News
EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?
Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.
Zum Data Act haben wir auch eine Update-Reihe vorbereitet, in welcher u. a. der Anwendungsbereich, die Pflichten für Unternehmen sowie Rechte der Nutzer aus der neuen Verordnung mit Blick auf die Praxis näher erörtert werden.
Auf welche Produkte ist der Data Act anwendbar und wer sind die Adressaten?
Der Data Act gilt für alle Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Im nun verabschiedeten Text der Verordnung wird der (im Vergleich zum Entwurf der Kommission) „verkleinerte“ Produkt-Begriff benutzt. Der Data Act spricht insoweit lediglich von „vernetzten Produkten und verbundenen Diensten“.
Die Verordnung definiert diese Begriffe wie folgt:
- Der Begriff „vernetztes Produkt“ bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
- Der Begriff „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Gemeint sind also in erster Linie die „smarten“ Produkte aus dem Bereich des „Internet of Things“, also z. B. die vernetzten Autos, Smart Speaker und weitere Smart-Home-Geräte (wie Kühlschränke, Saugroboter, Heizungen und andere). Diese Produkte lassen sich oft nur mithilfe der dazugehörigen Smartphone-App bedienen – diese Apps stellen die „dazugehörigen Dienste“ dar.
Die Verordnung ist auf alle Daten anwendbar (technische Daten, Texte, Audio, Bilder u. a.). Erfasst sind dabei nicht nur die personenbezogenen Daten i. S. d. DSGVO, sondern auch nicht-personenbezogene Daten, darunter Metadaten.
Der Data Act gilt für Hersteller von den oben genannten Produkten und Diensten, für Nutzer solcher Dienste und Produkte, für Dateninhaber (oder präziser gesagt, Datenbesitzer), Datenempfänger, öffentliche Stellen, Anbieter von Datenverarbeitungsdiensten sowie Teilnehmer von Data Spaces und Anbieter von Anwendungen, die Smart Contracts verwenden.
Vor allem für die Dateninhaber ist die Verordnung relevant und mit großem Umsetzungsaufwand verbunden. Das sind vor allem die Unternehmen, die die nutzergenerierten Daten aus den vernetzten Produkten und dazugehörigen Diensten bekommen – i. d. R. sind das die Hersteller. Gegen sie richtet sich der Anspruch der Nutzer auf Datenzugang.
Wichtigste Pflichten im Data Act
Die zentrale Pflicht ist die Verpflichtung, die Daten aus der Nutzung von Produkten und Diensten an die B2B- oder B2C-Nutzer bereitzustellen, welche in Art. 3 Data Act geregelt ist.
Diese Pflicht sieht vor, dass die vernetzten Produkte so konzipiert und produziert werden müssen, dass diese den Nutzern einen kostenlosen Zugang zu Daten (darunter auch Metadaten) in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden können (soweit technisch möglich muss dies direkt erfolgen).
Für die zukünftige Praxis bedeutet dies, dass bereits im Rahmen der Konzeption und Entwicklung vernetzter Produkte die Anforderung des Data Act zu beachten und „in die Produkte“ zu integrieren ist.
Dieses Recht wird dadurch ergänzt, dass die Nutzer vor dem Abschluss des (Kauf- oder Nutzungs-)Vertrags umfassend informiert werden müssen, ob und welche Daten in welchem Umfang durch das Produkt generiert und gespeichert werden. Die Informationspflicht umfasst auch Angaben dazu, wie der Nutzer den Zugang zu Daten erhalten kann.
Für die mit den Produkten verbundenen Dienste (z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste) gelten ähnliche Vorgaben, Art. 3 Abs. 3 Data Act. Selbstverständlich sieht die Verordnung auch Ausnahmen vor, z. B. für den Fall, wenn dadurch die Sicherheitsanforderungen des Produkts untergraben werden oder wenn dadurch Geschäftsgeheimnisse offengelegt werden. Ob diese Ausnahmen eine hohe Praxisrelevanz haben oder eher restriktiv ausgelegt werden, lässt sich zum heutigen Zeitpunkt noch nicht sagen. Der verabschiedete Text enthält auch eine weitere Einschränkung, die für die Nutzer gilt: Diese dürfen nämlich keine Zwangsmittel anwenden oder Lücken in technischer Infrastruktur des Dateninhabers missbrauchen, um Zugang zu den Daten zu erlangen.
Ganz wichtig ist auch der neu gefasste Abs. 14 des Artikels 4 Data Act: Nach dieser Regelung dürfen die Dateninhaber die nicht-personenbezogenen Produktdaten an Dritte weder zu kommerziellen noch zu nicht kommerziellen Zwecken zur Verfügung stellen, es sei denn, es ist zur Erfüllung des Vertrages mit dem Nutzer erforderlich. Damit untersagt die neue Verordnung im Grunde den Handel mit Nutzerdaten durch die Unternehmen und räumt den Nutzern die exklusiven Vermarktungsrechte an ihren Produktdaten ein.
Eine weitere, für die Praxis äußerst relevante Pflicht ist im Art. 5 Data Act geregelt. Der Dateninhaber muss danach auf Verlangen des Nutzers die Daten an Dritte bereitstellen. Die Nutzer können also den Dateninhaber anweisen, die Daten an z. B. Reparaturbetriebe oder konkurrierende Dienstleister zu übergeben. Dies erinnert an Art. 20 DSGVO, das Recht auf Datenübertragbarkeit. Geschäftsgeheimnisse sind aber nicht erfasst, es sei denn, die (teilweise) Offenlegung von diesen ist für die vereinbarten Zwecke unbedingt notwendig (mit Ausnahme für die Fälle, wo erhebliche finanzielle Verluste durch die Offenlegung drohen). Die Weitergabe erfolgt auf Grundlage eines Vertrages zwischen dem Dateninhaber und dem Dritten. Grundsätzlich können diese Verträge auch Regelungen zum angemessenen Entgelt beinhalten.
Weitere Pflichten beziehen sich auf die Ermöglichung eines Wechsels zwischen Datenverarbeitungsdiensten und die Anforderungen an die Interoperabilität.
Inkrafttreten und Geltung
Der Data Act tritt am 20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die meisten Regelungen werden gem. Art. 50 Data Act ab dem 20. Monat nach Inkrafttreten anwendbar sein, also wohl etwa ab August 2025. Art. 3 Abs. 1 Data Act (die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten „by default“ in ihren Produkten zu implementieren) gilt erst ab August 2026.
Ausblick und Vorbereitungsmaßnahmen
Der Data Act schafft einen neuen Markt für Nutzerdaten, wo die Nutzer die exklusiven Rechte an ihren Produktdaten haben. Damit bekommen die Datenbörsen, Broker und anderen Intermediäre ein Regelwerk für ihre Tätigkeit auf dem Markt. Insbesondere im früher eher wenig geregelten Bereich der nicht-personenbezogenen Daten sind massive (Markt-)Veränderungen zu erwarten.
Die Unternehmen müssen sich trotz der 20-monatigen Übergangszeit auf weitgehende Pflichten schon jetzt aktiv vorbereiten. Für die Hersteller von vernetzten Produkten ist der Umsetzungsaufwand enorm. Der Data Act gilt für alle Marktteilnehmer und die Unternehmen müssen ggf. erhebliche Anpassungen in ihren Geschäftsmodellen vornehmen, um insbesondere den Zugang und Interoperabilität von Daten sicherzustellen. Im Falle der Zuwiderhandlung sind im Data Act selbstverständlich Sanktionen vorgesehen.
Besonders viel Aufwand droht da, wo die nutzergenerierten Daten aus vernetzten Produkten personenbezogen sind. In diesem Fall sind zusätzlich zu den Data-Act-Anforderungen auch die DSGVO-Pflichten zu beachten.
News
Seminarreihe „Piltz Legal Update“ startet
Am 09.09.2022 findet die erste „Piltz Legal Update“ Veranstaltung unter dem Thema „Tracking, Cookies, Advertising – § 25 TTDSG im Fokus“ statt. Dr. Carlo Piltz und Dr. Nina Elisabeth Herbort geben aktuelle Einblicke.
Schnell sein lohnt sich, denn die Teilnehmerzahl ist begrenzt.
Eigentumsvorbehalt weltweit – Rechtliche Praxis in 32 Ländern
Bei Exportgeschäften kann sich der Verkäufer auf einen Eigentumsvorbehalt nur verlassen, wenn das für den ausländischen Käufer jeweils geltende Recht beachtet wird. Das soeben erschienene, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Buch stellt die rechtliche Praxis in 32 Ländern von Australien bis Ungarn dar.
Dr. Carlo Piltz im Podcast heise meets…. Datenschutz- & Security-Compliance im Unternehmen
Dr. Carlo Piltz war zu Gast im Podcast heise meets… und spricht dort über die wichtigsten rechtlichen Anforderungen zu Datenschutz & Security-Compliance.
Cyberangriffe treffen nicht nur Großkonzerne, auch kleine Unternehmen sind immer häufiger betroffen. Neben technischen Anforderungen sind auch rechtliche Richtlinien erforderlich, um Daten, Mitarbeiter, Kunden und das Unternehmen zu schützen. Die wichtigsten Gesetze und Richtlinien erläutern wir im Podcast und geben Hinweise, was Unternehmen zwingend beachten sollten.
Reinhören lohnt sich.
Piltz Legal Whitepaper zur Umsetzung der Modernisierungsrichtlinie
Das Umsetzungsgesetz zur Modernisierungsrichtlinie („Mod-RL“) ist am 28. Mai 2022 in Kraft getreten. Die Mod-RL modifiziert die Digitale-Inhalte-Richtlinie sowie die Verbraucherrechte-Richtlinie. Mit der Umsetzung wurden Teile des BGB und EGBGB an die Vorgaben der Mod-RL angepasst. Transparenz- und Informationspflichten stehen dabei im Mittelpunkt, einige Änderungen gibt es auch beim Widerrufsrecht.
Deutschlands beste Anwälte 2022 – Dreifache Auszeichnung für Piltz Legal
Wir freuen uns sehr über drei Auszeichnungen im Ranking „Deutschlands beste Anwälte 2022“ des Handelsblattes in Kooperation mit dem US-Verlag Best Lawyers.
OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen
In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.