Data Act – Was ist von Unternehmen zu beachten?

Betroffen vom Data Act sind Anbieter von vernetzten Produkten oder digitalen Dienstleistungen, da im Rahmen deren Nutzung nicht-personenbezogenen und personenbezogene Daten generiert werden, bei denen künftig die Nutzer selbst (also z. B. die Eigentümer, Mieter oder Leasingnehmer) entscheiden, was mit ihnen geschieht. Dabei soll ein möglichst unbeschränkter Datenaustausch gewährleistet werden, mit dem Ziel der Steigerung der gesamtgesellschaftlichen Wertschöpfung aus diesem Datenbestand. Dabei soll die DSGVO jedoch Vorrang haben, d.h. deren Vorgaben sind gleichwohl einzuhalten.

Es gibt eine Übergangsfrist von 20 Monaten bis zum 12.09.2025, doch viele Unternehmen wissen nicht, ob und welche Pflichten sich für sie aus den neuen Regelungen ergeben.

‍
Was ist das Ziel?

Das Ziel des Data Acts ist das Erreichen eines möglichst unbeschränkten Datenaustauschs durch Ansprüche des Dateninhabers auf Datenzugang und auf Datenweitergabe. Dazu flankierend gibt es Informationspflichten für Verkäufer und Vermieter in Bezug auf die Beschreibung des Datenzugangs, der Formate etc. und Informationspflichten des Anbieters verbundener Dienste zur Beschreibung des Umfangs der Datenerhebung etc.).

Der Anwendungsbereich: Für wen gilt der Data Act?

Der Data Act gilt für Anbieter von vernetzten Produkten, die IoT-Daten generieren und für Anbieter von mit diesen verbundenen Diensten:

• Vernetzte Produkte: Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann.
  Beispiele: Smart Home Geräte, Fitness Tracker, Navigationsgeräte.

• Verbundene Dienste: digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
  Beispiel: Betriebssoftware auf einem Mobiltelefon

‍Es gilt das sog. Marktortprinzip, sodass der Data Act von allen Unternehmen zu beachten ist, die Ihre Waren und/oder Dienstleistungen innerhalb der EU anbieten. Ausgenommen sind aber Unternehmen mit weniger als 50 Mitarbeitern oder einem Jahresumsatz von weniger als 10 Mio. Euro.

Was sind die Pflichten?

Der Zugang zu den Daten muss für die Nutzer einfach, sicher, unentgeltlich und in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format möglich sein („Datenzugang by design“).

Nutzer haben nicht nur einen Anspruch darauf, Zugang zu ihren Daten zu haben, sondern auch auf die Weitergabe der Daten an Dritte (jedoch nicht an „Gatekeeper“: große Unternehmen wie Alphabet, Meta etc.).

Unternehmen dürfen die Weitergabe der Daten von einer Gegenleistung abhängig machen, zum Beispiel eine Vergütung mit Marge verlangen. Gegenüber kleinen und mittleren Unternehmen dürfen jedoch nur die tatsächlich anfallenden Kosten verlangt werden.

Eine Ausnahme von den Verpflichtungen besteht beim Schutz von Geschäftsgeheimnissen. Diese können beispielsweise über technische und organisatorische Maßnahmen oder Geheimhaltungsvereinbarungen abgesichert werden. Darüber hinaus dürfen die Daten nicht dazu verwendet werden, ein Produkt oder einen Dienst zu entwickeln, um damit in unmittelbaren Wettbewerb mit dem Anbieter zu treten.

Künftig müssen Anbieter als Dateninhaber und Nutzer einen sog. Nutzungsvertrag schließen:
Der Dateninhaber darf nicht personenbezogene Daten künftig nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer zu eigenen Zwecken nutzen. Allerdings ist es erlaubt, dass Dateninhaber die Nutzung des Produkts von der Einräumung von entsprechenden Nutzungsrechten abhängig macht. Bei personenbezogenen Daten bleibt es dagegen bei den Regelungen der DSGVO, sodass diese nur dann genutzt werden dürfen, wenn eine Rechtsgrundlage (z. B. Einwilligung des Betroffenen) greift.

Wichtig: Die Datennutzungsverträge unterliegen der AGB-Missbrauchskontrolle auch im B2B-Bereich, sodass einseitige Regelungen zum Datenzugang und zur und zur Datennutzung auch in diesem Bereich unzulässig sind.

Sonstige Regelungen

• Öffentliche Stellen haben Ansprüche auf Datenzugang bei außergewöhnlicher Notwendigkeit (insb. Notstand);
• Wechsel zwischen Datenverarbeitungsdiensten, Abbau von Hindernissen und Wechselentgelten (ab 2027). Pflicht zur Bereitstellung von Schnittstellen, Dokumentation, technische Unterstützung etc.
• Interoperabilität von Daten, Datenverarbeitungsdiensten und gemeinsamen europäischen Datenräumen (Dokumentationen).

Kleine Checkliste für Unternehmen zum Data-Act – Darauf ist zu achten:

• Produkte und Dienstleistungen anpassen, sodass ein einfacher Datenzugang ermöglicht wird (inkl. Metadaten).
• Kunden die gesetzlich vorgeschriebenen Informationen zur Verfügung stellen können.
• Datenlizenzverträge mit Nutzern/ Datenempfängern schließen: Sind diese rechtssicher formuliert?
• Im Zusammenhang mit personenbezogenen Daten auch die Einhaltung der vorrangigen Regelungen der DSGVO bei den Abläufen prüfen.

Fazit

Der Data Act erlegt den betroffenen Unternehmen, weitreichende Pflichten auf. Die Zeit ist kurz: Unternehmen sollten die Übergangsfrist bis zum 12.09.2025 gut nutzen und alle erforderlichen Prozesse einrichten, um den auferlegten Pflichten nachkommen zu können.