Wie sich der EU Data Act auf die Schweiz auswirkt

 

Von Marc Strittmatter, HWTG Konstanz

Mit dem EU Data Act und anderen Rechtsakte zur Digitalisierung beginnt für den europäischen Datenmarkt ein neues Zeitalter. Das wirkt sich auch auf Schweizer Unternehmen aus.

Der EU Data Act (Datengesetz) legt einheitliche Regelungen für den fairen Zugang und die Nutzung von Daten fest. Die Regeln gelten, mit wenigen Ausnahmen, ab dem 12. September 2025.

Die EU-Mitgliedsstaaten haben nun auch eine Regulierung für KI verabschiedet (AI-Act bzw. KI-VO), es steht nur noch die Zustimmung des EU-Parlaments aus. Zusätzlich soll der produkthaftungsrechtlich angelegte Cyber Resilience Act Hardware- und Softwareunternehmen dazu verpflichten, Produkte mit digitalen Elementen mit bestimmten Sicherheitsvorkehrungen zu versehen.

Alle Verordnungen bzw. deren aktuelle Entwürfe sind mit teilweise erheblichen Sanktionsmöglichkeiten versehen (in bestimmten Fällen bis zu 7 Prozent des weltweiten Jahresumsatzes).

Für welche Unternehmen und auf welche Produkte findet der Data Act Anwendung?

Der Data Act setzt bei der Nutzung von Daten an, die bei der Verwendung von vernetzten Produkten und hiermit verbundenen Diensten entstehen. Nach dem Data Act haben Nutzer künftig das gesetzliche Recht auf Zugang, Nutzung und Weitergabe der von ihnen generierten Produkt- und Dienstdaten. Dies schliesst sowohl persönliche als auch nicht persönliche Daten ein und betrifft eine Vielzahl von Geräten wie Haushaltsgeräte, Fahrzeuge und Industriemaschinen sowie digitale Dienste, die zur Funktionalität dieser Produkte eingesetzt werden. Besonderes Augenmerk liegt also auf Daten, die von IoT-Devices und damit verbundenen Diensten generiert werden, da sie entscheidend für die Verbesserung und Entwicklung neuer Produkte und Anschlussdienste sind.

Ähnlich wie bei der Datenschutz-Grundverordnung gilt das Marktortprinzip, das bedeutet, dass auch nicht-europäische Unternehmen, die entsprechende IoT-fähige Produkte und verbundene Dienste in der EU anbieten, den Vorschriften des Data Act unterliegen.

Adressiert werden insbesondere Unternehmen, die IoT-fähige Produkte und verbundene Dienste für den EU-Markt entwickeln und vertreiben, Zugriff auf die Nutzungsdaten haben auch Cloud-Anbieter.

Glücklicherweise gibt es bestimmte Ausnahmen und Regelungen für Klein- und Kleinstunternehmen in Bezug auf das Datenzugangsrecht. Diese Ausnahmen sollen sicherstellen, dass solche Unternehmen nicht unverhältnismässig von den Anforderungen belastet werden, und ermöglichen es ihnen gleichwohl, von den Vorteilen des Data Acts zu profitieren.

Ein weiterer bedeutender Regelungsbereich des Data Act betrifft die vertraglichen Bestimmungen zum Cloud-Switching. Cloud-Anbieter sind künftig insbesondere verpflichtet, in ihren Verträgen Regelungen zu verankern, die es ihren Kunden ermöglichen, kurzfristig (maximal innerhalb von 90 Tagen) zu vergleichbaren Diensten zu wechseln und diesen Übergang zu erleichtern und zu unterstützen.

Chancen und Herausforderungen: Navigieren in einem komplexen Regelwerk

Für Unternehmen im digitalen Sektor eröffnet der Data Act die Chance, auf eine Vielzahl von Daten zuzugreifen, die für die Entwicklung neuer Produkte und Dienstleistungen essenziell sind. Die bisherigen Datenmonopole grosser Unternehmen könnten durchbrochen werden, was die Entwicklung datengetriebener Geschäftsmodelle fördert.

Umgekehrt zwingt der Data Act Unternehmen, Daten zugänglich zu machen, was Anpassungen in der Produktgestaltung („Access by Design“) sowie des Vertragsmanagements erfordert. Nutzer können Datenzugang verlangen und Hersteller müssen umfassende Informationen über die erzeugten Daten bereitstellen. Dateninhaber müssen daher klare vertragliche Nutzungsrechte in Bezug auf die Daten ihrer vernetzten Produkte und Dienste sichern. Die sich daraus ergebenden Anforderungen werden zudem durch den Cyber Resilience Act (CRA) ergänzt, der die zukünftige Entwicklung des Produkthaftungsrechts im Bereich Cybersicherheit massgeblich beeinflussen wird.

Im Data Act liegen neben den Pflichten auch Chancen, denn es mag Datenpools geben, zu denen Anbieter von IoT-Diensten nun Zugang verlangen können, um ihre Geschäftsmodelle zu entwickeln. Wer als Unternehmen eher zurückhaltend ist, seine Datenpools zu öffnen, muss darüber nachdenken, eine der Ausnahmen im Data Act zu nutzen, um der Pflicht Datenzugänge zu gewähren allenfalls rechtmässige Einwände entgegensetzen zu können.

Kunden werden von den Regelungen zum Cloud-Switching profitieren, welche insbesondere die Problematik des Vendor-Lock-in sowie technische Hürden der Interoperabilität zwischen Diensten adressieren. Cloud-Anbieter werden insbesondere die entsprechenden Vertragsanpassungen vornehmen müssen.

Der KI-Act: Handlungsbedarf für Schweizer Unternehmen

Im Februar 2024 hat die EU einen weiteren Schritt in Richtung einer regulierten KI-Zukunft gemacht: Die Mitgliedstaaten billigten die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz. Der EU-Kommission war es wichtig, weltweit eine Vorreiterrolle in dieser Technologiebereich zu haben.

Dies hat auch weitreichende Folgen für Schweizer Unternehmen, die auf dem EU-Markt aktiv sind oder deren KI-basierte Dienstleistungen und Produkte dort zum Einsatz kommen.

Die KI-Verordnung fordert eine sorgfältige Analyse und Anpassung eingesetzter KI-Systeme. Hochrisiko-Systeme, wie Robot-Recruiting-Tools oder Kreditwürdigkeitsprüfungssysteme, erfordern eine strenge Beachtung der Vorschriften, während selbst Systeme mit minimalem Risiko wie Spam-Filter und KI-fähige Videospiele bestimmte Grundsätze einhalten müssen. Nachdem die KI-VO zunächst anwendungsbezogen regulierte, sind nun auch Systeme für übergreifende Einsatzbereiche (general purpose AI/ GPAI) und technologiebezogene Ansätze, vor allem zu den Foundation und Large Language Models, vorhanden.

Schweizer Firmen stehen nun vor der Aufgabe, ihre KI-Anwendungen im Hinblick auf diese Kategorien zu bewerten. Dabei müssen sie grundlegende Prinzipien berücksichtigen, die von der Wahrung der menschlichen Würde über Datensicherheit bis hin zur Nachhaltigkeit reichen. Die präventive Auseinandersetzung mit diesen Anforderungen ist entscheidend, um Sanktionen zu vermeiden und gleichzeitig einen ethischen Einsatz von KI sicherzustellen.

Insgesamt stellt sich die Frage, ob diese Form der Regulierung innovations- und wachstumsfördernd ist bzw. inwieweit Unternehmen in der Lage sind, innerhalb dieser Regulierung eine gute Balance zwischen der Vermeidung von Compliance-Risiken und Geschäftschancen zu finden. In jedem Fall lohnt es sich auch für Schweizer Unternehmen, diese Marktregeln zu kennen, wenn sie ihre Leistungen im Markt der EU vertreiben oder mit EU-Partner diesbezüglich in Geschäftsbeziehungen stehen.

Marc Strittmatter

Prof. Dr. Marc Strittmatter lehrt als Professor für Wirtschaftsrecht an der HTWG Konstanz mit den Schwerpunkten IT- und Datenschutzrecht.  Er ist of-Counsel der Kanzlei Vogel & Partner in Stuttgart und berät Unternehmen, die sich Technologie-Einführungsprojekte im Bereich ERP, Cloud, Outsourcing oder Unternehmensvernetzung vorgenommen haben. Seine Forschungsschwerpunkte sind rechtliche Bedingungen der Digitalisierung, Verhandlungstheorie, technische Konzepte im Datenschutz, Legal Tech und rechtliche Bedingungen der Datenökonomie.