die Mitgliedsstaaten auf den Data Act geeinigt, jetzt steht nur mehr die formelle Bestätigung aus. Der Data Act soll vor allem die Rechtssituation bei Smarten Geräten und dem Internet of Things (IoT) verbessern.

2026 soll er geltend werden und vor allem für Verbraucher:innen einiges verbessern. Aber auch für die Wirtschaft soll sich damit vieles verbessern: Die EU-Kommission erhofft sich von den neuen Regelungen ein BIP-Wachstum von 270 Millarden Euro im Wirtschaftsraum. Denn laut EU-Kommission würden derzeit bis zu 80 Prozent der Daten ungenützt bleiben.

Der Data Act im Detail

brutkasten: Was ändert der Data Act für Startups im Allgemeinen?

Arthur Stadler: Gleich vorweg: Der Data Act befindet sich noch im EU-Gesetzgebungsverfahren. Es kann also noch zu etlichen Änderungen kommen.

Die meisten wesentlichen Verpflichtungen des Data Acts gelten erst ab einer gewissen unternehmerischen Größe (grundsätzlich ab 50 Mitarbeiter und 10 Mio Euro Jahresumsatz/Jahresbilanz), sodass Startups von einem signifikanten Teil der Verpflichtungen des Data Acts grundsätzlich und realistischerweise nicht betroffen sein werden.

Startups kommen aber Rechte und Schutzmaßnahmen zugute. So werden diese etwa insbesondere vor missbräuchlichen Vertragsklauseln im Zusammenhang mit Datenzugang und Datennutzung geschützt (siehe Artikel 13 Data Act). Es soll unverbindliche Standardklauseln geben. Das stärkt die Verhandlungsposition von Startups im Zusammenhang mit der Weitergabe und Nutzung von Daten speziell gegenüber anderen Unternehmen, deren Verhandlungsmacht stärker ist und bietet neue wirtschaftliche Chancen speziell für Startups (Stichwort Datenportabilität).

Was ändert sich dadurch für die Hersteller von smarten Produkten?

Stadler: Der Data Act gilt grundsätzlich auch für Hersteller von smarten Produkten (wenn diese als Produkt im Sinne des Data Acts zu qualifizieren sind), die in der EU in Verkehr gebracht werden. Sofern gewisse Größenschwellen überschritten werden (siehe zuvor), sind diese Hersteller zu verschiedenen Vorgaben verpflichtet.

Insbesondere sind Hersteller dazu verpflichtet, Produkte so zu konzipieren und herzustellen, dass die bei der Nutzung erzeugten Daten für den Nutzer direkt zugänglich sind. Darüber hinaus bestehen vor Abschluss bestimmter Verträge für ein solches Produkt umfangreiche Informationspflichten an den Nutzer. Soweit der Nutzer nicht bereits direkt über das Produkt auf die Daten zugreifen kann, muss der Hersteller, sofern er als Dateninhaber qualifiziert wird, Zugang zu den Daten ermöglichen.

Dem Hersteller wird auch zusätzlich vorgeschrieben, nicht personenbezogene Daten nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer zu nutzen. Diese dürfen weiters nicht zu jedem beliebigen Zweck genützt werden. Es gibt hier spezielle Einschränkungen (vgl. Artikel 4 (6) Data Act). Darüber hinaus gibt es Regelungen zur Datenweitergabe an Dritte. So existiert das Recht des Nutzers durch die Nutzung des Produkts erzeugte Daten, die sich beim Dateninhaber befinden, einem Dritten bereitzustellen. Das führt für Hersteller smarter Produkte zu einem größeren Konkurrenzdruck, wird doch Datenportabilität vereinfacht. Dritte, die solcherart Daten erhalten, sind in der Nutzung der Daten jedoch eingeschränkt. Damit soll ein gewisses Gleichgewicht der Interessen, trotz Weitergabe von Daten, geschaffen werden.

Neu sind auch Verpflichtungen zur Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit. Diese Neuregelungen gelten zwar nicht für kleine Unternehmen und Kleinstunternehmen (wie etwa Startups), doch sehen sie für davon erfasste Unternehmen zusätzliche Datenbereitstellungspflichten vor.

Sieht die Regelung vor, dass alle Daten ausgelesen werden dürfen? Darf man dann z.B. einfach den Quellcode des Tesla-Autopiloten einsehen und kopieren?

Der Datenzugriff begrenzt sich auf die bei der Nutzung erzeugten Daten. Ausnahmen davon können insbesondere gegenüber öffentlichen Stellen im Falle außergewöhnlicher Notwendigkeit bestehen. Sofern man überhaupt davon ausgehen mag, dass unter “Daten” auch ein Quellcode subsumierbar ist, würde ein auf den Quellcode bezogenes Auslesebegehren auf Basis des Data Act bereits aufgrund der Einschränkung auf die bei der Nutzung erzeugten Daten scheitern, da der Quellcode üblicherweise vorab statisch existiert und ausgeführt wird (Trennung: statischer Quellcode und dynamische/variable Nutzerdaten).

Wie gesagt, kann es sicherlich im EU-Gesetzgebungsprozess noch zu Änderungen kommen. Darüber hinaus sind Einschränkungen etwa zum Schutz von Geschäftsgeheimnissen und funktionierendem Wettbewerb zu beachten.

Werden Geschäftsgeheimnisse im Data Act ausreichend geschützt?

Der Data Act sieht zwar unterschiedliche Maßnahmen zum Schutz von Geschäftsgeheimnissen vor. Trotzdem kann eine gewisse Unsicherheit der betroffenen Unternehmen nicht gänzlich geleugnet werden.

Nachdem sich der Rechtsakt noch im Gesetzgebungsverfahren befindet, kann es hier auch noch zu Änderungen im Zusammenhang mit dem Schutz von Geschäftsgeheimnissen kommen, sodass letztlich erst die Praxis zeigen wird, wie gut der Schutz tatsächlich funktioniert. Ähnlich wie auch im Datenschutzrecht werden die Gerichte in Zweifelsfällen zu klären haben, wie weit der Schutz reicht.

Der Data Act soll laut EU-Kommission Innovationen begünstigen. Aber wofür und wie dürfen die Daten überhaupt verwendet werden?

Der leichtere Zugang zu erfassten Daten wird eine größere Auswahl an Diensten Dritter begünstigen. Diese könnten ihre Leistungen dann möglicherweise sogar preisgünstiger oder zu besserer Qualität anbieten. Davon können Startups profitieren, da diese mit den Daten arbeiten und entsprechende Leistungen anbieten werden können. So ist etwa denkbar, dass sich die Nutzer vernetzter Produkte für einen günstigeren Reparatur- und Wartungsanbieter (etwa ein Startup) entscheiden – oder sie selbst entsprechende Wartungen bzw Reparaturen durchführen. Es gelten jedoch auch hier gewisse Einschränkungen.

Was müssen Startups künftig bei der Entwicklung von smarten Produkten beachten?

Nachdem ein Wachstum eines Startups möglich ist, sollten auch die aufgrund der Größenschwellen noch nicht erfassten Startups ihre Produkte, Prozesse und Services auf den Data Act anpassen. So kann mühsamer späterer Anpassungsbedarf vermieden werden. Dementsprechend sollten Startups im Zusammenhang mit dem Data Act etwa darauf achten, Produkte bereits so zu konzipieren und herzustellen, dass bei der Nutzung erzeugte Daten für den Nutzer standardmäßig einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sind.

Die neuen Regeln sollen nicht für Klein- und Kleinstunternehmen gelten. Aber für alle anderen. Welche Folgen drohen bei Nichteinhaltung?

Ähnlich wie auch im Datenschutzrecht besteht auch im Zusammenhang mit dem Data Act das Recht auf Beschwerde bei einer zuständigen Behörde. Darüber hinaus werden die Mitgliedstaaten Vorschriften zu Sanktionen bei Verstößen gegen den Data Act erlassen. Unter Umständen kommt den Aufsichtsbehörden sogar das Recht zu Geldbußen bis zu 20 Mio. Euro bzw. bis zu vier Prozent des weltweiten Gesamtjahresumsatzes des Unternehmens zu verhängen. Darüber hinaus sind auch Schadenersatzklagen denkbar.

Die Krypto-Szene befürchtet, dass mit dem Data Act ein “Kill Switch” eingeführt wird. Was ist darunter zu verstehen und wie begründet sind diese Befürchtungen?

Im technischen Kontext kann unter einem sogenanntem “Kill Switch” eine Art “Notaus-Funktion” verstanden werden, die beispielsweise zu einer Unterbrechung oder zum Ausschalten einer Maschine oder dergleichen führt.

Die Befürchtungen der Krypto-Szene stützen sich vorwiegend auf den Artikel 30 des Data Acts. Dieser regelt wesentliche Anforderungen an intelligente Verträge für gemeinsame Datennutzungen und sieht für solcherart erfasste “Verträge” etwa vor, dass es Möglichkeiten zur sicheren Beendigung und Unterbrechung geben soll. Hier sieht die Krypto-Szene teilweise Herausforderungen bei der tatsächlichen Umsetzung im Krypto-Bereich.

Auch aus unserer Sicht bedarf es noch der ein oder anderen Anpassung bzw Konkretisierung des derzeitigen Entwurfs des Data Acts. Neben den durch die Krypto-Szene monierten Aspekten sollte etwa auch sichergestellt werden, dass die Definition des intelligenten Vertrags im Artikel 2 Ziffer 16 nicht überschießend und allfällige weitere Begriffsverweisungen akkurat sind.

Bei der Verfügbarmachung von Daten sollen die sogenannten FRAND-Bedingungen gelten. Was ist das und wie hält man sich daran?

Der Begriff FRAND steht für fair, reasonable and non-dicriminatory und war bisher eher aus anderen Rechtsgebieten bekannt. Im Lichte des Data Acts versteht man sinnverwandte Umstände bzw Grundsätze auf deren Basis Datenzugang gewährt werden soll. Konkret sieht etwa Artikel 8 Absatz 1 des Data Act faire, angemessene und nichtdiskriminierende Bedingungen für die Datenbereitstellung vor. Konkretisierungen dazu finden sich etwa in Kapitel IV des Data Act.

Zusammengefasst sollte der Dateninhaber sicherstellen, dass zuvor genannte Grundsätze eingehalten und keine missbräuchlichen Klauseln verwendet werden. Die Verwendung der versprochenen Standardklauseln kann hier hilfreich sein.

Zur Person

Arthur Stadler ist Datenschutzexperte und Partner bei Stadler Völkel Rechtsanwälte.

Deine ungelesenen Artikel:
17.12.2024

“AI in a box”: Linzer Firma sperrt KI-Sprachmodell ins Intranet

Die Vorteile generativer KI ohne Datenschutzbedenken nutzen - das verspricht "AI in a box" und wird wortwörtlich als kleines Hardware-Device geliefert.
/artikel/ai-in-a-box-linzer-firma-sperrt-ki-sprachmodell-ins-intranet
17.12.2024

“AI in a box”: Linzer Firma sperrt KI-Sprachmodell ins Intranet

Die Vorteile generativer KI ohne Datenschutzbedenken nutzen - das verspricht "AI in a box" und wird wortwörtlich als kleines Hardware-Device geliefert.
/artikel/ai-in-a-box-linzer-firma-sperrt-ki-sprachmodell-ins-intranet
AI in a Box kommt tatsächlich als Box | (c) Conquest Werbeagentur GmbH
"AI in a Box" kommt tatsächlich als Box | (c) Conquest Werbeagentur GmbH

Dass man sensible Firmeninformationen besser nicht mit den großen bekannten KI-Sprachmodellen, ChatGPT und Co, verarbeiten sollte, hat sich mittlerweile herumgesprochen. Und es hat mehrere Anbieter auf den Plan gerufen, die Lösungen mit entsprechendem Datenschutz versprechen – etwa weil das Sprachmodell auf lokalen Servern betrieben wird. Das Linzer Unternehmen schorn.io reiht sich in die Liste dieser Anbieter ein und bietet mit “AI in a box” dennoch eine ungewöhnliche Lösung.

“Sie können sich AI in a Box ähnlich einem Netzwerkdrucker vorstellen”

Das Sprachmodell wird im Angebot des Unternehmens nämlich tatsächlich in einer Box geliefert. Die KI läuft auf einem kleinen Hardware-Device, das sich ins bestehende Netzwerk integrieren lässt, und kann dort komplett offline und lokal, also ausschließlich innerhalb des Intranets, genutzt werden. “Sie können sich AI in a Box ähnlich einem Netzwerkdrucker vorstellen, der für eine definierte Anzahl von Benutzer:innen verfügbar ist”, sagt schorn.io-CEO Thomas Schorn. Es sei wortwörtlich “eine KI zum Angreifen”.

Offline-Betrieb zur Einhaltung von Datenschutzrichtlinien

Besonders in Branchen, die sensible Daten verarbeiten, wie Recht, Finanzen und Personalwesen, sei der Offline-Betrieb entscheidend für die Einhaltung von Datenschutzrichtlinien, argumentiert man bei schorn.io. Zudem sei die Lösung im Vergleich zu umfangreichen Cloud-Lizenzen kostengünstig. Genutzt werden könne sie etwa in den Bereichen Softwareentwicklung, Assistenz und Buchhaltung, Marketing und Kundensupport, Personalmanagement, Projektmanagement, Rechtsberatung und Vertrieb.

“Meeting in der Box” als konkreter Anwendungsfall

Schorn.io nennt dazu einen konkreten Anwendungsfall von “AI in a box”. “Besonderes Beispiel ist die Nutzung als ‘Meeting in der Box’: Die Transkription von vertraulichen Gesprächen in Echtzeit generiert automatische Protokolle und To-Do-Listen, die direkt in bestehende Workflows integriert werden können”, heißt es vom Unternehmen.

Toll dass du so interessiert bist!
Hinterlasse uns bitte ein Feedback über den Button am linken Bildschirmrand.
Und klicke hier um die ganze Welt von der brutkasten zu entdecken.

brutkasten Newsletter

Aktuelle Nachrichten zu Startups, den neuesten Innovationen und politischen Entscheidungen zur Digitalisierung direkt in dein Postfach. Wähle aus unserer breiten Palette an Newslettern den passenden für dich.

Montag, Mittwoch und Freitag

AI Summaries

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Welche gesellschaftspolitischen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Welche wirtschaftlichen Auswirkungen hat der Inhalt dieses Artikels?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Innovationsmanager:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Investor:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Welche Relevanz hat der Inhalt dieses Artikels für mich als Politiker:in?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Was könnte das Bigger Picture von den Inhalten dieses Artikels sein?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Wer sind die relevantesten Personen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet

AI Kontextualisierung

Wer sind die relevantesten Organisationen in diesem Artikel?

Leider hat die AI für diese Frage in diesem Artikel keine Antwort …

Was der Data Act für österreichische Startups bedeutet