EU Data Act – Teil II: Pflichten für Unternehmen
Der EU Data Act (Deutsch: „Datenverordnung“ schafft neue Grundregeln dazu, wer Zugang zu Daten aus vernetzten Produkten und Diensten in der EU hat und wer diese nutzen kann.
Die finale Fassung des Data Act wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht. Er gilt damit gemäß Art. 50 S. 2 Data Act ab dem 12. September 2025. Der Text findet sich hier. Mit insgesamt 119 Erwägungsgründen und 50 Artikeln handelt es sich, etwa im Vergleich zur DSGVO, um ein fast überschaubares Gesetz. Die ihm innenwohnende Komplexität sollte man allerdings nicht unterschätzen.
Kurz zusammengefasst soll der Data Act soll privaten und gewerblichen Nutzern Zugang zu Daten gewähren, die bei der Nutzung von vernetzten Produkte oder Diensten generiert werden. Dies beinhaltet sowohl personen- und nicht personenbezogene Daten. Die Verordnung unterscheidet an dieser Stelle nicht.
Den Unternehmen werden dabei zahlreiche Pflichten auferlegt, die mit erheblichem Umsetzungsaufwand verbunden sind. Die meisten Regelungen gelten zwar erst 20 Monate nach Inkrafttreten, also ungefähr ab August 2025, der Vorbereitungsaufwand für betroffene Unternehmen dürfte allerdings erheblich sein. Die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten standardmäßig („by default“) in ihren Produkten zu implementieren gilt für solche Produkte und die mit ihnen verbundenen Dienste, die 32 Monate nach dem Inkrafttreten des Data Act in Verkehr gebracht werden, konkret ab dem 12. September 2026.
In unserer dreiteiligen Serie stellten wir den Data Act im Detail vor. Danach wissen Sie, was Regelungsgegenstand und Hintergrund des Gesetzes ist, ob Ihr Unternehmen betroffen ist und wie Sie sich vorbereiten müssen.
Teil 2: Pflichten der betroffenen Unternehmen
Der Data Act enthält zahlreiche Regelungen, die in der Praxis einen großen Einfluss auf den Umgang mit Daten haben werden. Wir erklären die relevantesten Inhalte .
Pflicht zur Bereitstellung von Daten
Die Nutzer vernetzter Geräte erhalten, unabhängig davon, ob sie diese gewerblich oder privat nutzen, das Recht, auf die generierten Daten zuzugreifen und sie weiterzugeben.
Herstellern vernetzter Produkte und Anbietern verbundener Dienste wird in Art. 3 Abs. 1 Data Act die Pflicht auferlegt, Produkte und verbundene Dienste so herzustellen und zu betreiben, dass Produktdaten und verbundene Dienstdaten standardmäßig für den Nutzer einfach, sicher, unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich zugänglich sind. Soweit die Daten nicht in diesem Sinne direkt für den Nutzer zugänglich sind, haben die Verpflichteten „ohne weiteres verfügbare Daten“ zusammen mitsamt der zur Auslegung und Nutzung der Daten erforderlichen Metadaten bereitzustellen, Art. 4 Abs. 1 Data Act.
Bereits hier wird klar, dass die Verordnung zahlreiche unbestimmte Rechtsbegriffe enthält, die noch mit Leben gefüllt werde müssen. Was Metadaten, ohne weiteres verfügbare Daten und maschinenlesbare Formate sind, darüber wird mit Sicherheit noch ausdauernd gestritten werden.
Grundsätzlich gilt jedoch, dass „Produktdaten“ und „verbundene Dienstdaten“ direkt zugänglich zu machen sind.
Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – abgerufen werden können.
Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden.
Zu den bereitzustellenden Informationen zählen also etwa Aufzeichnungen von Sensoren vernetzter Produkte wie z. B. Bremsvorgänge eines Fahrzeugs oder Fehlermeldungen einer Maschine. Auch Verbrauchs- oder Statusinformationen werden hierunter subsumiert, etwa zum Akkuzustand eines Geräts.
Nicht betroffen sind aller Voraussicht nach aber Inhaltsdaten, also z. B. vom Nutzer mit einer Kamera aufgenommene Bilder oder in eine Cloud hochgeladene Dateien. Soweit dies zutrifft, ist dies gegebenenfalls eine Erleichterung für betroffene Anbieter, falls diese Daten nicht bereits von den umfassenden Rechten der Betroffenen aus der DSGVO umfasst sind.
Transparenz- und Weitergabepflichten
Art. 3 Abs. 2 und 3 Data Act normieren, dass vor Abschluss eines (Kauf)Vertrages über ein vernetztes Produkt oder einen verbundenen Dienst der Nutzer umfassend informiert werden muss, welche Daten in welchem Umfang von ihm gesammelt werden und wie diese verwendet und weitergegeben werden sollen. Diese Pflicht trifft nicht nur den Hersteller, sondern auch Verkäufer, Vermieter oder Leasinggeber. Zusätzlich zu den Datenschutzhinweisen nach DSGVO werden viele Unternehmen küntig also Datennutzungshinweise gemäß Data Act erstellen und verfügbar halten müssen. Ein nicht zu unterschätzender praktischer und rechtlicher Aufwand.
Ergänzend gilt Art. 5 Abs. 1 Data Act, der dem Nutzer ermöglicht, seine Daten an einen Dritten weitergeben zu lassen. Dadurch werden Anbieter verpflichtet, die gesammelten Daten in gleicher Qualität, wie sie ihnen selbst zur Verfügung stehen, an eine weitere Stelle, z. B. einen Reparaturbetrieb oder sogar Konkurrenten, weiterzugeben. Das ist für den Nutzer vorteilhaft, da die Kosten für Reparaturen ohne eine Monopolstellung des Herstellers, der bislang als einziger alle relevanten Daten auslesen konnte, dem Wettbewerb eröffnet sind und somit sinken dürften. Außerdem wird dadurch der Wechsel zwischen unterschiedlichen Anbietern erleichtert.
Der Data Act gibt auch Hoheitsträgern in der EU neue Rechte. Öffentliche Behörden und Einrichtungen in der EU können durch den Data Act erleichtert auf Daten der Privatwirtschaft zugreifen.
Neues Tätigkeitsfeld für Rechtsanwälte: Verträge zwischen Unternehmen
Muss ein Dateninhaber einem Dritten Daten nach Maßgabe des Art. 5 Data Act bereitstellen, so ist darüber ein Vertrag zwischen den beteiligten Unternehmen abzuschließen. Die Details regelt Art. 8 Abs. 1 Data Act. Anwälte und Inhouse-Juristen dürfen sich also über ein neues Tätigkeitsfeld freuen. Wie genau diese Verträge aussehen sollten, werden wir noch herausarbeiten. Die Kommission ist allerdings gemäß Art. 41 Data Act verpflichtet, zu verschiedenen Themen Mustervertragsklauseln und Standardvertragsklauseln zu entwerfen. Diese müssen vor dem 12. September 2025 veröffentlicht werden.
Wie ist das Verhältnis zur DSGVO?
Der Data Act gilt neben der DSGVO und lässt diese unberührt. Im Gegensatz zur DSGVO, die eine Zweckbindung vorsieht, gibt es im Data Act keine solche Bindung. Ein und derselbe Datensatz kann potenziell unbegrenzt für verschiedene Zwecke verwendet und weiterverarbeitet werden. Das Ziel ist eine optimale Datennutzung. Das Recht der Nutzer auf Datenzugang wird erweitert, was die Bedeutung von Nutzerkonten erhöht, um die Datenzugangsverlangen zu erfüllen. Nach dem Data Act sollen Dateninhaber sicherstellen, dass Auftragsverarbeiter Datenzugangsverlangen empfangen und bearbeiten können, während dies nach der DSGVO im Bereich des Verantwortlichen liegt.
Wenn personenbezogene und nicht personenbezogene Daten in einem Datensatz untrennbar miteinander verbunden sind, unterliegt die Verarbeitung der DSGVO. Denn der Data Act gilt unbeschadet der DSGVO, Art. 1 Abs. 5 Data Act.
Daraus ergeben sich einige Wechselwirkungen, die zu Rechtsunsicherheit führen können. Die Last dieser Rechtsunsicherheit tragen die Unternehmen. Der Dateninhaber, insbesondere der Hersteller, des Data Acts ist regelmäßig Verantwortlicher im datenschutzrechtlichen Sinne. Das führt bei Mehrpersonenverhältnissen gegebenenfalls zu einer hohen Komplexität. Bei gemeinsamer Verantwortlichkeit muss in einer Vereinbarung in transparenter Form festgelegt werden, wer welche Pflichten zur Einhaltung des Data Acts erfüllt. Dies stellt sicher, dass alle Parteien ihre Verantwortlichkeiten kennen und erfüllen.
Der Data Act stellt betroffene Anbieter auch vor ein weiteres Dilemma. In Bezug auf die Verarbeitung personenbezogener Daten schafft der Data Act keine Rechtsgrundlage für den Dateninhaber. Der Zugang zu personenbezogenen Daten oder deren Übermittlung erfordert eine datenschutzrechtliche Rechtsgrundlage, wie zum Beispiel die Einwilligung oder ein berechtigtes Interesse. Das führt dazu, dass jemand aus dem Data Act verpflichtet sein könnte, Daten herauszugeben, aber es nach DSGVO nicht ohne Rechtsgrundlage tun darf. Eine fehlerhafte Einordnung von Daten als personenbezogen oder nicht personenbezogen, kann daher zu einem Bußgeld bewährten Fehlverhalten führen. Um dies zu vermeiden, sollte bei Zweifeln ein Datenschutzberater einbezogen werden.
Unternehmen müssen diesbezüglich auch sicherstellen, dass personenbezogene Daten nur an den tatsächlichen Nutzer herausgegeben werden. Bei vielen vernetzten Produkten wie Flottenfahrzeugen oder gemeinschaftlich genutzten Dienstgeräten eine große Herausforderung.
Ausnahmen
Der Data Act sieht in einigen Fällen Ausnahmen von den Pflichten zur Datenbereitstellung vor. Das betrifft vor allem den Schutz von Geschäftsgeheimnissen, Sicherheitsanforderungen und Kleinunternehmen.
Geschäftsgeheimnisse
Der Begriff des Geschäftsgeheimnisses wird in Art. 2 Abs. 1 der Richtlinie 2016/943 definiert. „Geschäftsgeheimnisse“ sind danach Informationen, die alle nachstehenden Kriterien erfüllen:
a) Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
b) sie sind von kommerziellem Wert, weil sie geheim sind;
c) sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.
Gem. Art. 8 Abs. 6 Data Act soll die Pflicht, einem Datenempfänger Daten bereitzustellen, grundsätzlich nicht zur Offenlegung von Geschäftsgeheimnissen verpflichten.
Das bedeutet im Hinblick auf die Einhaltung des Data Act, dass technische Vorkehrungen zu treffen sind, um Geschäftsgeheimnisse zu wahren, aber der Datenauskunft dennoch stattzugeben. Nur wenn nachweisbar ist, dass die technischen Möglichkeiten nicht ausreichen, kann mit entsprechender Begründung eine Auskunft verweigert werden, Art. 4 Abs. 8 Data Act.
Nach Art. 5 Abs. 9 Data Act müssen Geschäftsgeheimnisse Dritten offenbart werden, soweit die Offenlegung für den zwischen dem Nutzer und dem Dritten vereinbarten Zweck zwingend erforderlich ist. Nur ausnahmsweise kann der Dateninhaber die Offenlegung verweigern, wenn er eine hohe Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens nachweisen kann. Diese Wertung legt die Beweislast Unternehmen auf, sodass diese den Aufwand in der Beweisführung und das Risiko einer Fehleinschätzung tragen müssen.
Der Schutz von Geschäftsgeheimnissen ist dadurch nur unzureichend sichergestellt. Zwar weist der Data Act selbst wiederholt auf die Gefahr hin, dass die „Durchsetzbarkeit des Schutzes von Geschäftsgeheimnissen in Drittländern“ teilweise nicht hinreichend gewährleistet ist, aber die Interessen der Nutzer und der Vorteil der wiederholten Verwendbarkeit von Daten, werden anscheinend über die wirtschaftlichen Interessen der Unternehmen gestellt.
Die Anbieter sollten die auszugebenden Daten daher intensiv betrachten und gegebenenfalls frühzeitig technische Änderungen anstreben, sodass bei der Datenherausgabe möglichst keine Geschäftsgeheimnisse offengelegt werden müssen.
Sicherheitsanforderungen
Art. 4 Abs. 2 Data Act sieht vor, dass Dateninhaber den Zugang zu Daten beschränken können, wenn damit im Unionsrecht oder im nationalen Recht festgelegten Sicherheitsanforderungen des vernetzten Produkts beeinträchtigt werden könnten. Hier muss allerdings genau geprüft werden, ob diese Voraussetzungen tatsächlich zutreffen und des Weiteren ist hierüber ein entsprechender Vertrag mit dem Nutzer abzuschließen.
Kleine Unternehmen
Ausgenommen von den Anforderungen zur Datenbereitstellung sind weitestgehend auch Kleinstunternehmen und Kleinunternehmen. Dies sind solche mit weniger als 49 Beschäftigten und einem Jahresumsatz von weniger als 10 Mio. Euro.
Lesen Sie im dritten Teil unserer Serie zum Data Act, wie Sie Ihr Unternehmen konkret auf die neuen Anforderungen vorbereiten. Abonnieren Sie unseren Newsletter, um keine Neuigkeiten zu verpassen.
