Das neue EU-Datengesetz – Data Act
Der Data Act, eine europäische Verordnung, ist am 11. Januar 2024 in Kraft getreten und ist nach einer zwanzigmonatigen Umsetzungsfrist ab dem 12. September 2025 unmittelbar in allen EU-Mitgliedsstaaten anzuwenden.
- Was ist das Ziel?
- Wer ist betroffen?
- Welche Rechte und Pflichten gelten für Hersteller und Anbieter?
- Regelungen für Cloudanbieter und öffentliche Stellen
- Praxisbeispiele
- Wann ist eine Vertragsklausel als “missbräuchlich” anzusehen?
- Was passiert mit Geschäftsgeheimnissen?
- Was gilt bei personenbezogenen Daten?
- Was passiert bei Verstößen gegen den Data Act?
- Was ist jetzt zu tun?
Was ist das Ziel?
Vernetzte Daten sind die Basis für digitale Transformation und neue Produkte, Services und Geschäftsmodelle. Dabei bleiben laut Schätzung rund 80 Prozent aller Industriedaten ungenutzt.
Der Data Act verfolgt somit das Ziel, dass mehr nicht-personenbezogene Daten (Maschinendaten, Industriedaten) vielen Akteuren für eine innovative Nutzung zur Verfügung stehen sollen und nicht einzelne, große Unternehmen die alleinige Kontrolle über diese Daten ausüben. Das Potential bislang weitgehend ungenutzter industrieller Daten soll besser ausgeschöpft werden, damit auch kleinere Unternehmen und Start-ups ihre Geschäftsmodelle verbessern oder neue Geschäftsmodelle entwickeln können.
Ein Beispiel im B2B-Bereich sind Maschinendaten. Daten von Maschinen und Sensoren werden in der Industrie in großen Mengen generiert. Unterschiedliche Beteiligte haben ein Interesse an der Nutzung dieser Daten. Der Hersteller einer Automationskomponente möchte zum Beispiel Zugang zu Betriebsdaten seines Produktes erhalten, das in einer von einem Dritten betriebenen Maschine verbaut ist. Bislang können die Akteure dies vertraglich weitgehend frei regeln. Problematisch kann dabei die ungleiche Marktmacht der Vertragsparteien sein, die sich in einseitigen Vertragsbedingungen ausdrückt – etwa im Ausschluss von Nutzungsrechten. Um dem entgegenzuwirken, soll der Data Act es den Nutzern ermöglichen, über ihre Daten und deren Nutzung zu verfügen und unter bestimmten Bedingungen an Dritte weiterzugeben.
Wer ist betroffen?
Der Data Act gilt für europäische Unternehmen, und auch für alle nicht-europäischen Unternehmen, die in der EU tätig sind.
Betroffen sind insbesondere Hersteller und Anbieter (die Dateninhaber) und Nutzer von vernetzen Internet of Things (IoT)-Produkten, zum Beispiel smarten Haushaltsgeräten (wie Kühlschrank, Heizung, Saugroboter), Maschinen oder Autos. Die damit verbundenen digitalen Dienste, ohne die ein Gerät seine Funktionen nicht ausführen könnte, wie zum Beispiel die Software einer Fitnessuhr oder die zu IoT-Produkten dazugehörigen Bedienungs-Apps, fallen auch darunter.
Internet of Things
Internet of Things bezeichnet die Vernetzung von Geräten mit dem Internet und untereinander. Alltagsgegenstände oder Maschinen werden dabei mit Prozessoren und eingebetteten Sensoren ausgestattet, sodass sie in der Lage sind miteinander zu kommunizieren und zu sogenannten Smart Objects werden. Die smarten Geräte sind jedoch auch in der Lage, selbstständig zu agieren, sich Situationen anzupassen und auf bestimmte Szenarien zu reagieren.
Hinweis: Die meisten Pflichten des Data Act gelten grundsätzlich nicht für Klein- und Kleinstunternehmen, also Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter zehn Millionen Euro (vgl. Art. 7 Data Act), es sei denn, sie sind Partnerunternehmen oder verbunden mit Unternehmen, die nicht als Kleinst- oder Kleinunternehmen gelten.
Bereits mittlere Unternehmen, die weniger als 250 Mitarbeiter und einen Jahresumsatz von unter 50 Millionen Euro bzw. eine Jahresbilanz von unter 43 Millionen Euro haben, müssen die anschließend im Detail dargestellten Pflichten voraussichtlich umsetzen. Lediglich für mittlere Unternehmen, die vor weniger als einem Jahr die Grenze zur Qualifikation als mittlere Unternehmen überschritten haben oder für Produkte mittlerer Unternehmen, die seit weniger als einem Jahr auf dem Markt verfügbar sind, soll es Ausnahmen geben. Eine vertragliche Einschränkung dieser Vorgaben ist grundsätzlich ausgeschlossen.
Welche Rechte und Pflichten gelten für Hersteller und Anbieter?
Konkret sieht der Data Act vor, dass künftig der Nutzer (wie der Eigentümer, Mieter oder Leasingnehmer eines digitalen oder vernetzten Produkts) darüber entscheiden kann, wie mit Daten umgegangen werden soll, an deren Entstehung er mitgewirkt hat. Nutzer könne dabei Unternehmer oder Verbraucher sein.
Anspruch auf Datenzugang
Die wesentliche Neuerung durch den Data Act ist, dass der Nutzer einen Anspruch auf Datenzugang bekommt. Hierfür hat ihm der Dateninhaber kostenlos und gegebenenfalls kontinuierlich und in Echtzeit einen direkten Zugang zu den Daten bereitzustellen.
Damit der Zugang und die Weitergabe von Daten auch technisch möglich sind, müssen Hersteller ihre Produkte und Dienstleistungen so gestalten, dass ein Datenzugang stattfinden kann. Dabei wird keine Datenübermittlung an den Nutzer verlangt. Es genügt, wenn der Nutzer die Daten beim Dateninhaber ansehen und allenfalls auf den Servern des Dateninhabers verarbeiten kann.
Die Nutzer sind vor Abschluss eines Vertrags zu informieren, insbesondere über die Identität des Dateninhabers, Art und Umfang erzeugter Daten, Zugriffsmöglichkeiten auf die Daten, Möglichkeit zur Weitergabe der Nutzungsdaten, sowie Auskunft über die Art und den Umfang der Daten, die bei der Nutzung entstehen.
Die Dateninhaber müssen sich künftig die Nutzungsrechte an den durch ihre vertriebenen vernetzten Produkte generierten Daten einräumen lassen. Notwendig ist also eine vertragliche Nutzungsvereinbarung zwischen Dateninhaber und Nutzer.
Auch können sie die anfallenden Daten ihrer Produkte nicht mehr ausschließlich allein nutzen, sondern haben diese gegebenenfalls auch anderen Unternehmen zur Verfügung zu stellen. So können die Nutzer der Geräte und Apps die Herausgabe ihrer Nutzungsdaten kostenfrei verlangen und an Dritte weitergeben.
Anspruch auf Datenteilung mit Dritten
Die Nutzer können auch verlangen, dass der Dateninhaber einem Dritten, mitunter auch einem Wettbewerber, die nutzergenerierten Daten bereitstellt. Damit sollen insbesondere Folge- und Nebendienstleistungen gefördert werden, zum Beispiel Versicherungen oder externe/selbstständige Reparaturleistungen.
Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abzuschließen. Für die Bereitstellung der Daten darf der Dateninhaber eine Gegenleistung mit angemessener Marge verlangen.
Hinweis: Eine Marge darf nicht von datenempfangenden Kleinstunternehmen und von kleinen oder mittleren Unternehmen (KMU) verlangt werden.
Für die Berechnung der angemessenen Gegenleistung plant die Kommissionen Leitlinien zu erlassen. Der Datenempfänger wiederum darf die bereitgestellten Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat und hat die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden. kann
Im Übrigen ist es auch denkbar, dass an den Daten interessierte Unternehmen den Nutzer auffordern werden, die Daten mit ihnen zu teilen. Die Daten dürfen nicht dazu verwendet werden, um Konkurrenzprodukte zum datengenerierten Produkt zu entwickeln, wobei hier noch ungeklärt ist, in welchem Umfang das Konkurrenzverbot gilt (muss das Produkt exakt gleich sein? Reicht es, wenn das Produkt dem anderen nur ähnlich ist und bis zu welchem Grad der Ähnlichkeit?). Damit ist allerdings kein “Ideenschutz” gemeint. Konkurrierende Leistungen dürfen, wie bisher auch, angeboten werden.
Regelungen für Cloudanbieter und öffentliche Stellen
Rechte und Pflichten für Cloudanbieter
Vom Data Act sind auch Anbieter von Datenverarbeitungsdiensten, vor allem Cloudanbieter, betroffen. Der Wechsel zu anderen Anbietern soll einfacher gemacht werden. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen. Kunden haben künftig das Recht kostenlos zwischen verschiedenen Datenverarbeitungsdiensten wechseln zu dürfen. Dabei müssen die Daten zu einem anderen Dienst ohne Hindernisse zu migrieren sein. Der Data Act sieht in Artikel 23 bis 26 vertragliche, technische und organisatorische Vorgaben vor, die Datenverarbeitungsdienste künftig einzuhalten haben, damit eine weitreichende Datenportabilität möglich ist.
Die Wechselentgelte werden schrittweise abgeschafft. Bis zum 12. Januar 2027 dürfen von den Kunden für einen Anbieterwechsel ermäßigte Entgelte verlangt werden. Danach dürfen keine Wechselentgelte mehr verlangt werden.
Rechte für öffentliche Stellen
Neben privaten Akteuren werden auch öffentlichen Einrichtungen erweiterte Zugangsrechte eingeräumt. So muss ein Dateninhaber einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn ein "außergewöhnlichen Bedarf" an der Nutzung der Daten besteht. Eine Ausnahme besteht für KMU. Im Fall einer Notlage, beispielsweise einer Naturkatastrophe, kann eine öffentliche Stelle Unternehmen dazu auffordern, unentgeltlich Daten zur Verfügung zu stellen. Möchte der Staat dagegen nur seinen gesetzlichen Verpflichtungen nachkommen und kann er die Daten nicht anderweitig beschaffen, so kann der Dateninhaber eine Aufwandsentschädigung für die Herausgabe verlangen.
Praxisbeispiele
B2B-Bereich: Maschinendaten in der Fertigungsindustrie
Ein Maschinenbauunternehmen teilt Maschinendaten mit einem Zulieferer, um präventive Wartungsmaßnahmen zu planen und die Lieferkette zu optimieren. Dies führt zu weniger Ausfallzeiten und verbesserten Produktionsprozessen.
B2C-Bereich: Smart-Home-Geräte
Ein Verbraucher gibt die von seinen Smart-Home-Geräten gesammelten Daten an einen Drittanbieter weiter, der Energiemanagement-Dienstleistungen anbietet. Der Drittanbieter nutzt die Daten, um maßgeschneiderte Energiesparlösungen zu entwickeln, während der Verbraucher die Kontrolle über die Datennutzung behält.
Wann ist eine Vertragsklausel als “missbräuchlich” anzusehen?
Verträge über die Datennutzung müssen “fair, angemessen und nicht diskriminierend” sein. Es dürfen keine “missbräuchlichen” Klauseln verwendet werden, also dann, wenn sie “erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen" (Art. 13 Data Act).
Missbräuchliche Klauseln sind nicht bindend. Im Zweifel muss der Dateninhaber nachweisen, dass eine Vertragsbedingung nicht missbräuchlich ist. Der Data Act regelt Fälle, wann Vertragsklauseln in Datenaustauschverträgen missbräuchlich sind. Zu einem späteren Zeitpunkt sollen von der EU-Kommission Mustervertragsklauseln bereitgestellt werden, damit missbräuchliche Klauseln vermieden werden können.
Was passiert mit Geschäftsgeheimnissen?
Wenn die angeforderten Daten Geschäftsgeheimnisse enthalten, sind die Dateninhaber dennoch zum Datenzugang gegenüber dem Nutzer bzw. zur Bereitstellung an Dritte verpflichtet. Gleichwohl soll unter dem Data Act der Schutz von Geschäftsgeheimnissen gewahrt bleiben. Die Daten müssen daher gegenüber Nutzern und Datenempfängern nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren. Darunter fallen vor allem technische und organisatorische Maßnahmen, sowie Geheimhaltungsvereinbarungen, die mit dem Nutzer bzw. dem Dritten abzuschließen sind. Eine Geheimhaltungsvereinbarung sollte daher wesentlicher Bestandteil der Vereinbarung über Datenzugang und Datennutzung sein. Der Dateninhaber bestimmt grundsätzlich die Daten, die als Geschäftsgeheimnisse geschützt werden.
Was gilt bei personenbezogenen Daten?
In den bereitgestellten Daten können mitunter auch personenbezogene Daten enthalten sein, die dem Datenschutz unterliegen. Durch den Data Act wird das durch die Datenschutzgrundverordnung (DSGVO) geschaffene Datenschutzniveau nicht abgesenkt. Die DSGVO bleibt anwendbar. Eine Rechtsgrundlage aus der DSGVO (bspw. Art. 6 und Art. 20 DSGVO) bei der Verarbeitung personenbezogener Daten bleibt also erforderlich. Handelt es sich um personenbezogene Nutzungsdaten, dürfen diese nur an die betroffene Person und an Dritte nur bei Bestehen einer datenschutzrechtlichen Rechtsgrundlage aus der DSGVO bereitgestellt werden. Der Data Act selbst bildet keine Rechtsgrundlage für die Datenverarbeitung.
Beim Offenlegen der Daten gegenüber Nutzern und Dritten sollten technische und organisatorische Schutzmaßnahmen, z. B. die Anonymisierung personenbezogener Daten, eingesetzt werden.
Was passiert bei Verstößen gegen den Data Act?
Verstöße gegen den Data Act, also wenn ein Unternehmen den Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommt, können mit einem Bußgeld geahndet werden. Hierbei gelten – wie bei der DSGVO – Höchstgrenzen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.
Die Bundesnetzagentur (BNetzA) soll die zuständige Aufsichtsbehörde für die Anwendung und Durchsetzung des Data Act in Deutschland werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) überwacht die Einhaltung der Datenschutzgesetze auf Bundesebene.
Was ist jetzt zu tun?
Unternehmen, die vom Data Act betroffen sind, haben die mit dem Data Act verbundenen Anforderungen bis September 2025 umzusetzen. Hersteller und Anbieter sollten frühzeitig
Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
- Informationen über Datenzugang und Datenweitergabe bereitstellen,
- überprüfen, wie sie den Datenzugang technisch (in Echtzeit) gewähren können,
- sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden bzw. das für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
- vertragliche Regelungen treffen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen, und
- wie sie bei Bereitstellung der Daten ihre Geschäftsgeheimnisse schützen (mittels technisch-organisatorischen Maßnahmen und per Geheimhaltungsvereinbarung).
Kleine und Kleinstunternehmen sollten vor allem darauf achten, dass sie bei der Datenherausgabe durch große Unternehmen faire Vertragsbedingungen vereinbaren, bestenfalls die Mustervertragsbedingungen, sobald diese von der Kommission zur Verfügung gestellt werden.
IHK-Newsletter
Bleiben Sie up to date zum Thema Recht und Steuern! Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik “Recht und Steuern” auswählen und Newsletter abonnieren!
Bleiben Sie up to date zum Thema Recht und Steuern! Mit unserem kostenfreien Newsletter informieren wir Sie über aktuelle Themen und Veranstaltungen. Jetzt Rubrik “Recht und Steuern” auswählen und Newsletter abonnieren!