Data Act 2024: Neue Rechte & Pflichten für Unternehmen

In den Anwendungsbereich des Data Act fallen Anbieter von vernetzten Produkten oder Anbieter von verbundenen Diensten, sofern sie diese in der Europäischen Union vertreiben.

Der Geltungsbereich des Data Acts ist breit gefasst und umfasst unterschiedlichste Branchen, darunter Energiedienstleister, Maschinenhersteller für Industrie und Landwirtschaft, Anbieter von Haushalts- und Smart-Home-Geräten, Anbieter von Navigationsgeräten und -diensten oder Car-Sharing Diensten sowie Hersteller von Fitness-Trackern. Die im Rahmen des Data Acts berechtigten und verpflichteten Akteure sind der sog. „Dateninhaber“ und der „Nutzer“.

Dateninhaber

Der Dateninhaber ist eine natürliche oder juristische Person, die berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat. Auch wenn die einzelnen Kriterien zur Bestimmung des Dateninhabers noch nicht abschließend geklärt sind, wird hiervon prinzipiell jede Person erfasst, die faktisch über Daten verfügt, die durch das Verhalten einer anderen Person generiert wurden.

Nutzer

Der Nutzer ist eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts eingeräumt wurden oder die verbundene Dienste in Anspruch nimmt.

Vernetztes Produkt

Ein vernetztes Produkt bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung sammelt, erzeugt oder empfängt und in der Lage ist, diese Produktdaten entweder über eine physische Verbindung, einen On-Device-Zugang oder einen elektronischen Kommunikationsdienst zu übermitteln. Dabei darf die Hauptfunktion des Produkts nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Auftrag einer anderen Partei als des Nutzers sein. Typische Beispiele für vernetzte Produkte sind Fahrzeuge, Schiffe, Flugzeuge, Haushaltsgeräte, Konsumgüter, medizinische Geräte und Lifestyle-Geräte.

Verbundener Dienst

Ein verbundener Dienst ist ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt. Dies umfasst auch Software. Dieser Dienst ist entweder zum Zeitpunkt des Kaufs, der Miete oder des Leasings mit einem Produkt verbunden, sodass das Fehlen dieses Dienstes das Produkt daran hindern würde, eine seiner Funktionen auszuführen. Alternativ kann der verbundene Dienst auch nachträglich vom Hersteller oder einem Dritten dem Produkt hinzugefügt werden, um die Funktionen des vernetzten Produkts zu erweitern, zu aktualisieren oder anzupassen.

Kleinst-, Klein- und mittlere Unternehmen

Die Verpflichtungen zum Datenzugang und zur Datenweitergabe gelten nicht für Daten, die bei der Nutzung von vernetzten Produkten generiert werden, die von einem Kleinst- oder Kleinunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanz von max. EUR 10 Mio. hergestellt oder konzipiert werden oder die bei der Nutzung von verbundenen Diensten generiert werden, die von einem solchen Unternehmen erbracht werden, sofern dahinter nicht ein größeres Partnerunternehmen oder verbundenes Unternehmen oder ein größerer Auftraggeber stehen.

Das Gleiche gilt für Daten, die durch die Nutzung von vernetzten Produkten generiert werden, die von einem sog. mittleren Unternehmen hergestellt werden, das seit weniger als einem Jahr als mittleres Unternehmen eingestuft ist, oder für verbundene Dienste, die von einem solchen Unternehmen erbracht werden, und für vernetzte Produkte für ein Jahr nach dem Zeitpunkt ihres Inverkehrbringens durch ein mittleres Unternehmen. Als mittlere Unternehmen gelten Unternehmen mit weniger als 250 Mitarbeitern und entweder einem Jahresumsatz von nicht mehr als EUR 50 Mio. oder einer Jahresbilanzsumme von nicht mehr als EUR 43 Mio.

Die Datenbereitstellungspflicht betrifft Daten, die durch die Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt oder generiert werden. Dies kann über eine physische Verbindung, einen On-Device-Zugang oder einen elektronischen Kommunikationsdienst erfolgen. Hierbei können Informationen zu Reiserouten, Verkehrsmustern, Durchschnittsgeschwindigkeiten, Einkaufsverhalten, Schrittzahlen, App-Nutzungen, Geo-Daten, Schlafmustern und vielem mehr erfasst werden. Auch Sensoren, die den Anlagenbetrieb überwachen, fallen darunter. 

Nicht von der Datenbereitstellungspflicht umfasst sind Daten, die das Ergebnis von Verarbeitungen sind, die die Daten wesentlich verändern, sowie Daten, die bei der Nutzung des Produkts zur Nutzung von Softwareanwendungen, die nicht zu der zugehörigen Dienstleistung gehören, aufgezeichnet wurden. Auch Daten, die bei der Aufzeichnung, Übertragung oder Wiedergabe von Inhalten generiert wurden sowie der Inhalt selbst, sind nicht betroffen

Vernetzte Produkte und verbundene Dienste müssen so konzipiert und hergestellt bzw. erbracht werden, dass die Produktdaten und verbundenen Dienstdaten einschließlich der Metadaten standardmäßig für den Nutzer zugänglich sind (Art. 3 Abs. 1 Data Act).

• Die Produktdaten müssen in klarem, sicheren und maschinenlesbaren Format kostenfrei zur Verfügung gestellt werden.
• Die Metadaten müssen für den Nutzer zugänglich sein.

Soweit der Nutzer nicht direkt vom vernetzten Produkt oder verbundenen Dienst aus auf die Daten zugreifen kann, hat der Dateninhaber dem Nutzer die ohne weiteres verfügbaren Daten einschließlich Metadaten bereitzustellen (Art. 4 Abs. 1 Data Act):

Die Bereitstellung hat

• unverzüglich, einfach, sicher, unentgeltlich, und
• in einem umfassenden, gängigen und maschinenlesbaren Format, wenn möglich elektronisch, zu erfolgen.

Der Nutzer kann verlangen, dass der Dateninhaber ohne Weiteres verfügbare Daten und Metadaten einem Dritten zur Verfügung stellt (Art. 5 Data Act). Auf diese Weise soll das Angebot von Nebenleistungen wie Versicherungen oder Reparaturdiensten ermöglicht werden.

• Auf Verlangen des Nutzers müssen die Daten einem Dritten als Datenempfänger exklusiv bereitgestellt werden (Art. 8 Abs.4 Data Act).
• Es darf grundsätzlich eine angemessene Vergütung von dem Dritten verlangt werden (Art. 9 Abs. 1 Data Act). Ausnahmen bestehen, wenn der Datenempfänger ein kleines oder mittleres Unternehmen oder eine gemeinnützige Forschungseinrichtung ist (Art. 9 Abs. 4 Data Act).
• Anfragen eines Gatekeepers (z.B. Alphabet, Amazon, Meta, Microsoft) im Sinne des Digital Markets Act dürfen abgelehnt werden.
• Der Dateninhaber darf zur Überprüfung, ob ein Anfragender Nutzer oder Dritter ist, nur Daten verlangen, die zu dieser Identifikation notwendig sind (Art. 5 Abs. 4 Data Act).
• Es wird vorgegeben, unter welchen Voraussetzungen eine Vertragsklausel in Bezug auf den Datenzugang und die Datennutzung als rechtsmissbräuchlich und damit nicht bindend anzusehen ist, vorausgesetzt die Parteien haben über die Klausel – wenn auch erfolglos – verhandelt  (Art. 13 Data Act).
• Die von der EU Kommission innerhalb von 20 Monaten nach Inkrafttreten des Data Act zu erstellenden Mustervertragsklauseln werden Aufschluss über die weiteren Bedingungen der Datenbereitstellung geben.

Nutzer und Dateninhaber können den Zugang sowie die Nutzung zur Weitergabe von Daten u. a. beschränken, wenn:

• Sicherheitsanforderungen des vernetzten Produkts beeinträchtigt werden und dies zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder Sicherheit von natürlichen Personen führen kann (Art. 4 Abs. 2 Data Act).

Dateninhaber dürfen ohne weiteres verfügbare Daten nur auf der Grundlage einer Lizenzvereinbarung mit dem Nutzer verwenden (Art. 4 Abs. 13 Data Act). Diese Regelung bezieht sich auf nicht personenbezogene Daten. 

Ein Dateninhaber kann geeignete technische Schutzmaßnahmen, einschließlich intelligenter Verträge und Verschlüsselung, einsetzen, um den unbefugten Zugang zu Daten, einschließlich Metadaten, zu verhindern (Art. 11 Abs. 1 Data Act). Dabei ist sicherzustellen, dass

• keine Diskriminierung oder Beeinträchtigung der Rechte von Nutzern oder Dritten erfolgt; und
• die Schutzmaßnahmen nur mit Zustimmung des Dateninhabers geändert oder entfernt werden.

Die Anbieter vernetzter Produkte und verbundener Dienste sind verpflichtet, dem Nutzer u. a. die folgenden vorvertraglichen Informationen bereitzustellen (Art. 3 Abs. 2 Data Act):

• Art und Umfang der erzeugten Daten, die das vernetzte Produkt oder der verbundene Dienst generieren können;
• ob die Daten kontinuierlich und in Echtzeit generiert werden können;
• ob das vernetzte Produkt in der Lage ist, Daten auf einem Gerät oder Server zu speichern;
• wie Nutzer auf diese Daten zugreifen, sie abrufen oder ggf. löschen können, einschließlich der technischen Mittel, der Nutzungsbedingungen und die Dienstqualität;
• ob der Hersteller oder Anbieter beabsichtigt, die Daten selbst zu nutzen oder einem Dritten die Nutzung zu gestatten, sowie Zwecke dieser Nutzung;
• Angaben zum Dateninhaber, falls der Verkäufer, Mieter oder Leasinggeber nicht der Dateninhaber ist, einschließlich Handelsname und Adresse;
• mögliche Kontaktwege;
• eine Erklärung, wie Nutzer die Weitergabe der Daten an Dritte veranlassen können; und
• Informationen zum Beschwerderecht für Nutzer.

Die Datenschutzgrundverordnung (DSGVO)-Vorgaben, insbesondere das Erfordernis einer datenschutzrechtlichen Rechtsgrundlage, bleiben vom Data Act unberührt.  Nach dem Data Act soll ein Auftragsverarbeiter nicht als Dateninhaber gelten, aber vom Verantwortlichen ausdrücklich beauftragt werden können, Daten bereitzustellen.

Für Anbieter von Datenverarbeitungsdiensten werden neue Regelungen zu Informationspflichten, vertraglichen Mindestinhalten und Maßnahmen zur Ermöglichung eines Anbieterwechsels einschließlich der Begrenzung von Wechselentgelten eingeführt. Dies betrifft cloud-basierte Dienste im allgemeinen.

Wesentliche Anforderungen an intelligente Verträge („Smart Contracts“) für die Ausführung von Datenweitergabevereinbarungen werden festgelegt.

Die Mitgliedsstaaten erlassen Vorschriften über Sanktionen bei Verstößen gegen den Data Act (Art. 40 Abs. 1 Data Act). Die Höhe der Sanktionen wird bestimmt durch Art, Schwere, Umfang und Dauer des Verstoßes, Maßnahmen der verstoßenden Partei, um den Schaden zu mindern, frühere Verstöße der verstoßenden Partei, finanzielle Vorteile der verstoßenden Partei und den Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr.

... um eine aus Sicht des eigenen Unternehmens optimierte Datennutzung zu ermöglichen ...

Hersteller und Anbieter vernetzter Produkte sind gut beraten, sich frühzeitig damit auseinanderzusetzen, wie sie bei der Produktnutzung generierte Daten weiterhin umfassend nutzen können, und wie sie eine Data Act-konforme Strategie zur Datenbereitstellung mit dem Schutz ihrer Geschäftsgeheimnisse in Einklang bringen.

... um den Datenschutz „mitzudenken“ …

Zusätzliche Herausforderungen ergeben sich für Dateninhaber bei personenbezogenen Daten, für deren Bereitstellung und Nutzung die datenschutzrechtliche Rechtsgrundlage sicherzustellen ist. Das gilt insbesondere, wenn der Nutzer nicht die von der Datenverarbeitung betroffene Person ist.

Anbieter, die personenbezogene Daten als Dienstleister verarbeiten, sollten die Reichweite ihrer Nutzungsbefugnisse und der auf sie anwendbaren Regelungen des Data Act prüfen.

... um Produkt- und Vertragsanpassungen vorzubereiten …

Datenverarbeitungsdienste sollten schnellstmöglich Klarheit darüber gewinnen, welche Änderungen sich für sie aus den Vorgaben für die Ermöglichung eines Anbieterwechsels, den Informationspflichten und den neuen Mindestvertragsinhalten ergeben.

Bei den nächsten Schritten sollten die Fachabteilungen eingebunden werden. Gerne unterstützen wir Sie bei den Vorbereitungen im Rahmen eines Workshops oder analysieren die Auswirkungen für konkrete Produkte und Dienste Ihres Unternehmens. Dabei können (bereits verabschiedete oder geplante) EU-Regelungen wie der AI Act, die AI Liability Directive, der Cyber Resilience Act und der Digital Services Act einbezogen werden.