Der Data Act: Was droht im Falle einer Verletzung?

Der Data Act und seine Herausforderungen in der Rechtsdurchsetzung

Der Data Act der Europäischen Union ist ein bedeutendes rechtliches Instrument, das die Rahmenbedingungen für den Zugang zu und die Nutzung von Daten innerhalb der EU regelt. Überraschend und für viele ungewohnt ist, dass der Data Act selbst keine konkreten Regelungen zur Strafhöhe bei Verstößen gegen die Verordnung enthält. Stattdessen überlässt Artikel 40 Absatz 1 den Mitgliedstaaten die Verantwortung, eigenständig Sanktionen festzulegen. Die einzige Vorgabe dabei ist, dass diese Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen.

Diese Delegierung auf nationale Ebene birgt das Risiko einer uneinheitlichen Handhabung innerhalb der EU. Es könnte theoretisch zu sogenannten "Forum Shopping"-Tendenzen kommen, bei denen Unternehmen nach den Ländern mit den mildesten Sanktionen suchen. Diese Gefahr dürfte jedoch größtenteils theoretisch bleiben. Der Grund dafür ist, dass die meisten Mitgliedstaaten wahrscheinlich ein ähnliches Sanktionsregime wie das der Datenschutz-Grundverordnung (DSGVO) etablieren werden, um sicherzustellen, dass ihre nationalen Regelungen den EU-Vorgaben entsprechen. In Artikel 40 Absatz 4 des Data Acts wird konkret festgelegt, dass Verstöße gegen bestimmte Kapitel der Verordnung (II, III und V) durch die nationalen Datenschutzbehörden sanktioniert werden können, und zwar in Übereinstimmung mit den Regelungen der DSGVO. Dies bedeutet, dass Geldbußen bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes eines Unternehmens verhängt werden können.

Der Fokus auf privatrechtliche Durchsetzung

Obwohl diese hohen Bußgelder ein starkes Instrument zur Durchsetzung des Data Acts darstellen, liegt der Hauptanreiz für Unternehmen, den Vorgaben der Verordnung zu entsprechen, im Bereich des Privatrechts. Artikel 38 und 39 des Data Acts räumen betroffenen natürlichen oder juristischen Personen das Recht ein, Beschwerden einzubringen und gerichtliche Rechtsmittel zu ergreifen. Im Gegensatz zur DSGVO sieht der Data Act jedoch keine Entschädigung für immaterielle Schäden vor, was die rechtlichen Möglichkeiten betroffener Parteien einschränkt.

Die Durchsetzung des Data Acts wird sich jedoch in der Praxis vor allem über das Lauterkeitsrecht und das Gewährleistungsrecht vollziehen. Unternehmen, die Waren oder Dienstleistungen anbieten, die den Anforderungen des Data Acts nicht entsprechen, verstoßen gegen die Gewährleistungsrechte. Diese Waren gelten als mangelhaft. Zudem können sich Unternehmen, die den Data Act missachten, einen unlauteren Wettbewerbsvorteil verschaffen, was wiederum einen Verstoß gegen das Lauterkeitsrecht darstellt.

Ein unklarer Weg zur Durchsetzung

Trotz der Bemühungen, den Data Act zu einem zentralen Instrument der europäischen Datenwirtschaft zu machen, gibt es noch offene Fragen zur konkreten Rechtsdurchsetzung. Insbesondere fehlen klare, bereits etablierte Mechanismen, um Rechtsansprüche bei Verstößen gegen den Data Act durchzusetzen. Diese Lücke könnte in den kommenden Jahren zu Unsicherheiten führen und Unternehmen sowie Verbraucher gleichermaßen verunsichern.

Es bleibt abzuwarten, wie sich die Rechtsdurchsetzung des Data Acts entwickelt und welche Wege die Mitgliedstaaten und die Gerichte einschlagen werden, um einen einheitlichen, klaren Rechtsrahmen zu schaffen. Klar ist jedoch: Die effektive Umsetzung des Data Acts wird Zeit brauchen, und es wird dauern, bis sich feste und klare Mechanismen zur Durchsetzung von Rechtsansprüchen aufgrund von Verstößen etabliert haben.

Fazit

Der Data Act stellt einen wichtigen Schritt in der Regulierung des Datenzugangs und der Datennutzung in der EU dar. Allerdings zeigen sich noch Lücken in der Rechtsdurchsetzung. Die Tatsache, dass die Sanktionen von den Mitgliedstaaten selbst festgelegt werden, könnte theoretisch zu einer uneinheitlichen Anwendung führen. Die Praxis wird jedoch vermutlich einheitliche und DSGVO-ähnliche Strafregime sehen. Zudem liegt der Schwerpunkt auf der privatrechtlichen Durchsetzung, was den Druck auf Unternehmen erhöht, den Data Act einzuhalten. Es bleibt abzuwarten, wie sich die Umsetzung in den kommenden Jahren konkret entwickeln wird.

‍