News

EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?

Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

Zum Data Act haben wir auch eine Update-Reihe vorbereitet, in welcher u. a. der Anwendungsbereich, die Pflichten für Unternehmen sowie Rechte der Nutzer aus der neuen Verordnung mit Blick auf die Praxis näher erörtert werden.

Auf welche Produkte ist der Data Act anwendbar und wer sind die Adressaten?

Der Data Act gilt für alle Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Im nun verabschiedeten Text der Verordnung wird der (im Vergleich zum Entwurf der Kommission) „verkleinerte“ Produkt-Begriff benutzt. Der Data Act spricht insoweit lediglich von „vernetzten Produkten und verbundenen Diensten“.

Die Verordnung definiert diese Begriffe wie folgt:

  • Der Begriff „vernetztes Produkt“ bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
  • Der Begriff „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.

Gemeint sind also in erster Linie die „smarten“ Produkte aus dem Bereich des „Internet of Things“, also z. B. die vernetzten Autos, Smart Speaker und weitere Smart-Home-Geräte (wie Kühlschränke, Saugroboter, Heizungen und andere). Diese Produkte lassen sich oft nur mithilfe der dazugehörigen Smartphone-App bedienen – diese Apps stellen die „dazugehörigen Dienste“ dar.

Die Verordnung ist auf alle Daten anwendbar (technische Daten, Texte, Audio, Bilder u. a.). Erfasst sind dabei nicht nur die personenbezogenen Daten i. S. d. DSGVO, sondern auch nicht-personenbezogene Daten, darunter Metadaten.

Der Data Act gilt für Hersteller von den oben genannten Produkten und Diensten, für Nutzer solcher Dienste und Produkte, für Dateninhaber (oder präziser gesagt, Datenbesitzer), Datenempfänger, öffentliche Stellen, Anbieter von Datenverarbeitungsdiensten sowie Teilnehmer von Data Spaces und Anbieter von Anwendungen, die Smart Contracts verwenden.

Vor allem für die Dateninhaber ist die Verordnung relevant und mit großem Umsetzungsaufwand verbunden. Das sind vor allem die Unternehmen, die die nutzergenerierten Daten aus den vernetzten Produkten und dazugehörigen Diensten bekommen – i. d. R. sind das die Hersteller. Gegen sie richtet sich der Anspruch der Nutzer auf Datenzugang.

Wichtigste Pflichten im Data Act

Die zentrale Pflicht ist die Verpflichtung, die Daten aus der Nutzung von Produkten und Diensten an die B2B- oder B2C-Nutzer bereitzustellen, welche in Art. 3 Data Act geregelt ist.

Diese Pflicht sieht vor, dass die vernetzten Produkte so konzipiert und produziert werden müssen, dass diese den Nutzern einen kostenlosen Zugang zu Daten (darunter auch Metadaten) in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden können (soweit technisch möglich muss dies direkt erfolgen).

Für die zukünftige Praxis bedeutet dies, dass bereits im Rahmen der Konzeption und Entwicklung vernetzter Produkte die Anforderung des Data Act zu beachten und „in die Produkte“ zu integrieren ist.

Dieses Recht wird dadurch ergänzt, dass die Nutzer vor dem Abschluss des (Kauf- oder Nutzungs-)Vertrags umfassend informiert werden müssen, ob und welche Daten in welchem Umfang durch das Produkt generiert und gespeichert werden. Die Informationspflicht umfasst auch Angaben dazu, wie der Nutzer den Zugang zu Daten erhalten kann.

Für die mit den Produkten verbundenen Dienste (z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste) gelten ähnliche Vorgaben, Art. 3 Abs. 3 Data Act. Selbstverständlich sieht die Verordnung auch Ausnahmen vor, z. B. für den Fall, wenn dadurch die Sicherheitsanforderungen des Produkts untergraben werden oder wenn dadurch Geschäftsgeheimnisse offengelegt werden. Ob diese Ausnahmen eine hohe Praxisrelevanz haben oder eher restriktiv ausgelegt werden, lässt sich zum heutigen Zeitpunkt noch nicht sagen. Der verabschiedete Text enthält auch eine weitere Einschränkung, die für die Nutzer gilt: Diese dürfen nämlich keine Zwangsmittel anwenden oder Lücken in technischer Infrastruktur des Dateninhabers missbrauchen, um Zugang zu den Daten zu erlangen.

Ganz wichtig ist auch der neu gefasste Abs. 14 des Artikels 4 Data Act: Nach dieser Regelung dürfen die Dateninhaber die nicht-personenbezogenen Produktdaten an Dritte weder zu kommerziellen noch zu nicht kommerziellen Zwecken zur Verfügung stellen, es sei denn, es ist zur Erfüllung des Vertrages mit dem Nutzer erforderlich. Damit untersagt die neue Verordnung im Grunde den Handel mit Nutzerdaten durch die Unternehmen und räumt den Nutzern die exklusiven Vermarktungsrechte an ihren Produktdaten ein.

Eine weitere, für die Praxis äußerst relevante Pflicht ist im Art. 5 Data Act geregelt. Der Dateninhaber muss danach auf Verlangen des Nutzers die Daten an Dritte bereitstellen. Die Nutzer können also den Dateninhaber anweisen, die Daten an z. B. Reparaturbetriebe oder konkurrierende Dienstleister zu übergeben. Dies erinnert an Art. 20 DSGVO, das Recht auf Datenübertragbarkeit. Geschäftsgeheimnisse sind aber nicht erfasst, es sei denn, die (teilweise) Offenlegung von diesen ist für die vereinbarten Zwecke unbedingt notwendig (mit Ausnahme für die Fälle, wo erhebliche finanzielle Verluste durch die Offenlegung drohen). Die Weitergabe erfolgt auf Grundlage eines Vertrages zwischen dem Dateninhaber und dem Dritten. Grundsätzlich können diese Verträge auch Regelungen zum angemessenen Entgelt beinhalten.

Weitere Pflichten beziehen sich auf die Ermöglichung eines Wechsels zwischen Datenverarbeitungsdiensten und die Anforderungen an die Interoperabilität.

Inkrafttreten und Geltung

Der Data Act tritt am 20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die meisten Regelungen werden gem. Art. 50 Data Act ab dem 20. Monat nach Inkrafttreten anwendbar sein, also wohl etwa ab August 2025. Art. 3 Abs. 1 Data Act (die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten „by default“ in ihren Produkten zu implementieren) gilt erst ab August 2026.

Ausblick und Vorbereitungsmaßnahmen

Der Data Act schafft einen neuen Markt für Nutzerdaten, wo die Nutzer die exklusiven Rechte an ihren Produktdaten haben. Damit bekommen die Datenbörsen, Broker und anderen Intermediäre ein Regelwerk für ihre Tätigkeit auf dem Markt. Insbesondere im früher eher wenig geregelten Bereich der nicht-personenbezogenen Daten sind massive (Markt-)Veränderungen zu erwarten.

Die Unternehmen müssen sich trotz der 20-monatigen Übergangszeit auf weitgehende Pflichten schon jetzt aktiv vorbereiten. Für die Hersteller von vernetzten Produkten ist der Umsetzungsaufwand enorm. Der Data Act gilt für alle Marktteilnehmer und die Unternehmen müssen ggf. erhebliche Anpassungen in ihren Geschäftsmodellen vornehmen, um insbesondere den Zugang und Interoperabilität von Daten sicherzustellen. Im Falle der Zuwiderhandlung sind im Data Act selbstverständlich Sanktionen vorgesehen.

Besonders viel Aufwand droht da, wo die nutzergenerierten Daten aus vernetzten Produkten personenbezogen sind. In diesem Fall sind zusätzlich zu den Data-Act-Anforderungen auch die DSGVO-Pflichten zu beachten.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Neue Vorgaben für Anbieter von Telemedien ab Dezember 2021 – Handlungsbedarf u. a. bei Website- und App-Betreibern

Ab dem 1. Dezember 2021 gilt für alle Anbieter von Telemedien das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Das Gesetz ist u. a. auf Betreiber von Websites und Apps anwendbar.

Neuer Associate: Piltz Legal erweitert das Datenschutzteam

Wir heißen den IT-Juristen Philip Schweers herzlich willkommen, der ab sofort das Team um Dr. Carlo Piltz unterstützen wird.

  

Belgischer Staatsrat: Drittlandsübermittlung an AWS kann unter gewissen Umständen DSGVO-konform sein

Der belgische Staatsrat, ein außergerichtliches Beratungs- und Rechtsprechungsorgan, das die Exekutive in Belgien überwacht, äußerte sich kürzlich in einem Eilrechtsschutzverfahren in bemerkenswerter Weise zum Thema Drittlandsübermittlungen an den US-amerikanischen Cloud-Dienst Amazon Web Services (AWS).

Bußgeld der italienischen Datenschutzbehörde im Zusammenhang mit einem Hinweisgebersystem

Die italienische Datenschutzaufsichtsbehörde hat gegen den Betreiber des Flughafens Bologna ein Bußgeld in Höhe von 40.000 EUR verhängt. Dem Bußgeld liegt ein Sachverhalt zu Grunde, in dem es um ein vom Flughafenbetreiber eingerichtetes Hinweisgebersystem geht. Der Verantwortliche hatte keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und sich dafür entschieden, Daten während der Speicherung und Übertragung im Netz nicht zu verschlüsseln.

WirtschaftsWoche: Piltz Legal im Rechtsgebiet „Datenschutzrecht“ als „TOP Kanzlei 2021“ ausgezeichnet

Piltz Legal wurde in dem aktuellen WirtschaftsWoche-Listung im Rechtsgebiet „Datenschutzrecht“ als „TOP Kanzlei 2021“ ausgezeichnet. Außerdem wurde Dr. Carlo Piltz als „TOP Anwalt 2021“ empfohlen.

 

Rechtsanwalt und Datenschutzbeauftragter – Generalist oder Spezialist?

In der aktuellen BvD-News 2/2021 des Berufsverbandes der Datenschutzbeauftragten Deutschlands hat Dr. Carlo Piltz einen Fachbeitrag zu den gesetzlichen Anforderungen an Datenschutzbeauftragte und der Frage veröffentlicht, ob auch (oder nur) Rechtsanwälte Datenschutzbeauftragte sein können.