Digitaler Binnenmarkt (EU): Der Data Act
Nach dem Digital Markets Act (DMA) und dem Digital Services Act (DAS) ist der Data Act das dritte große EU-Projekt zur Verwirklichung des Digitalen Binnenmarktes. Es soll Verbrauchern und Unternehmen mehr Kontrolle über die Daten geben, die im Zuge der Nutzung digital vernetzter Geräte entstehen. Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) verabschiedet. Der Data Act ist am 11. Januar 2024 in Kraft getreten und wird nach einer grundsätzlichen Übergangsfrist von 20 Monaten ab dem 12. September 2025 EU-weit direkt anwendbares Recht werden.
Worum geht es im Data Act?
Daten besser nutzbar machen – der Data Act soll für alle Akteure in der wirtschaftlichen Wertschöpfungskette den Austausch und die Nutzung von Unternehmensdaten verbessern beziehungsweise überhaupt erst ermöglichen. Er enthält Regelungen für die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und Behörden (B2G).
Wer ist vom Data Act betroffen?
Der Data Act gilt für alle europäischen Unternehmen und Unternehmen, die ihre Produkte in der EU auf den Markt bringen. Betroffen sind als Dateninhaber insbesondere Hersteller vernetzter Produkte (= sog. IoT-Produkte wie z.B. Haushaltsgeräte, Maschinen und Autos) und Anbieter damit verbundener digitaler Dienste, ohne die ein Gerät seine Funktionen nicht ausführen könnte (z.B. Steuersoftware). Nutzer sind in der Regel Eigentümer, Mieter oder Leasingnehmer eines vernetzten Produktes und können sowohl Verbraucher als auch Unternehmen sein. Darüber hinaus bestehen auch für Anbieter von Datenverarbeitungsdiensten, etwa Cloud-Anbieter, neue Pflichten. Daneben werden die Rechte Dritter gestärkt. Die B2G-Zugangsrechte betreffen potenziell alle Unternehmen.
Was steht in der Verordnung?
Datenzugang und Datenweitergabe
Konkret sieht der Data Act vor, dass allein die Nutzer vernetzter Geräte darüber entscheiden können, wie mit Daten umgegangen werden soll, die sie durch die Nutzung dieser Geräte erzeugen und die bei einem Dateninhaber „ohne Weiteres verfügbar“ sind. Der Data Act soll es den Nutzern ermöglichen, diese Daten auszuwerten und unter bestimmten Bedingungen an Dritte weiterzugeben, ihnen steht ein Anspruch auf Datenzugang und Datenweitergabe an Dritte zu.
Damit der Zugang und die Weitergabe von Daten auch technisch möglich sind, müssen Hersteller ihre internetfähigen Produkte und Dienstleistungen so gestalten, dass ein einfacher und kostenloser Datenzugang stattfinden kann. Zudem müssen die Nutzer vor Vertragsschluss unter anderem über Art und Umfang der erzeugten Daten sowie deren Zugriffs- und Weitergabemöglichkeit informiert werden (z.B. auf Verpackung, mittels QR-Code). Die Hersteller selbst dürfen die durch ihre vertriebenen vernetzten Produkte generierten Daten nur noch auf Grundlage eines Vertrags mit dem Nutzer (Lizenz- bzw. Nutzungsvereinbarung) verwenden.
Die Nutzer können vom Dateninhaber zudem verlangen, dass die nutzergenerierten Daten einem Dritten, mitunter auch einem Wettbewerber, bereitgestellt werden. Damit sollen insbesondere Folge- und Nebendienstleistungen gefördert werden. Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abzuschließen und kann für die Bereitstellung der Daten eine Gegenleistung mit angemessener Marge verlangen. Ist Datenempfänger ein KMU ist die Gegenleistung auf die Bereitstellungskosten beschränkt.
Der Datenempfänger darf die bereitgestellten Daten wiederum nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat. Ihm ist untersagt, mithilfe der empfangenen Daten konkurrierende Produkte zu entwickeln sowie die empfangenen Daten ohne Einverständnis des Nutzers an weitere Dritte zu übermitteln.
Für kleine Unternehmen gelten Erleichterungen von den vorgenannten Pflichten als Dateninhaber. So sind Klein- und Kleinstunternehmen (weniger als 50 Beschäftigte und weniger als 10 Millionen EUR Jahresumsatz) nicht zum Datenzugang und zur Datenweitergabe verpflichtet. Die Ausnahme greift allerdings nur, sofern das Unternehmen kein Partnerunternehmen oder verbundenes Unternehmen hat, das nicht als Kleinst- oder Kleinunternehmen gilt, und sofern es nicht als Unterauftragnehmer mit der Herstellung oder Konzeption eines vernetzten Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurde.
Sogenannte „Gatekeeper“, die zentrale Plattformdienste betreiben (große Konzerne wie Google und Meta), haben keinen Anspruch auf Datenzugang als Nutzer oder Dritte.
Wenn die angeforderten Daten Geschäftsgeheimnisse enthalten, sind die Dateninhaber grundsätzlich dennoch zur Datenherausgabe gegenüber dem Nutzer bzw. dem Dritten verpflichtet. Zum Schutz von Geschäftsgeheimnissen sieht der Data Act technische und organisatorische Maßnahmen sowie den Abschluss von Geheimhaltungsvereinbarungen mit dem Nutzer bzw. dem Dritten vor. Eine Verweigerung der Datenherausgabe ist nur in Ausnahmefällen zulässig, wenn die Preisgabe der Geschäftsgeheimnisse mit hoher Wahrscheinlichkeit zu einem schweren wirtschaftlichen Schaden führt und dies auf Grundlage objektiver und nachvollziehbarer Faktoren begründet wird. Zudem zieht die Verweigerung eine Meldepflicht bei der zuständigen Behörde mit sich.
Sofern die angeforderten Daten personenbezogene Daten enthalten, gelten die Vorgaben der DSGVO.
Der Data Act ändert die Unionsgesetze zum Schutz von personenbezogenen Daten und der Privatsphäre nicht, sondern ergänzt sie lediglich. Die DSGVO bleibt anwendbar. Mithin ist für die Verarbeitung personenbezogener Daten eine Einwilligung oder andere Rechtsgrundlage nach der DSGVO (insb. nach Art. 6 DSGVO) erforderlich.
Der Data Act ändert die Unionsgesetze zum Schutz von personenbezogenen Daten und der Privatsphäre nicht, sondern ergänzt sie lediglich. Die DSGVO bleibt anwendbar. Mithin ist für die Verarbeitung personenbezogener Daten eine Einwilligung oder andere Rechtsgrundlage nach der DSGVO (insb. nach Art. 6 DSGVO) erforderlich.
Ein Beispiel im B2B-Bereich: Maschinendaten
Daten von Maschinen und Sensoren werden in der Industrie in großen Mengen generiert. Unterschiedliche Beteiligte haben ein Interesse an der Nutzung dieser Daten. Der Hersteller einer Automationskomponente möchte zum Beispiel Zugang zu Betriebsdaten seines Produktes erhalten, das in einer von einem Dritten betriebenen Maschine verbaut ist. Bislang konnten die Akteure dies vertraglich weitgehend frei regeln. Problematisch war dabei oftmals die ungleiche Marktmacht der Vertragsparteien, die sich in einseitigen Vertragsbedingungen ausdrückt – etwa im Ausschluss von Nutzungsrechten. Um dem entgegenzuwirken, sieht der Data Act vor, alleine dem Nutzer das Recht zuzugestehen, über seine Daten und deren Nutzung zu verfügen und diese gegebenenfalls auch an Dritte weiterzugeben.
Verhinderung missbräuchlicher Vertragsklauseln beim B2B Datenaustausch
Weiteres Ziel des Data Acts ist es, Unternehmen, die Daten erwerben wollen, insbesondere KMU, vor missbräuchlichen Vertragsklauseln zu schützen, indem es Maßnahmen ergreift, um in Situationen einzugreifen, in denen sich beispielsweise eines der Unternehmen in einer stärkeren Verhandlungsposition befindet (z.B. aufgrund seiner Marktgröße) und eine nicht verhandelbare Klausel („take-it-or-leave-it“) in Bezug auf den Datenzugang und die Datennutzung aufstellt.
Die Verordnung enthält daher eine nicht erschöpfende Liste von Klauseln, die stets als missbräuchlich gelten (z.B. die Haftung der Partei, die die Klausel einseitig wegen Vorsatzes oder grober Fahrlässigkeit verhängt hat, ausschließen oder einschränken würde) und von Klauseln, von denen angenommen wird, dass sie missbräuchlich sind (z.B. die Rechtsbehelfe bei Nichterfüllung vertraglicher Verpflichtungen oder die Haftung bei Verletzung dieser Verpflichtungen unangemessen einschränken oder die Haftung des Unternehmens, dem die Klausel einseitig auferlegt wurde, verlängern würde). Wenn eine Klausel als missbräuchlich angesehen wird, ist sie nicht mehr gültig – wenn möglich, wird sie einfach vom Vertrag abgetrennt. Wird angenommen, dass die Klausel missbräuchlich ist, kann das Unternehmen, das die Klausel verhängt hat, versuchen, nachzuweisen, dass die Klausel nicht missbräuchlich ist.
Die Verordnung enthält daher eine nicht erschöpfende Liste von Klauseln, die stets als missbräuchlich gelten (z.B. die Haftung der Partei, die die Klausel einseitig wegen Vorsatzes oder grober Fahrlässigkeit verhängt hat, ausschließen oder einschränken würde) und von Klauseln, von denen angenommen wird, dass sie missbräuchlich sind (z.B. die Rechtsbehelfe bei Nichterfüllung vertraglicher Verpflichtungen oder die Haftung bei Verletzung dieser Verpflichtungen unangemessen einschränken oder die Haftung des Unternehmens, dem die Klausel einseitig auferlegt wurde, verlängern würde). Wenn eine Klausel als missbräuchlich angesehen wird, ist sie nicht mehr gültig – wenn möglich, wird sie einfach vom Vertrag abgetrennt. Wird angenommen, dass die Klausel missbräuchlich ist, kann das Unternehmen, das die Klausel verhängt hat, versuchen, nachzuweisen, dass die Klausel nicht missbräuchlich ist.
Erweiterte Zugangsrechte für öffentliche Stellen (B2G)
Neben privaten Akteuren werden auch öffentlichen Einrichtungen erweiterte Zugangsrechte eingeräumt. So muss ein Dateninhaber einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn eine "außergewöhnliche Notwendigkeit“ der Datennutzung besteht, etwa zur Bewältigung eines öffentlichen Notstands. So sollen Unternehmensdaten für das Allgemeinwohl verfügbar gemacht werden. Klein- und Kleinstunternehmen (s.o.) können eine angemessene Vergütung verlangen.
Ein Beispiel im B2G-Bereich: Daten zur Bekämpfung von Naturkatastrophen
Im Fall einer Notlage, beispielsweise einer Naturkatastrophe, kann eine öffentliche Stelle Unternehmen dazu auffordern, unentgeltlich Daten zur Verfügung zu stellen. Möchte der Staat dagegen nur seinen gesetzlichen Verpflichtungen nachkommen und kann er die Daten nicht anderweitig beschaffen, so kann der Dateninhaber eine Aufwandsentschädigung für die Herausgabe verlangen.
Einfacher Wechsel zwischen Clouddiensten und Interoperabilität
Darüber hinaus soll es für Nutzer einfacher werden, ihren Anbieter von Datenverarbeitungsdiensten zu wechseln (sog. Cloud-Switching). Dies bedeutet neue Verpflichtungen für Dateninfrastruktur-Anbieter. Sie müssen den Umstellungsprozess unterstützen und alle kommerziellen, technischen, vertraglichen und organisatorischen Hindernisse beseitigen. Zudem ist ein schrittweiser Abbau von Umstellungsgebühren geplant.
Zudem werden im Data Act grundlegende Anforderungen an die Interoperabilität festgelegt, um sicherzustellen, dass Daten nahtlos zwischen Sektoren und Mitgliedstaaten, die durch gemeinsame europäische Datenräume erleichtert werden, sowie zwischen Anbietern von Datenverarbeitungsdiensten fließen können. Teilnehmer an Datenräumen müssen Kriterien erfüllen, die einen Datenfluss innerhalb und zwischen Datenräumen ermöglichen.
Sanktionen
Bei Verstößen gegen den Data Act, also wenn ein Unternehmen den auferlegten Pflichten nicht oder nicht in vollem Umfang nachkommt, kann ein Bußgeld verhängt werden. Nach dem Entwurf des deutschen Data Act-Durchführungsgesetzes sind – je nach Art des Verstoßes - Bußgelder in Höhe von 50.000 EUR bis hin zu 500.000 EUR vorgesehen. Als zuständige Aufsichtsbehörde ist die Bundesnetzagentur vorgesehen.
Was ist für Unternehmen nun wichtig?
Hersteller von vernetzten Produkten und Anbieter von verbundenen Diensten sollten:
- eine Datenübersicht erstellen: Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
- überprüfen, wie sie den Datenzugang technisch (in Echtzeit) gewähren können,
- Informations-/Transparenzpflichten erfüllen: Nutzer müssen vor Vertragsschluss (z.B. eines Kauf-, Leasing- oder Mietvertrages über vernetzte Produkte) u.a. über Art, Format und Umfang der generierten Daten und das Recht auf Datenweitergabe an Dritte in Kenntnis gesetzt werden. Auch muss darüber informiert werden, wie sie die Daten abrufen können,
- Geschäftsgeheimnisse identifizieren und Maßnahmen zum Schutz bei Bereitstellung der Daten ergreifen (mittels technisch-organisatorischer Maßnahmen; durch Geheimhaltungsvereinbarungen / Einigung mit Nutzern/Dritten auf geeignete Schutzmaßnahmen)
- sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden bzw. das für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
- vertragliche Regelungen treffen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen.