Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

Zum Data Act haben wir auch eine Update-Reihe vorbereitet, in welcher u. a. der Anwendungsbereich, die Pflichten für Unternehmen sowie Rechte der Nutzer aus der neuen Verordnung mit Blick auf die Praxis näher erörtert werden.

Auf welche Produkte ist der Data Act anwendbar und wer sind die Adressaten?

Der Data Act gilt für alle Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Im nun verabschiedeten Text der Verordnung wird der (im Vergleich zum Entwurf der Kommission) „verkleinerte“ Produkt-Begriff benutzt. Der Data Act spricht insoweit lediglich von „vernetzten Produkten und verbundenen Diensten“.

Die Verordnung definiert diese Begriffe wie folgt:

• Der Begriff „vernetztes Produkt“ bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
• Der Begriff „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.

Gemeint sind also in erster Linie die „smarten“ Produkte aus dem Bereich des „Internet of Things“, also z. B. die vernetzten Autos, Smart Speaker und weitere Smart-Home-Geräte (wie Kühlschränke, Saugroboter, Heizungen und andere). Diese Produkte lassen sich oft nur mithilfe der dazugehörigen Smartphone-App bedienen – diese Apps stellen die „dazugehörigen Dienste“ dar.

Die Verordnung ist auf alle Daten anwendbar (technische Daten, Texte, Audio, Bilder u. a.). Erfasst sind dabei nicht nur die personenbezogenen Daten i. S. d. DSGVO, sondern auch nicht-personenbezogene Daten, darunter Metadaten.

Der Data Act gilt für Hersteller von den oben genannten Produkten und Diensten, für Nutzer solcher Dienste und Produkte, für Dateninhaber (oder präziser gesagt, Datenbesitzer), Datenempfänger, öffentliche Stellen, Anbieter von Datenverarbeitungsdiensten sowie Teilnehmer von Data Spaces und Anbieter von Anwendungen, die Smart Contracts verwenden.

Vor allem für die Dateninhaber ist die Verordnung relevant und mit großem Umsetzungsaufwand verbunden. Das sind vor allem die Unternehmen, die die nutzergenerierten Daten aus den vernetzten Produkten und dazugehörigen Diensten bekommen – i. d. R. sind das die Hersteller. Gegen sie richtet sich der Anspruch der Nutzer auf Datenzugang.

Wichtigste Pflichten im Data Act

Die zentrale Pflicht ist die Verpflichtung, die Daten aus der Nutzung von Produkten und Diensten an die B2B- oder B2C-Nutzer bereitzustellen, welche in Art. 3 Data Act geregelt ist.

Diese Pflicht sieht vor, dass die vernetzten Produkte so konzipiert und produziert werden müssen, dass diese den Nutzern einen kostenlosen Zugang zu Daten (darunter auch Metadaten) in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden können (soweit technisch möglich muss dies direkt erfolgen).

Für die zukünftige Praxis bedeutet dies, dass bereits im Rahmen der Konzeption und Entwicklung vernetzter Produkte die Anforderung des Data Act zu beachten und „in die Produkte“ zu integrieren ist.

Dieses Recht wird dadurch ergänzt, dass die Nutzer vor dem Abschluss des (Kauf- oder Nutzungs-)Vertrags umfassend informiert werden müssen, ob und welche Daten in welchem Umfang durch das Produkt generiert und gespeichert werden. Die Informationspflicht umfasst auch Angaben dazu, wie der Nutzer den Zugang zu Daten erhalten kann.

Für die mit den Produkten verbundenen Dienste (z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste) gelten ähnliche Vorgaben, Art. 3 Abs. 3 Data Act. Selbstverständlich sieht die Verordnung auch Ausnahmen vor, z. B. für den Fall, wenn dadurch die Sicherheitsanforderungen des Produkts untergraben werden oder wenn dadurch Geschäftsgeheimnisse offengelegt werden. Ob diese Ausnahmen eine hohe Praxisrelevanz haben oder eher restriktiv ausgelegt werden, lässt sich zum heutigen Zeitpunkt noch nicht sagen. Der verabschiedete Text enthält auch eine weitere Einschränkung, die für die Nutzer gilt: Diese dürfen nämlich keine Zwangsmittel anwenden oder Lücken in technischer Infrastruktur des Dateninhabers missbrauchen, um Zugang zu den Daten zu erlangen.

Ganz wichtig ist auch der neu gefasste Abs. 14 des Artikels 4 Data Act: Nach dieser Regelung dürfen die Dateninhaber die nicht-personenbezogenen Produktdaten an Dritte weder zu kommerziellen noch zu nicht kommerziellen Zwecken zur Verfügung stellen, es sei denn, es ist zur Erfüllung des Vertrages mit dem Nutzer erforderlich. Damit untersagt die neue Verordnung im Grunde den Handel mit Nutzerdaten durch die Unternehmen und räumt den Nutzern die exklusiven Vermarktungsrechte an ihren Produktdaten ein.

Eine weitere, für die Praxis äußerst relevante Pflicht ist im Art. 5 Data Act geregelt. Der Dateninhaber muss danach auf Verlangen des Nutzers die Daten an Dritte bereitstellen. Die Nutzer können also den Dateninhaber anweisen, die Daten an z. B. Reparaturbetriebe oder konkurrierende Dienstleister zu übergeben. Dies erinnert an Art. 20 DSGVO, das Recht auf Datenübertragbarkeit. Geschäftsgeheimnisse sind aber nicht erfasst, es sei denn, die (teilweise) Offenlegung von diesen ist für die vereinbarten Zwecke unbedingt notwendig (mit Ausnahme für die Fälle, wo erhebliche finanzielle Verluste durch die Offenlegung drohen). Die Weitergabe erfolgt auf Grundlage eines Vertrages zwischen dem Dateninhaber und dem Dritten. Grundsätzlich können diese Verträge auch Regelungen zum angemessenen Entgelt beinhalten.

Weitere Pflichten beziehen sich auf die Ermöglichung eines Wechsels zwischen Datenverarbeitungsdiensten und die Anforderungen an die Interoperabilität.

Inkrafttreten und Geltung

Der Data Act tritt am 20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die meisten Regelungen werden gem. Art. 50 Data Act ab dem 20. Monat nach Inkrafttreten anwendbar sein, also wohl etwa ab August 2025. Art. 3 Abs. 1 Data Act (die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten „by default“ in ihren Produkten zu implementieren) gilt erst ab August 2026.

Ausblick und Vorbereitungsmaßnahmen

Der Data Act schafft einen neuen Markt für Nutzerdaten, wo die Nutzer die exklusiven Rechte an ihren Produktdaten haben. Damit bekommen die Datenbörsen, Broker und anderen Intermediäre ein Regelwerk für ihre Tätigkeit auf dem Markt. Insbesondere im früher eher wenig geregelten Bereich der nicht-personenbezogenen Daten sind massive (Markt-)Veränderungen zu erwarten.

Die Unternehmen müssen sich trotz der 20-monatigen Übergangszeit auf weitgehende Pflichten schon jetzt aktiv vorbereiten. Für die Hersteller von vernetzten Produkten ist der Umsetzungsaufwand enorm. Der Data Act gilt für alle Marktteilnehmer und die Unternehmen müssen ggf. erhebliche Anpassungen in ihren Geschäftsmodellen vornehmen, um insbesondere den Zugang und Interoperabilität von Daten sicherzustellen. Im Falle der Zuwiderhandlung sind im Data Act selbstverständlich Sanktionen vorgesehen.

Besonders viel Aufwand droht da, wo die nutzergenerierten Daten aus vernetzten Produkten personenbezogen sind. In diesem Fall sind zusätzlich zu den Data-Act-Anforderungen auch die DSGVO-Pflichten zu beachten.