Der Beitrag wirft einen Blick auf die geplante Regulierung von Smart Contracts im Entwurf des EU-Data. Die Europäische Kommission setzt in ihrem Vorschlag für ein Datengesetz (Data Act) mit Blick auf einen effizienten und sicheren Datenaustausch unter anderem auf Smart Contracts. Diese sollen als regulierte und standardisierte „Produkte“ den Datenhandel in Schwung bringen.

Der Data Act und Smart Contracts

Am 23. Februar 2022 veröffentlichte die Europäische Kommission ihren Vorschlag zur Harmonisierung der Regeln für den fairen Zugang zu und die Nutzung von Daten, den sog. Data Act. Ziel ist es, die durch die Nutzung eines Produkts oder einer damit verbundenen Dienstleistung erzeugten Daten für das Wirtschaftswachstum des Binnenmarktes der Europäischen Union zu mobilisieren. In diesem Zusammenhang werden Smart Contracts als nützlich erachtet, um einen reibungslosen Datenaustausch zu erleichtern und gleichzeitig einen wirksamen technischen Schutz der Daten und der zugrunde liegenden Datenbanken zu bieten. 79% der Teilnehmer an der öffentlichen Konsultation der Kommission vertraten die Auffassung, dass Smart Contracts ein wirksames Instrument für die gemeinsame Nutzung von Daten im Zusammenhang mit gemeinsam erzeugten Daten aus dem Internet der Dinge sein könnten.

Was sind Smart Contracts im Sinne des Data Act?

Smart Contracts werden im Entwurf des Data Act als Computerprogramme auf elektronischen Ledgern definiert, die Transaktionen auf der Grundlage vorher festgelegter Bedingungen ausführen und abwickeln. Sie haben nach Ansicht der Kommission das Potenzial, Dateninhabern und Datenempfängern zu garantieren, dass die Bedingungen für die gemeinsame Nutzung von Daten eingehalten werden. Als solche erleichtern sie die automatisierte und interoperable Nutzung von Daten. Die Verwendung elektronischer Ledger bedeutet, dass sie fortschrittliche Verschlüsselungstechniken verwenden und dezentralisiert und verteilt sein können, was zu Unveränderlichkeit führt.

Warum befasst sich der Data Act mit intelligenten Verträgen?

Smart Contracts haben unterschiedliche Formen, je nach ihrer Art, ihrer Aktivierungsweise, ihrer Verwendung und ihrer Speicherung. Die Kommission ist der Ansicht, dass das derzeitige Fehlen klarer Regeln und Standards für Smart Contracts zu einem potenziellen Problem bei der Interoperabilität zwischen verschiedenen Smart Contract Umgebungen führt, was ein Hindernis für die Einführung darstellen würde. In Kapitel VIII des Entwurfs des Data Acts wird dies angesprochen. 

Kapitel VIII enthält grundlegende Anforderungen an die Interoperabilität für Betreiber von Datenräumen und Anbieter von Datenverarbeitungsdiensten sowie grundlegende Anforderungen an Smart Contracts (siehe Artikel 30).  Es ermöglicht auch offene Interoperabilitätsspezifikationen und europäische Normen für die Interoperabilität von Datenverarbeitungsdiensten, um eine nahtlose Multivendor-Cloud-Umgebung zu fördern.

Was die intelligenten Verträge betrifft, so soll ihre Interoperabilität gefördert werden, indem grundlegende Anforderungen für Fachleute festgelegt werden, die Smart Contracts für andere erstellen oder sie in Anwendungen integrieren, die die Umsetzung von Vereinbarungen zur gemeinsamen Nutzung von Daten unterstützen. Bei intelligenten Verträgen, die harmonisierte Normen oder einschlägige Teile der Normungsverordnung (Nr. 1025/2012) erfüllen, wird davon ausgegangen, dass sie den grundlegenden Anforderungen entsprechen. Gibt es keine harmonisierten Normen, kann die Kommission Schritte unternehmen, um sie zu entwickeln und verbindlich festzulegen.

Was sind die Anforderungen an Smart Contracts im Rahmen des Data Act?

Die vier grundlegenden Anforderungen für Smart Contracts sind in Artikel 30 Absatz 1 des Entwurfs des Data Act festgelegt:

• Smart Contracts müssen ein hohes Maß an Schutz vor Funktionsfehlern und Manipulation durch Dritte bieten („Robustheit“).
• Smart Contracts müssen über interne Funktionen verfügen, mit denen der Vertrag zurückgesetzt oder seine weitere Ausführung gestoppt werden kann („sichere Beendigung und Unterbrechung“). Der Data Act geht jedoch nicht darauf ein, wer die Befugnis haben sollte, den Befehl für solche Handlungen zu erteilen, und unter welchen Umständen. In Deutschland beispielsweise wäre eine nicht einvernehmliche Beendigung oder Unterbrechung wahrscheinlich nur nach einer (rechtskräftigen) Gerichtsentscheidung zulässig.
• Es muss möglich sein, Transaktionsdaten, die Logik des intelligenten Vertrags und den Code zu archivieren, um eine Aufzeichnung der in der Vergangenheit an den Daten durchgeführten Operationen („Prüfbarkeit“) eines beendeten intelligenten Vertrags zu erhalten („Datenarchivierung und Kontinuität“). Damit könnten auch personenbezogene Daten dauerhaft gespeichert werden, was Fragen mit Blick auf die DSGVO aufwirft.
• Ein intelligenter Vertrag muss durch Zugangskontrollmechanismen sowohl auf der Ebene der Verwaltung als auch auf der Ebene des intelligenten Vertrags geschützt werden („Zugangskontrolle“).

Was ist, wenn die Anforderungen für Smart Contracts im Rahmen des Data Act nicht erfüllt sind?

Die Konformität mit den grundlegenden Anforderungen wird vom Verkäufer oder Anbieter des intelligenten Vertrags bewertet, der dann eine EU-Konformitätserklärung abgeben muss und für die Einhaltung der grundlegenden Anforderungen verantwortlich ist. Es ist unklar, was „verantwortlich“ in diesem Zusammenhang bedeutet und ob es eine mögliche zivilrechtliche Haftung für die Verkäufer/Anbieter des intelligenten Vertrags gibt.

Stellt ein Verkäufer/Anbieter keinen konformen intelligenten Vertrag zur Verfügung, richten sich die Folgen nach dem geltenden Recht des Mitgliedstaats. So sind beispielsweise im deutschen Recht Smart Contracts nicht ausdrücklich geregelt, die zugrunde liegenden Vereinbarungen – Smart Contracts selbst sind im Wesentlichen „nur“ Software – deren Entwicklung oder Nutzung dem Dienst-, Miet- oder Werkvertragsrecht unterliegt – und dürften meist nicht alle Elemente eines „echten“ Vertrages beinhalten – werden aber als gültige Verträge behandelt (vorausgesetzt, die entsprechenden Formalitäten wurden eingehalten). Dies bedeutet, dass die Kunden des Verkäufers bei Nichteinhaltung der grundlegenden Anforderungen Vertragsbruch und Schadensersatz nach Vertragsrecht geltend machen können. Das deutsche Recht sieht jedoch auch die Möglichkeit vor, vertragliche Verpflichtungen auf Dritte auszudehnen, wenn der Vertrag auch dem Dritten zugutekommen soll. Diese Rechtslehre wird in der Regel zurückhaltend angewendet, um vertragliche Verpflichtungen auf einen kleinen Personenkreis zu beschränken und Dritte auf das Deliktsrecht zu verweisen. Der Wortlaut des Data Act könnte jedoch eine Ausweitung der vertraglichen Verpflichtungen auf den Verkäufer erfordern, da die Konformitätserklärung als eine Art Garantie angesehen werden kann.

Die Vorteile der Harmonisierung

Unter der Annahme, dass die Bestimmungen zu intelligenten Verträgen mehr oder weniger in ihrer jetzigen Form verabschiedet werden, hofft die Europäische Kommission, dass harmonisierte Anforderungen und Standards ihre Nutzung erleichtern werden. Die im Entwurf des Data Act vertretene Position der Europäischen Kommission unterscheidet sich von der aktuellen Position des Vereinigten Königreichs (die hier diskutiert wird). Diese geht davon aus, dass keine Notwendigkeit besteht, Gesetze zu erlassen, um die tatsächliche Einführung von intelligenten Verträgen zu ermöglichen. Es scheint jedoch wahrscheinlich, dass Unternehmen, die Smart Contracts mit EU-Kontrahenten abschließen, sich an die Anforderungen von Artikel 30 Data Act anpassen wollen, selbst wenn die Verträge englischem Recht unterworfen sind.