Data Management als Geschäftsführungsaufgabe?
Die Europäische Kommission hat sich mit ihrer Digitalstrategie zum Ziel gesetzt, die Europäische Union zukunftsfit zu machen und unter anderem auch einen Datenmarkt zu schaffen. Dazu hat sie in den letzten Jahren eine beachtliche Anzahl an Verordnungen und Richtlinien in den Gesetzgebungsprozess entlassen, die nicht nur wegen ihrer schieren Anzahl Beachtung verdienen, sondern auch aufgrund des teilweise wichtigen, für manche Unternehmen brisanten Inhalts. Mit der Einigung auf eine Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act) rückt die Verfügbarkeit, Qualität und rechtmäßige Verwendung von Daten verstärkt in den Fokus. Es stellt sich für Unternehmen nicht nur die Frage, ob Daten in Zukunft ein wertvolles Wirtschaftsgut werden oder für das Training künstlicher Intelligenz benötigt und verwendet werden können. Damit stellt sich immer stärker die Frage: Kümmert sich die Geschäftsführung ausreichend um die eigenen und fremden Daten des Unternehmens?
EU-rechtliche Einordnung
Der Data Act sieht unter anderem nicht nur eine Pflicht zur Zugänglichmachungvon Daten für den Nutzer vor, sondern er bindet die Nutzung dieser Daten durch den Dateninhaber auch an eine Vereinbarung mit dem Nutzer. Der Nutzer ist jede natürliche oder juristische Person, die ein vernetztes Produkt verwendet oder sogenannte verbundene Dienste in Anspruch nimmt. Wenn ein Nutzer in der Regel der Kunde sein wird, ist der Dateninhaber der Hersteller oder Dienstleister. Betroffen sind alle Daten samt Metadaten, die bei der Verwendung durch den Nutzer entstehen, wobei für personenbezogene Daten die Grundsätze der Datenschutzgrundverordnung gelten.
Der Data Act wird vorschreiben, dass vernetzte Produkte so konzipiert sein müssen und verbundene Dienste so zu erbringen sind, dass die Daten dem Nutzer einfach, sicher, unentgeltlich und in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format direkt zugänglich sind. Ist das nicht der Fall, hat der Dateninhaber dem Nutzer die Daten unverzüglich, unentgeltlich, einfach, sicher, in einem strukturierten, gängigen und maschinenlesbaren Format und in Echtzeit zur Verfügung zu stellen. Es bedarf keiner weiteren Ausführungen, welche technischen und logistischen Herausforderungen, besonders im Massengeschäft wie der Mobilität, dies für ein Unternehmen bedeutet.
Der Nutzer kann aber auch verlangen, dass die Daten an einem Dritten zur Verfügung gestellt werden. An die Datenweitergabe an den Nutzer oder Dritten knüpfen sich wiederum wesentliche Fragen zum Geschäftsgeheimnis- und Datenschutz.
Von wesentlichem Interesse für datengetriebene Unternehmen, die die Nutzungsdaten etwa für Produktentwicklung oder weitere Geschäftsmodelle benötigen, ist der Umstand, dass der Dateninhaber in Zukunft diese Daten nur auf Grundlage eines Vertrages mit dem Nutzer verwenden darf. Dem Nutzer kommt damit eine wesentliche Rolle zu, die sowohl juridisch als auch technisch entsprechend abgebildet werden muss. Für IoT-Unternehmen wird sich mit Inkrafttreten des Data Act damit die Frage stellen: Darf ich wie bisher erhaltene Daten überhaupt noch verwenden?
Auch die Qualität der Daten wird zunehmend eine erhebliche Rolle spielen. So muss die Datenweitergabe in der selben Qualität, die dem Dateninhaber zur Verfügung steht, erfolgen. Der Entwurf für eine Verordnung zur Festlegung Harmonisierter Vorschriften für Künstliche Intelligenz (AI Act) sieht dazu umfangreiche Regeln zu den Daten und der Data-Governance bei Hochrisiko KI Systemen vor. Die Trainings-, Validierungs- und Testdatensätze müssen nicht nur relevant, repräsentativ, fehlerfrei und vollständig sein, für diese Datensätze sollen auch geeignete Daten Governance- und Datenverwaltungsverfahren gelten.
Schließlich rückt im Hinblick auf die vielfachen Bedrohungen auch noch die Sicherheit der Daten immer mehr in den Vordergrund. Erwähnt seien hier auf EU Ebene nur der Cyber Security Act, die NIS-2 Richtlinie und der Entwurf für einen Cyber Resilience Act, die umfangreiche Verpflichtungen und Vorgaben auch für die Sicherheit von Daten enthalten.
Aufgabe der Geschäftsführung?
Vor diesem Hintergrund werden die Herausforderungen an die Verfügbarkeit, Verwaltung, Sicherheit und rechtmäßige Verarbeitung von Daten eine strukturelle Organisation erfordern, die von jener der personenbezogenen Daten deutlich abweicht. Geschäftsführer und bei der Aktiengesellschaft der Vorstand haben bei ihrer Geschäftsführung die Sorgfalt einer ordentlichen und gewissenhaften Unternehmensführung zu beachten. Weiters muss die Geschäftsführung auch dafür sorgen, dass die Gesellschaft sowie deren Mitarbeiter sich an gesetzliche Vorgaben halten. Dabei darf nicht übersehen werden, dass die technische Entwicklung auch im zunehmenden Maße eine Verwendung der Daten für einen zukünftigen geschäftlichen Erfolg immer wichtiger und grundlegend macht. So wird die Verfügbarkeit von Daten aus vernetzten Produkten und verbundenen Diensten von der Zustimmung des Nutzers abhängig sein und – falls die Daten direkt beim Dateninhaber landen – sind die Interessen des Nutzers oder eines Dritten entsprechend zu berücksichtigen. Auch die vieldiskutierte künstliche Intelligenz funktioniert nicht ohne entsprechende Trainings- und Validierungsdaten, die generative künstliche Intelligenz ist darauf angewiesen, über entsprechende Datengrundlagen zu verfügen.
Data Management im Unternehmen
Es ist jedenfalls an der Zeit sich zu überlegen, wie sehr eigene bestehende und zukünftige Geschäftsmodelle datengetrieben sind oder sein sollen. Die ist eine Aufgabe, die zweifellos bei der Geschäftsführung angesiedelt sein wird. Um den Sorgfaltspflichten zu entsprechen, wird sich in der ein oder anderen Form ein Data Management System anbieten, das den rechtlich sauberen und technisch sicheren Umgang mit den Daten, die für das operative Geschäft und für zukünftige Geschäftsmodelle benötigt werden, sicherstellt.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.