In Kraft treten des Data Acts
Am 11.1.2024 ist die Verordnung zur „Schaffung einheitlicher Vorschriften für den fairen Zugang zu Daten und deren faire Nutzung“ (sog. Data Act) in Kraft getreten. Ab dem 12.09.2025 ist dieser für betroffene Unternehmen verpflichtend.
Ziele des Data Acts
Der Data Act soll Betroffenen die Kontrolle über ihre persönlichen Daten geben und ihnen ermöglichen, besser zu verstehen, wie ihre Daten genutzt werden. Zudem soll der Data Act den internationalen Datenhandel bzw. -fluss sowie die Interoperabilität zwischen verschiedenen Datenplattformen und -formaten in der EU fördern. Der Data Act soll demnach die Einzelpersonen und Unternehmen dazu ermutigen, ihre Daten für die Allgemeinheit zur Verfügung zu stellen.
Konkret soll es darum gehen, dass unter anderem Nutzende von vernetzten Geräten, Maschinen oder sonstigen Produkten (z.B. im Bereich von Internet of Things (IoT) oder Conneted Cars) darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll.
Der Data Act hält für die meisten Begriffe Legaldefinitionen bereit, welche jedoch im Einzelfall einer Auslegung bedürfen:
- vernetztesProdukt: ist ein Gegenstand, der Daten über seine Nutzung/Umgebung erlangt, generiert oder erhebt und der Produktdaten übermitteln kann (z.B. über einen geräteinternen Zugang oder eine WLAN-Verbindung), Art. 2 Nr. 5 Data Act. Erfasst sind zum Beispiel sog. Fitnesstracker, Smartwatches, vernetzte Fahrzeuge, Assistenz- und Navigationssysteme, Videospielkonsolen, Smartphones und vernetzte Küchen- sowie Haushaltsgeräte.
- Produktdaten: sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie abgerufen werden können, Art. 2 Nr. 15 Data Act. Vom Zugangsanspruch des Nutzenden sind jedoch nur „ohne weiteres verfügbare Daten“ umfasst, Art. 2 Nr. 17 Data Act. Das sind solche Daten, die der Dateninhaber ohne unverhältnismäßigen Aufwand erhalten kann. Umfasst sind zudem Rohdaten, aber auch sog. aufbereitete Daten (z.B. physikalische Größen wie Temperatur, Öldruck, Geschwindigkeit, Positionen) und Metadaten. Nicht mehr Produktdaten und damit vom Zugangsanspruch nicht umfasst sind Informationen, die aus solchen Daten gefolgert oder abgeleitet werden. Dabei handelt es sich z.B. um Ergebnisse der Verarbeitung solcher Daten, die etwa mittels proprietärer Algorithmen erlangt worden sind (z.B. die Interpretation von Geschwindigkeitsdaten). Es wird im Einzelfall schwierig sein, die Grenze zwischen umfassten und nicht umfassten Daten zu ziehen.
- Dateninhaber: ist jede Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, Art. 2 Nr. 13 Data Act – mithin derjenige, der die tatsächliche Kontrolle über die Daten hat und in der Lage ist, die Ansprüche nach dem Data Act zu erfüllen.
- Nutzer: ist jede Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts eingeräumt wurden, Art. 2 Nr. 12 Data Act. Nutzer sind damit z.B. Eigentümer, Miteigentümer und Mieter. Keine Nutzer sind dagegen Personen, die ein Produkt nur vorübergehend nutzen (z.B. Familienmitglieder).
Wann fällt mein Unternehmen unter den Data Act?
Hersteller von vernetzten Produkten oder Anbieter verbundener Dienste, die diese in der Union in den Verkehr bringen, fallen grundsätzlich unter den Anwendungsbereich des Data Acts. Der Sitz des Unternehmens ist hierfür irrelevant; es gilt das sogenannte Marktortprinzip.
Die wichtigsten Regelungen des Data Act
1. Datennutzungsrechte des Dateninhabers
Nach Art. 3 Abs. 1 Data Act müssen vernetzte Produkte und verbundene Dienste so konzipiert sein, dass die relevanten Daten (einschließlich erforderlicher Metadaten)
standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.
Dieser Datenzugang muss für sämtliche vernetzte Produkte und mit diesen verbundenen Diensten gewährleistet sein. Nicht personenbezogene Daten darf der Dateninhaber künftig nur auf Grundlage eines Vertrags mit dem Nutzer nutzen, Art. 4 Abs. 13 Data Act. Allerdings ist es dem Dateninhaber nicht versagt, die Nutzung des Produkts von der Einräumung von Nutzungsrechten abhängig zu machen. Die Einräumung von exklusiven Nutzungsrechten – jedenfalls in allgemeinen Geschäftsbedingungen – wird aber künftig wohl nicht mehr möglich sein.
2. Datenzugangsrechte und Herausgabeverlangen
Nach Art. 4 Abs. 1 Data Act hat der Nutzende gegen den Dateninhaber einen Anspruch darauf, dass dieser ihm „ohne Weiteres verfügbare“ Daten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitstellt. Die Bereitstellung soll für den Nutzenden kostenlos sein.
Konkret bedeutet dies, dass Unternehmen als Dateninhaber dazu verpflichtet sind auf Verlangen eines Nutzers die Daten jedem beliebigen Dritten (mit Ausnahme von sog. Gatekeepern) bereitstellen zu müssen (Art. 5 Abs. 1 Data Act). Dabei kann es sich auch um einen Wettbewerber des Dateninhabers handeln. Dritte können allerdings auch im Namen eines Nutzers den Zugangsanspruch gegenüber dem Dateninhaber geltend machen. Hierfür kann jedoch der Dateninhaber eine angemessene Vergütung vom Datenempfänger verlangen, deren Höhe sich aus den Kosten für die Datenbereitstellung, den Investitionskosten und einer angemessenen Marge berechnet (Art. 9 Abs. 1 Data Act).
3. Informationspflichten für Verbraucher
Vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für z.B. ein IoT-Produkt bzw. vor Erbringung eines verbundenen Dienstes muss der Nutzer zwingenden und transparent über die hiermit erlangen und verarbeiteten Daten sowie dessen Rechte aufgeklärt werden.
4. Verbot von unfaire Vertragsklauseln in Standardverträgen
Art. 13 Data Act regelt, unter welchen Umständen Vertragsklauseln als missbräuchlich gelten und daher keine Bindungswirkung entfalten. Anders als eine klassische „AGB-Kontrolle“ im Rahmen der §§ 307 ff. BGB findet Art. 13 Data Act unmittelbare Anwendung auf Unternehmen (AGB-Missbrauchskontrolle im B2B-Bereich).
Nach dem Auffangtatbestand in Art. 13 Abs. 3 Data Act ist eine Standardklausel dann als missbräuchlich anzusehen, wenn ihre Anwendung eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt.
Die AGB-Missbrauchskontrolle des Art. 13 Data Act gilt für Neu-Verträge, die nach dem 12. September 2025 abgeschlossen werden. Für Alt-Verträge, gilt die AGB-Missbrauchskontrolle ab dem 12. September 2027, wenn diese eine unbefristete Laufzeit haben oder ihre Geltungsdauer frühestens 10 Jahre nach dem 11. Januar 2024 endet.
Daraus folgt, dass Unternehmen bereits ab sofort beim Neuabschluss von unbefristeten Verträgen und solchen mit einer Laufzeit von mehr als 10 Jahren die Vorgaben der AGB-Missbrauchskontrolle beachten sollten.
5. Datenzugangsansprüche für öffentliche Stellen
Innerhalb der Art. 14-22 Data Act sind Datenzugangsansprüche für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit geregelt. Das Bereitstellungsverlangen unterliegt dabei aber engen Grenzen und erfordert beispielsweise das Vorliegen eines öffentlichen Notstandes sowie die Unmöglichkeit der rechtzeitigen und gleichwertigen Beschaffung der Daten über einen anderen Weg (vgl. Art. 15 Data Act).
6. Regelungen zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten
Des Weiteren soll die enge Kundenbindung an Produkte und / oder Dienstleistungen reduziert werden. Infolgedessen sollen die Hürden für einen Wechsel zwischen zwei konkurrierenden Datenverarbeitungsdiensten durch die Einführung des Data Acts abgebaut werden. Dies bedeutet kürzere Kündigungsfristen, technische Unterstützungsleistungen sowie schrittweise Abschaffung der Wechselentgelte.
Auch das Thema Interoperabilität wird in Art. 2 Nr. 40 Data Act behandelt. Hierbei handelt es sich um „die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen;“. Diese Möglichkeit zur Zusammenarbeit soll weiterhin zur Förderung eines Wechsels des Danteverarbeitungsdienst beitragen.
Umgang mit Geschäftsgeheimnissen unter dem Data Act
Der Data Act selbst gibt keine Antwort auf die Frage, wann Daten überhaupt als Geschäftsgeheimnisse anzusehen sind. Dennoch besteht wohl eine realistische Gefahr, dass aus einer großen Menge aggregierter Daten beispielsweise die Funktionsweise eines Geräts oder andere Geschäftsgeheimnisse ermittelt / abgeleitet werden können.
Die Klassifikation von Daten als Geschäftsgeheimnisse allein schließt aber nach der Entscheidung des Data Act die Pflicht zur Erfüllung von Zugangs- und Nutzungsansprüchen nicht aus. Nach Art. 4 Abs. 6 Data Act müssen daher gegenüber Nutzern und Datenempfängern Geschäftsgeheimnisse offengelegt werden, wenn vorher erforderlichen Maßnahmen getroffen wurden, um ihre Vertraulichkeit zu wahren. Darunter fallen beispielsweise technische und organisatorische Maßnahmen (TOM), insbesondere non-disclosure-agreements. Wenn Datenempfänger oder sonstige Dritte die vereinbarten Maßnahmen nicht einhalten, müssen sie auf Verlangen des Dateninhabers (1) die Daten löschen, (2) mithilfe der Daten hergestellte Güter vom Markt nehmen, und/oder (3) wenn dies im Hinblick auf die Interessen des Dateninhabers oder Nutzers angemessen ist, den Nutzer über die unautorisierte Weitergabe informieren und der geschädigten Partei Schadensersatz leisten (Art. 11 Abs. 2 Data Act). Die gleichen Pflichten treffen einen Nutzer, der die technischen Schutzmaßnahmen verändert oder beseitigt, oder die mit dem Dateninhaber bzw. Inhaber der Geschäftsgeheimnisse vereinbarten technischen und organisatorischen Maßnahmen nicht aufrechterhält.
Der Dateninhaber kann den Datenzugang nur in Ausnahmefällen verweigern, nämlich dann, wenn er trotz Einhaltung der TOM durch den Nutzer oder Dritten die hohe Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens durch die Offenlegung von Geschäftsgeheimnissen darlegen kann. Der Dateninhaber muss die Zugangsverweigerung ordnungsgemäß und unverzüglich schriftlich anhand objektiver Anhaltspunkte begründen und der zuständigen nationalen Behörde melden. In Betracht zu ziehen sind unter anderem ein fehlender Schutz von Geschäftsgeheimnissen in Drittländern, die Art und der Grad der Vertraulichkeit der angeforderten Daten, die Einzigartigkeit und Neuartigkeit des Produkts sowie negative Auswirkungen auf die Cybersicherheit. Zusammenfasend bleibt jedoch festzuhalten, dass die Voraussetzungen für ein Verweigerungsrecht sehr hoch sind, sodass sie in der Praxis nur sehr schwer zu erfüllen sind.
DSGVO und Data Act
Die Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz in der EU. Sie dient insbesondere dem Schutz von personenbezogenen Daten und soll diese vor Missbrauch schützen. Der Data Act basiert zwar auf der DSGVO, erweitert diese jedoch, insbesondere um spezifische Bestimmungen für die Nutzung von Daten im digitalen Umfeld. Im Fokus stehen die industriellenDaten und nicht die personenbezogenen Daten. Diese sollen für Unternehmen und Verbraucher besser und einfacher nutzbar gemacht werden, ohne dabei den Schutz von personenbezogenen Daten zu vernachlässigen
Als Sanktionsmittel, die bei Verstößen gegen den Data Act zum Einsatz kommen können, verweist der Data Act zum Teil auf die Regelungen der DSGVO zu den Bedingungen für die Verhängung von Geldbußen sowie auf die dort genannten Beträge für Geldbußen.
Fazit
Zusammengefasst stellt der Data Act also folgende Anforderungen an Unternehmen:
- Transparenz bezüglich der Daten, die Unternehmen sammeln, nutzen und teilen
- Interoperabilität zwischen Produkten und Dienstleistungen
- Datenschutz und -sicherheit der gesammelten Daten und Informationen
- Datenaustausch zwischen verschiedenen Unternehmen und Verbrauchern
- Datenportabilität zwischen verschiedenen Anbietern und Dienstleistern
- behördlicher Zugriff auf gesammelte Daten der Privatwirtschaft bei öffentlichen Notfällen (z.B. Naturkatastrophen, Pandemien)