S. 17511. Durchsetzung des Data Act

11.1. Verwaltungsstrafrechtliche Durchsetzung (public enforcement)

11.1.1. Beschwerderecht (Art 38 DA)

Sind natürliche oder juristische Personen der Ansicht, dass ihre Rechte nach dem Data Act verletzt wurden, haben sie das Recht, sich bei der zuständigen Behörde (dazu sogleich) zu beschweren; dies unbeschadet eines anderen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs.

Als Beschwerdeführer aktivlegitimiert sind jedenfalls die in Art 1 Abs 3 DA genannten Akteure und damit insbesondere Hersteller, Nutzer, Datenempfänger und Dateninhaber. Beschwerdegegenstände können allen voran die Datenzugangs- und bereitstellungsrechte nach den Art 3-5 Data Act sein. Der Data Act erwähnt das Beschwerderecht in diesem Zusammenhang ausdrücklich. Diese Aufzählung ist aber nicht als abschließend anzusehen, sondern illustriert nur, wo mit besonderem Streitpotenzial zu rechnen ist.

Besondere Formvorschriften für Beschwerden normiert der Data Act nicht. Sie sind daher grundsätzlich formlos möglich. Um der Behörde eine inhaltliche Prüfung zu ermöglichen, ist dennoch von bestimmten Mindesterfordernissen auszugehen. Notwendig werden zB die Angabe des Namens des Beschwerdeführers und des Beschwerdegegners sowie Angaben zu der behaupteten Rechtsverletzung S. 176sein. Naturgemäß liegt eine (rechtlich) gut aufbereitete und nachvollziehbare Darstellung des Sachverhalts auch im Interesse des Beschwerdeführers.

Auch eine bestimmte Frist für die Einbringung die Beschwerde sieht der Data Act nicht vor. Grundsätzlich können daher auch bereits längere Zeit zurückliegende Verstöße noch mit einer Beschwerde adressiert werden, wobei auch hier idR von einem Wunsch des Beschwerdeführers nach zeitgemäßer Klärung auszugehen sein wird. Die Behörde wiederum hat demgegenüber zeitliche Vorgaben zu beachten: Die Bearbeitung von Beschwerden über mutmaßliche Verstöße hat innerhalb einer angemessenen Frist zu erfolgen. Konkrete zeitliche Angaben macht der DA aber nicht. Für Österreich wird daher bei Säumigkeit der Verwaltungsbehörde nach sechs Monaten meist eine Säumnisbeschwerde an das zuständige Verwaltungsgericht als Rechtsbehelf in Frage kommen und bei einer Säumnis des Verwaltungsgerichts ein Fristsetzungsantrag an den Verwaltungsgerichtshof.

In verfahrensrechtlicher Hinsicht stellt der Data Act keine Vorgaben auf. In Österreich ist im Beschwerdeverfahren von der Anwendbarkeit ua des Allgemeinen Verwaltungsverfahrensgesetzes (AVG) und des Verwaltungsstrafgesetzes (VStG), soweit es um die Verhängung von Geldbußen geht, auszugehen. Das Unionsrecht kennt kein eigenes einheitliches Verwaltungsverfahrensrecht, sodass auf die nationalen Regeln zurückgegriffen wird. Das gilt auch für das Rechtsmittelverfahren. Der DA normiert hierzu, dass ein wirksamer gerichtlicher Rechtsbehelf gegen Behördenentscheidungen gegeben sein muss. Natürlichen oder juristischen Personen, für die die behördliche Entscheidung negative Konsequenzen hat, kommt somit eine Klagebefugnis zu. Zu diesem Personenkreis zählen insbesondere die (sanktionsbelasteten) Adressaten einer für sie nachteiligen Entscheidung.

Die zuständige Behörde hat den Beschwerdeführer auch - im Einklang mit dem nationalen Recht - über den Stand des Verfahrens und die getroffene Entscheidung zu unterrichten.

11.1.2. Zuständige Behörden

Nach dem DA benennt jeder Mitgliedstaat zumindest eine zuständige Behörde und überträgt dieser die Aufsicht und Durchsetzung des DA. Das kann eine schon bestehende oder eine neu geschaffene Behörde sein. Allerdings müssen die Behörden nach dem DA die folgenden Voraussetzungen erfüllen, woraus sich Einschränkungen bei der Wahl der Behörde ergeben:

S. 177Soweit es um die Durchsetzung der Bestimmungen des DA zum Cloud-Switching und der Interoperabilität der Datenverarbeitungsdienste geht, müssen die Behörden über Erfahrung im Bereich der Daten und der elektronischen Kommunikationsdienste verfügen. Soweit der Schutz personenbezogener Daten betroffen ist, sollen die jeweiligen Datenschutzbehörden auch für die Einhaltung des Data Act verantwortlich sein. Der DA nimmt damit eine Zersplitterung der Behördenzuständigkeit durch eine Aufteilung der Zuständigkeitsbereiche vor. Um dennoch eine Zusammenarbeit mehrerer Behörden sicherzustellen, ist ein Datenkoordinator (aus dem Kreis der Behörden) zu bestellen und mit bestimmten Aufgaben auszustatten.

Die Zuständigkeit im konkreten Beschwerdefall richtet sich nach dem gewöhnlichen Aufenthaltsort, dem Arbeitsplatz oder der Niederlassung des Beschwerdeführers. Die Beschwerde ist bei der für diesen Ort jeweils zuständigen Behörde einzubringen.

Die in Österreich zuständige Behörde ist zum Redaktionsschluss für dieses Buch noch nicht bekannt.

Die Aufgaben und Befugnisse der zuständigen Behörden umfassen insbesondere das Folgende:

• Bearbeitung von Beschwerden über mutmaßliche Verstöße gegen den DA;

• Prüfung von Datenverlangen nach Kapitel V (von öffentlichen Stellen);

• Vornahme von Informationsverlangen an Nutzer, Dateninhaber oder Datenempfänger, um die Einhaltung dieser Verordnung zu überprüfen, wobei jedes Informationsverlangen angemessenen und begründet sein muss;

• Verhängung wirksamer, verhältnismäßiger und abschreckender finanzieller Sanktionen.

Ein Anspruch des Beschwerdeführers auf Erlass einer bestimmten behördlichen Maßnahme oder Sanktion besteht nicht.

S. 17811.1.3. Sanktionen

Nach Art 40 DA legen die Mitgliedstaaten die Regeln für Sanktionen fest, die bei Verstößen gegen den Data Act zu verhängen sind. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Diesbezüglich bedarf es also einer nationalen Umsetzungsregelung. Mindest- oder Höchstgrenzen gibt der Data Act nicht vor. Die Behörden haben bei der Verhängung von Sanktionen aufgrund von Verstößen gegen den DA die folgenden - nicht abschließenden - Kriterien zu berücksichtigen:

• Art, Schwere, Umfang und Dauer des Verstoßes;

• Maßnahmen, die die verstoßende Partei ergriffen hat, um den durch den Verstoß verursachten Schaden zu mindern oder zu beheben;

• frühere Verstöße der verstoßenden Partei;

• die finanziellen Vorteile, die die verstoßende Partei durch den Verstoß erzielt, oder die Verluste, die sie durch ihn vermieden hat, sofern diese Vorteile oder Verluste zuverlässig festgestellt werden können;

• sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;

• den Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA haben Datenschutzbehörden, soweit sie auch für den Data Act zuständig sind, was infolge eines Personenbezugs der Daten der Fall sein kann, die gleichen Bußgeldbefugnisse wie nach der DSGVO auch im Hinblick auf den Data Act. Diese Befugnis kann den Datenschutzbehörden nur bezüglich Verstößen im Zusammenhang mit personenbezogenen Daten zustehen und sich nicht auch auf nicht-personenbezogene Daten erstrecken. Ansonsten hätte der Data Act wohl nicht offengelassen, welche Behörde für die Einhaltung der Bestimmungen rund um nicht-personenbezogene Daten zuständig ist. Neben die Sanktionen nach dem Data Act können daher auch Geldbußen nach der DSGVO treten.

Auch dem Europäischen Datenschutzbeauftragten kommen gewisse Sanktionsbefugnisse zu, und zwar bei Verstößen gegen die Bereitstellung von Daten für öffentliche Stellen nach Kapitel V des Data Act.

S. 17911.2. Durchsetzung vor den mitgliedstaatlichen Zivilgerichten (private enforcement)

11.2.1. Allgemeines

Der Data Act enthält keine Regelungen zur privatrechtlichen Durchsetzung vor den Zivilgerichten der einzelnen Mitgliedstaaten. Das führt zur grundlegenden Frage, ob nach dem Willen des EU-Gesetzgebers überhaupt eine Möglichkeit zu einem solchen private enforcement bestehen soll. Dies ist zu bejahen. Der Umstand, dass im Data Act eine ausdrückliche Regelung dazu fehlt, ist nicht dahingehend auszulegen, dass ein solches nicht erwünscht ist bzw nicht möglich sein soll. Vielmehr scheinen einige Bestimmungen im Data Act die privatrechtliche Rechtsdurchsetzung implizit vorauszusetzen.

Außerdem sind gerade die einen wichtigen Grundpfeiler des Data Act darstellenden Bestimmungen zu Datenlizenzverträgen und den inhaltlichen Vorgaben dafür privatrechtlicher Natur, sodass Meinungsverschiedenheiten zwischen den involvierten Akteuren typischerweise vor Zivilgerichten zu klären wären. Wie bereits in anderen Kapiteln gezeigt, bergen die Regelungen des Data Act einiges an Konfliktpotenzial. Die jeweiligen Akteure werden nicht selten unterschiedliche Interessen verfolgen. Dateninhaber wollen tendenziell so wenig Daten wie möglich herausgeben, während Nutzer und Datenempfänger so viele wie möglich erhalten wollen. Auch rund um die genauen Zugangsbedingungen zu Daten, die Reichweite der erlaubten Datennutzung nach Zugangserhalt, einschließlich der Rechte des Dateninhabers aus Art 11 Abs 2 und 3 Data Act, den Geschäftsgeheimnisschutz, die Unwirksamkeit von Vertragsklauseln oder allfällige schadenersatzrechtliche Ansprüche kann es leicht zu konträren Standpunkten kommen. Nicht selten dürfte sich dabei eine Klage auf dem Zivilrechtsweg (gegebenenfalls in Kombination mit einer einstweiligen Verfügung) besser eignen, um die den einzelnen Akteuren eingeräumten Rechte durchzusetzen. Diese Möglichkeit spricht der Data Act, unbeschadet eines Verwaltungsstrafverfahrens vor der Aufsichtsbehörde, selbst an.

Ein weiteres Argument dafür, dass die zivilrechtliche Rechtsdurchsetzung trotz fehlender Regelung möglich sein soll, ist der Effektivitätsgrundsatz. Danach müssen nationale Rechtsbehelfe eine effektive Umsetzung des Unionsrechts ermöglichen und dürfen den Schutz der dem Einzelnen direkt aus dem Unionsrecht erwachsenden Rechte nicht praktisch unmöglich machen oder übermäßig erschweren. Gäbe es die Möglichkeit zur privatrechtlichen Rechtsdurchsetzung S. 180des Data Act nicht, wäre dies wohl nicht der Fall. Hätte der EU-Gesetzgeber ein private enforcement des Data Act tatsächlich verhindern wollen, hätte er es - gerade auch vor dem Hintergrund der Regelvermutung der privaten Durchsetzbarkeit nach der EuGH-Judikatur - ausschließen können, was nicht geschehen ist.

Im Ergebnis sprechen die besseren Argumente für die Zulassung der privatrechtlichen Durchsetzung.

11.2.2. Durchsetzung über das Lauterkeitsrecht

Ein weiteres in der Praxis wichtiges Korrektiv kann das Lauterkeitsrecht darstellen. Über diesen Umweg könnten Mitbewerber der jeweiligen Akteure Verstöße gegen den Data Act aufgreifen und deren Unterlassung fordern. Besonders relevant in diesem Zusammenhang ist die Fallgruppe des Rechtsbruchs nach der Generalklausel des § 1 UWG. Danach soll sich niemand durch Verletzung von verbindlichem Recht, wozu auch eine EU-Verordnung wie der DA zählt, einen Wettbewerbsvorteil verschaffen können. So können Mitbewerber nach dem EuGH zB einen Verstoß gegen die DSGVO durch einen Mitbewerber aufgreifen und diesen auf Unterlassung klagen. Dass der OGH in der davor ergangenen Entscheidung die gegenteilige Sichtweise, dass das Datenschutzrecht keine schützenswerten Belange der Allgemeinheit betreffe und ein Verstoß daher nur persönlich vom Betroffenen aufgegriffen werden könne, vertreten hat, dürfte an dem nichts ändern. Abgesehen davon, dass angesichts der zwischenzeitlich ergangenen Entscheidung des EuGH bezweifelt werden muss, dass sich diese Judikaturlinie aufrechterhalten lässt, regelt der Data Act nämlich schützenswerte Belange der Allgemeinheit. Sein primäres Ziel ist schließlich eine optimale Verteilung der Daten zum Nutzen der Gesellschaft. Eine fehlende Compliance mit dem Data Act kann daher grundsätzlich als Rechtsbruch eine Unlauterkeit begründen und zu Unterlassungs-, Beseitigungs- und gegebenenfalls Schadenersatzansprüchen vor allem von Mitbewerbern oder geschädigten Verbrauchern führen, wenn es dadurch zu einem Wettbewerbsvorteil, der auch tatsächlich spürbar ist, kommt und dieser nicht durch eine vertretbare Rechtsauffassung gerechtfertigt ist.

S. 18111.2.3. Klagebefugnis von Verbraucherverbänden

Auch sogenannte Qualifizierte Einrichtungen können Verstöße gegen den Data Act aufgreifen. Diese Einrichtungen wurden in Österreich in Umsetzung der Verbandsklagen-Richtlinie geschaffen, womit der kollektive Rechtsschutz gestärkt wurde. Insbesondere der Wirtschaftskammer Österreich und der Bundesarbeiterkammer sowie dem Verein für Konsumenteninformation kommt die Befugnis zur Erhebung von auf Unterlassung und Abhilfe gerichteter Verbandsklagen zur Durchsetzung von Ansprüchen von Verbrauchern zu, wenn ein rechtswidriges Verhaltens eines Unternehmens die kollektiven Interessen der Verbraucher beeinträchtigt oder zu beeinträchtigen droht; und zwar unabhängig davon, ob gegen einen der in Anhang I der RL genannten Rechtsakte verstoßen wurde. Damit soll jedes für unzulässig befundene Verhalten eines Unternehmens, das sich zu einer Praxis entwickelt hat, erfasst werden. Das soll insbesondere bei systematisch begangenen Rechtsverletzungen oder Massengeschäften, nicht aber bei vereinzelt oder gelegentlich vorkommenden Unrechtmäßigkeiten der Fall sein. Dies könnte unter Umständen im Zusammenhang mit systematisch zur Datensammlung rechtswidrig eingesetzten Dark Patterns relevant sein.

11.3. Streitbeilegung nach Art 10 DA

11.3.1. Allgemeines

Nach Art 10 Abs 1 DA haben Nutzer, Dateninhaber und Datenempfänger und Dritte, die keine Datenempfänger sind, Zugang zu einem weiteren Data-Act-spezifischen Streitbeilegungsmechanismus. Dieser steht bei

offen. Hierfür werden eigene Streitbeilegungsstellen eingerichtet. Diese sind befugt, über das Bestehen eines Anspruches auf Bereitstellung sowie über die Bedingungen und die Gegenleistung dabei zu entscheiden, also nicht nur das „Wie“ einer Datenbereitstellung, sondern auch das „Ob“.

S. 18211.3.2. Streitbeilegungsstelle

Um als Streitbeilegungsstelle im Sinn des Art 10 DA in einem Mitgliedstaat zugelassen zu werden, ist eine Zertifizierung notwendig. Diese haben die kandidierenden Streitbeilegungsstellen selbst zu beantragen. Für eine Zertifizierung muss die Streitbeilegungsstelle kumulativ die folgenden Voraussetzungen erfüllen:

Die Streibeilegungsstellen dürften vom Data Act grundsätzlich als private und nicht als staatliche Einrichtungen vorgesehen sein. Die Mitgliedstaaten haben der Europäischen Kommission die zugelassenen Streitbeilegungsstellen mitzuteilen. Die Kommission veröffentlicht auf einer eigens eingerichteten Website eine Liste dieser Stellen und hält sie aktuell.

11.3.3. Anrufungsberechtigte Akteure

Eine Streitstelle kann von Nutzern, Dateninhabern und Datenempfängern angerufen werden. Es bestehen aber Beschränkungen auf bestimmte Streitgegenstände.

Nutzer können bei Streitigkeiten mit Dateninhabern auf den Streitbeilegungsmechanismus des Art 10 DA zurückgreifen, wenn

• der Dateninhaber den Zugang, die Nutzung oder die Bereitstellung von Daten aus Gründen iSd Art 4 Abs 2 DA verweigert und keine Einigung über vertragliche Beschränkungen in diesem Zusammenhang erzielt werden kann (Streitgegenstand nach Art 4 Abs 3 lit b DA);

• der Dateninhaber die Weitergabe von Daten verweigert bzw aussetzt und dies mit dem Schutz seiner in den Daten liegenden Geschäftsgeheimnisse nach Art 4 Abs 7 und 8 DA begründet (Streitgegenstand nach Art 4 Abs 9 DA).

Datenempfänger können bei Streitigkeiten mit Dateninhabern auf den Streitbeilegungsmechanismus des Art 10 DA zurückgreifen, wenn

• S. 183ein Dateninhaber die Bereitstellung von Daten verweigert bzw aussetzt und dies mit dem Schutz seiner in den Daten liegenden Geschäftsgeheimnisse nach Art 5 Abs 10 und 11 DA begründet (Streitgegenstand nach Art 5 Abs 12 lit b DA);

• der Datenempfänger klären möchte, ob die Bedingungen, unter denen ihm der Dateninhaber die Daten bereitstellt, dem Maßstab des Art 8 DA (FRAND und in transparenter Weise) entspricht (Streitgegenstand FRAND und Transparenz).

Dateninhaber haben in denselben Fällen die Berechtigung, die Streitstelle anzurufen, um diese Streitgegenstände zu klären.

11.3.4. Bestimmte verfahrensrechtliche Aspekte

Das Streitbeilegungsverfahren ist freiwillig. Es kann darauf zurückgegriffen werden, wenn die Parteien des Streits dies vereinbaren, zwingend ist es aber nicht. In jedem Fall darf dadurch keiner Partei das Recht auf einen gerichtlichen Rechtsbehelf genommen werden. Daher dürfte selbst nach Beginn eines Verfahrens vor einer Streitbeilegungsstelle ein Zivilverfahren vor einem nationalen Gericht eingeleitet werden können.

Die Streitbeilegungsstelle darf kein Verfahren annehmen, das bei einer anderen Streitbeilegungsstelle oder dem Gericht eines Mitgliedstaats anhängig ist. Einander widersprechende Entscheidungen sollen dadurch vermieden werden. Nimmt die Streitbeilegungsstelle ein Verfahren an, hat sie spätestens 90 Tage nach Erhalt des Antrags eine begründete Entscheidung zu treffen, und zwar schriftlich oder auf einem dauerhaften Datenträger. Bis dahin müssen die Parteien die Möglichkeit haben, sich binnen angemessener Frist zu äußern und Erklärungen zu den Schriftsätzen der Gegenseite und etwaigen Eingaben von Sachverständigen abzugeben. Die Entscheidung einer Streitbeilegungsstelle ist für die Parteien nur dann bindend, wenn diese vor Beginn des Streitbeilegungsverfahrens dem bindenden Charakter ausdrücklich zugestimmt haben. Die Parteien müssen laut Data Act dennoch ein wirksames Rechtsmittel bei einem Gericht einlegen können, wobei unklar ist, wie genau das Zusammenspiel der Streitbeilegungsstelle mit der staatlichen Gerichtsbarkeit ausgestaltet sein soll.

S. 184Die mit ihrer Entscheidung verbundenen Kosten sind den Parteien mitzuteilen, bevor diese eine Entscheidung beantragen. Art 10 Abs 3 DA sieht eine für Nutzer und Datenempfänger günstige Kostentragungsregel für den Streitgegenstand aus Art 4 Abs 3 DA vor: Wenn die Streitbeilegungsstelle eine Streitigkeit zugunsten des Nutzers oder Datenempfängers entscheidet, hat der Dateninhaber alle von der Streitbeilegungsstelle erhobenen Gebühren zu tragen und dem Nutzer oder Datenempfänger alle sonstigen angemessenen Ausgaben, die diesem im Zusammenhang mit der Streitbeilegung entstanden sind, zu erstatten. Entscheidet die Streitbeilegungsstelle eine Streitigkeit zugunsten des Dateninhabers, so ist der Nutzer oder der Datenempfänger nicht verpflichtet, Gebühren oder sonstige Kosten zu erstatten, die der Dateninhaber im Zusammenhang mit der Streitbeilegung gezahlt hat oder zu zahlen hat, es sei denn, die Streitbeilegungsstelle stellt fest, dass der Nutzer oder der Datenempfänger offensichtlich bösgläubig gehandelt hat. Bei anderen Streitgegenständen (Streitgegenstände aus Art 4 Abs 9 und Art 5 Abs 12 DA sowie FRAND und Transparenz) gilt im Umkehrschluss wohl, dass die unterliegende Partei die Kosten der obsiegenden Partei trägt.