Der Entwurf des Data Act (DA-E) regelt die Bereitstellung von Daten an den Nutzer, Dritte sowie an öffentliche Stellen. Im Folgenden wird der Datenzugangsanspruch des Nutzers nach Art. 3 DA-E dargestellt (zur Erinnerung, „Nutzer“ ist eine natürliche oder juristische Person, die ein Produkt besitzt, mietet oder least oder eine Dienstleistung in Anspruch nimmt, vgl. Art. 2 Nr. 5 DA-E). Unternehmen, die nach dem DA-E als Dateninhaber gelten, werden im Rahmen des Datenzugangsanspruchs des Nutzers eine Reihe von Pflichten auferlegt.

Modalitäten der Bereitstellung von Daten an den Nutzer

Art. 3 Abs. 1 DA-E definiert Anforderungen an die Konzeption und Herstellung von Produkten sowie an die Erbringung verbundener Dienste. Demnach müssen die bei der Nutzung erzeugte Daten standardmäßig für den Nutzer einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sein. Diese Anforderungen können zu einigem Anpassungsbedarf für Hersteller von Geräten führen, die unter den DA-E fallen. Denn Produkte müssten dann hard- und softwareseitig die direkte Zugänglichkeit sicherstellen. Während der Entwurf der Kommission also für den direkten Zugang zu Daten das Kriterium der „Angemessenheit“ fordert, soll nach dem Entwurf des Parlaments bereits bei technischer Machbarkeit eine Pflicht zur Zugänglichmachung bestehen. Der Parlamentsentwurf setzt die Schwelle für den Zugang somit niedriger an.

Wenn der Nutzer nicht selbst direkt vom Produkt aus auf die Daten zugreifen kann, muss der Dateninhaber dem Nutzer die Daten unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung stellen (Art 4 Abs. 1 S. 1 DA-E). In „Echtzeit“ könnte im Ergebnis zu einer Darstellung in Form eines Dashboards erfolgen, welches für den Nutzer stets mit aktuellen Daten gefüttert wird. Zudem kann der Nutzer sein Recht auf Datenzugang mittels einfachem Verlangen auf elektronischem Wege geltend machen, soweit dies technisch machbar ist (Art 4 Abs. 1 S. 2 DA-E). Diese beiden vorstehenden Aussagen sind (insbesondere) aus Unternehmenssicht durchaus herausfordernd. Denn unklar ist sowohl, wann eine Zurverfügungstellung noch unverzüglich i. S. v. Art. 4 Abs. 1 S. 1 DA-E ist als auch, wann noch ein einfaches Verlangen des Nutzers nach Zugang zu seinen Daten vorliegt. Hier zeigen sich Parallelen zur (Anfangszeit der) DSGVO, die ebenfalls viele unbestimmte Rechtsbegriffe enthält und deren Auslegung durch Gerichte und Behörden erst immer weiter geklärt werden muss(te).

Vertragliche Vereinbarung

Der Dateninhaber darf nicht personenbezogene Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden, nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verwenden (Art. 4 Abs. 6 DA-E). Unternehmen sollten sich deshalb bereits von Beginn an vertraglich Nutzungsrechte in Bezug auf diese Daten einräumen lassen. Achtung: falls auch personenbezogene Daten bei der Nutzung des Produktes oder des verbundenen Dienstes anfallen, so muss das Unternehmen für die Verwendung dieser Daten natürlich auch noch eine Rechtsgrundlage nach der DSGVO vorhalten. Der Entwurf des Parlaments sieht zusätzlich vor, dass der Dateninhaber die Nutzung des Produkts nicht davon abhängig machen darf, dass der Nutzer ihm die Verarbeitung von Daten gestattet, die für die Funktionalität des Produkts nicht benötigt werden. Die Formulierung des Parlamentsentwurfs ist damit nutzerfreundlicher als die des Entwurfs der Kommission.

Informationspflichten des Dateninhabers

Dem Dateninhaber werden durch die Verordnung eine Reihe von Informationspflichten ggü. dem Nutzer auferlegt (Art. 3 Abs. 2 DA-E). Dazu zählen insbesondere vorvertragliche Informationspflichten. Diese umfassen beispielsweise Informationen in Bezug auf Art und Umfang der Daten, die voraussichtlich bei der Nutzung des Produktes oder verbundenen Dienstes erzeugt werden, wie der Nutzer auf diese Daten zugreifen kann und wie der Nutzer veranlassen kann, dass die Daten an einen Dritten weitergegeben werden. Laut dem Entwurf des Parlaments soll eine Bereitstellung der Informationen im Internet über einen Link oder QR-Code möglich sein (ErwG 23 S. 4 DA-E des Parlaments).

Neben die Informationspflichten aus der DSGVO (Art. 13 und 14 DSGVO) treten also weitere Informationspflichten für Unternehmen nach dem DA-E.

Empfehlungen für die Praxis

Da die Erfüllung des Datenzugangsanspruchs des Nutzers für Unternehmen als Dateninhaber eine Reihe von Anforderungen mit sich bringt, sollten frühzeitig Maßnahmen zur Implementierung entsprechender Prozesse und Funktionalitäten getroffen werden. Dazu können Anpassungen von Produkten, die Bereitstellung von Informationen und Anpassung von Verträgen zählen.

Das laufende Gesetzgebungsverfahren sollte im Hinblick auf mögliche Anpassungen im Pflichtenprogramm des Dateninhabers verfolgt werden. Wie gezeigt sieht der Parlamentsentwurf Änderungen und teilweise Verschärfungen in Bezug auf die Pflichten des Dateninhabers vor.

In unserer DA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Data Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte und praktische Auswirkungen vor.