Das neue Datengesetz - Data Act
Der Data Act, eine europäische Verordnung, ist am 11. Januar 2024 in Kraft getreten und ist nach einer zwanzigmonatigen Umsetzungsfrist ab dem 12. September 2025 unmittelbar in allen EU-Mitgliedsaaten anwendbar.
- I. Was ist das Ziel?
- II. Wer ist betroffen?
- III. Welche Rechte und Pflichten gelten für Hersteller und Anbieter?
- IV. Wann ist eine Vertragsklausel als „missbräuchlich“ anzusehen?
- V. Was passiert mit Geschäftsgeheimnissen?
- VI. Was gilt bei personenbezogenen Daten?
- VII. Was passiert bei Verstößen gegen den Data Act?
- VIII. Was ist jetzt zu tun?
I. Was ist das Ziel?
Der Data Act verfolgt das Ziel, dass mehr nicht-personenbezogene Daten (Maschinendaten, Industriedaten) vielen Akteuren für eine innovative Nutzung zur Verfügung stehen sollen und nicht einzelne, große Unternehmen die alleinige Kontrolle über diese Daten ausüben. Das Potential bislang weitgehend ungenutzter industrieller Daten soll besser ausgeschöpft werden, damit auch kleinere Unternehmen und Start-Ups ihre Geschäftsmodelle verbessern oder neue Geschäftsmodelle entwickeln können.
Ein Beispiel im B2B-Bereich sind Maschinendaten. Daten von Maschinen und Sensoren werden in der Industrie in großen Mengen generiert. Unterschiedliche Beteiligte haben ein Interesse an der Nutzung dieser Daten. Der Hersteller einer Automationskomponente möchte zum Beispiel Zugang zu Betriebsdaten seines Produktes erhalten, das in einer von einem Dritten betriebenen Maschine verbaut ist. Bislang können die Akteure dies vertraglich weitgehend frei regeln. Problematisch kann dabei die ungleiche Marktmacht der Vertragsparteien sein, die sich in einseitigen Vertragsbedingungen ausdrückt – etwa im Ausschluss von Nutzungsrechten. Um dem entgegenzuwirken, soll der Data Act es den Nutzern ermöglichen, über ihre Daten und deren Nutzung zu verfügen und unter bestimmten Bedingungen an Dritte weiterzugeben.
II. Wer ist betroffen?
Der Data Act gilt für europäische Unternehmen, und auch für alle nicht-europäischen Unternehmen, die in der EU tätig sind. Betroffen sind insbesondere Hersteller und Anbieter (die Dateninhaber) und Nutzer von vernetzen Internet of Things (IoT)-Produkten, zum Beispiel smarte Haushaltsgeräten (wie Kühlschrank, Heizung, Saugroboter), Maschinen oder Autos. Die damit verbundenen digitalen Dienste, ohne die ein Gerät seine Funktionen nicht ausführen könnte, zum Beispiel die Software einer Fitnessuhr, und die zu IoT-Produkten dazugehörigen Bedienungs-Apps fallen auch darunter.
III. Welche Rechte und Pflichten gelten für Hersteller und Anbieter?
Konkret sieht der Data Act vor, dass künftig der Nutzer (wie der Eigentümer, Mieter oder Leasingnehmer eines digitalen oder vernetzten Produkts) darüber entscheiden kann, wie mit Daten umgegangen werden soll, an deren Entstehung er mitgewirkt hat. Nutzer könne dabei Unternehmer oder Verbraucher sein.
1. Anspruch auf Datenzugang
Die wesentliche Neuerung durch den Data Act ist, dass der Nutzer einen Anspruch auf Datenzugang bekommt. Hierfür hat ihm der Dateninhaber kostenlos und gegebenenfalls kontinuierlich und in Echtzeit einen direkten Zugang zu den Daten bereitzustellen. Damit der Zugang und die Weitergabe von Daten auch technisch möglich sind, müssen Hersteller ihre Produkte und Dienstleistungen so gestalten, dass ein Datenzugang stattfinden kann. Dabei wird keine Datenübermittlung an den Nutzer verlangt. Es genügt, wenn der Nutzer die Daten beim Dateninhaber ansehen und allenfalls auf den Servern des Dateninhabers verarbeiten kann. Die Nutzer sind vor Abschluss eines Vertrags zu informieren, insbesondere über die Identität des Dateninhabers, Art und Umfang erzeugter Daten, Zugriffsmöglichkeiten auf die Daten, Möglichkeit zur Weitergabe der Nutzungsdaten, Auskunft über die Art und den Umfang der Daten, die bei der Nutzung entstehen. Die Dateninhaber müssen sich künftig die Nutzungsrechte an den durch ihre vertriebenen vernetzten Produkte generieren Daten einräumen lassen. Notwendig ist also eine vertragliche Nutzungsvereinbarung zwischen Dateninhaber und Nutzer. Auch können sie die anfallenden Daten ihrer Produkte nicht mehr ausschließlich allein nutzen, sondern haben diese gegebenenfalls auch anderen Unternehmen zur Verfügung zu stellen. So können die Nutzer der Geräte und Apps die Herausgabe ihrer Nutzungsdaten kostenfrei verlangen und an Dritte weitergeben.
Ausnahme: Datenzugangsansprüche können nicht gegen Dateninhaber geltend gemacht werden, die als Kleinst- oder Kleinunternehmen im Sinne des Art. 2 Anhangs der Empfehlung 2003/361/EG Hersteller sind. Diese sind Unternehmen, die weniger als 50 Personen beschäftigen und weniger als 10 Millionen EUR Jahresumsatz erzielen. Die Ausnahme greift allerdings nur dann, wenn die Kleinunternehmen keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinunternehmen eingestuft werden. Die Daten dürfen nicht an Unternehmen weitergegeben werden, die das Gesetz über digitale Märkte (Data Markets Act) als sog. „Gatekeeper“ einstuft. Hiermit sind vor allem große Konzerne, wie Google und Meta gemeint.
2. Anspruch auf Datenteilung mit Dritten
Die Nutzer können auch verlangen, dass der Dateninhaber einem Dritten, mitunter auch einem Wettbewerber, die nutzergenerierten Daten bereitstellt. Damit sollen insbesondere Folge- und Nebendienstleistungen gefördert werden, zum Beispiel Versicherungen oder externe/ selbstständige Reparaturleistungen.
Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abschließen. Für die Bereitstellung der Daten darf der Dateninhaber eine Gegenleistung mit angemessener Marge verlangen (Achtung: eine Marge darf nicht von datenempfangenden Kleinstunternehmen und von kleinen oder mittleren Unternehmen (KMU) verlangt werden). Für die Berechnung der angemessenen Gegenleistung plant die Kommissionen Leitlinien zu erlassen. Der Datenempfänger wiederum darf die bereitgestellten Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat, und hat die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden. Im Übrigen ist es auch denkbar, dass an den Daten interessierte Unternehmen den Nutzer auffordern werden, die Daten mit ihnen zu teilen. Die Daten dürfen nicht dazu verwendet werden, um Konkurrenzprodukte zum datengenerierten Produkt zu entwickeln, wobei hier noch ungeklärt ist, in welchem Umfang das Konkurrenzverbot gilt (muss das Produkt exakt gleich sein? Reicht es, wenn das Produkt dem anderen nur ähnlich ist und bis zu welchem Grad der Ähnlichkeit?). Damit ist allerdings kein “Ideenschutz” gemeint. Konkurrierende Leistungen dürfen, wie bisher auch, angeboten werden.
Der Dateninhaber hat mit dem benannten Dritten, dem Datenempfänger, einen Datenlizenzvertrag abschließen. Für die Bereitstellung der Daten darf der Dateninhaber eine Gegenleistung mit angemessener Marge verlangen (Achtung: eine Marge darf nicht von datenempfangenden Kleinstunternehmen und von kleinen oder mittleren Unternehmen (KMU) verlangt werden). Für die Berechnung der angemessenen Gegenleistung plant die Kommissionen Leitlinien zu erlassen. Der Datenempfänger wiederum darf die bereitgestellten Daten nur für die Zwecke und unter den Bedingungen verarbeiten, die er mit dem Nutzer vereinbart hat, und hat die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden. Im Übrigen ist es auch denkbar, dass an den Daten interessierte Unternehmen den Nutzer auffordern werden, die Daten mit ihnen zu teilen. Die Daten dürfen nicht dazu verwendet werden, um Konkurrenzprodukte zum datengenerierten Produkt zu entwickeln, wobei hier noch ungeklärt ist, in welchem Umfang das Konkurrenzverbot gilt (muss das Produkt exakt gleich sein? Reicht es, wenn das Produkt dem anderen nur ähnlich ist und bis zu welchem Grad der Ähnlichkeit?). Damit ist allerdings kein “Ideenschutz” gemeint. Konkurrierende Leistungen dürfen, wie bisher auch, angeboten werden.
IV. Wann ist eine Vertragsklausel als „missbräuchlich“ anzusehen?
Verträge über die Datennutzung müssen „fair, angemessen und nicht diskriminierend“ sein. Es dürfen keine „missbräuchlichen“ Klauseln verwendet werden, also dann, wenn sie „erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen“. Missbräuchliche Klauseln sind nicht bindend. Im Zweifel muss der Dateninhaber nachzuweisen, dass eine Vertragsbedingung nicht missbräuchlich ist. Der Data Act regelt Fälle, wann Vertragsklauseln in Datenaustauschverträgen missbräuchlich sind. Zu einem späteren Zeitpunkt sollen von der EU-Kommission Mustervertragsklauseln bereitgestellt werden, damit missbräuchliche Klauseln vermieden werden können.
Missbräuchliche Klauseln nach dem Data Act
1. Allgemeine Abwägungskriterien (Art. 13 Abs. 2 Data Act)
|
Grobe Abweichung von „guter Geschäftspraxis“ hinsichtlich Datenzugang und Datennutzung.
|
Verstoß gegen Treu und Glauben.
|
2. Vertragsklausel „ist“ imissbräuchlich (Art. 13 Abs. 3 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
|
Einseitiger Haftungsausschluss oder Haftungsbeschränkung für vorsätzliche oder grob fahrlässige Handlungen.
|
Einseitiger Ausschluss der Rechtsbehelfe bei Nichterfüllung von Vertragspflichten oder Ausschluss der Haftung bei Verletzung von Vertragspflichten.
|
Einseitiger Vorbehalt des ausschließlichen Rechts zu bestimmen, ob die gelieferten Daten vertragsgemäß sind oder eine Vertragsklausel auszulegen.
|
3. Vertragsklausel „gilt“ als missbräuchlich (Art. 13 Abs. 4 Data Act), wenn sie Folgendes bezweckt oder bewirkt:
|
Unangemessene Beschränkung der Rechtsmittel bei Nichterfüllung von Vertragspflichten oder der Haftung bei Verletzung solcher Pflichten oder Haftungserweiterung für das
Unternehmen, dem die Klausel einseitig auferlegt wird.
|
Zugang zu Daten und deren Nutzung, die der einen Partei, der die Klausel auferlegt wurde, erheblich schadet; insb. Zugang zu sensiblen Geschäftsdaten.
|
Hinderung der Partei, der die Klausel auferlegt wurde, die bereitgestellten Daten während der Vertragslaufzeit selbst zu nutzen bzw. Beschränkung dieser Nutzung.
|
Hinderung für die Partei, der die Klausel einseitig auferlegt wurde, eine Kopie der von ihr erzeugten/bereitgestellten Daten während der Vertragslaufzeit bzw. nach Kündigung
zu erhalten.
|
Unangemessen kurze Kündigungsfrist für die Partei, die die Klausel einseitig auferlegt hat.
|
Möglichkeit der die Klausel einseitig auferlegenden Partei den vertraglich vereinbarten Preis oder eine andere wesentliche datenbezogene Bedingung (Art, Format, Qualität)
ohne stichhaltige Begründung zu ändern, ohne dass die andere Partei ein Kündigungsrecht hat.
|
V. Was passiert mit Geschäftsgeheimnissen?
Wenn die angeforderten Daten Geschäftsgeheimnisse enthalten, sind die Dateninhaber dennoch zum Datenzugang gegenüber dem Nutzerbzw. zur Bereitsstellung an Dritte verpflichtet. Gleichwohl soll unter dem Data Act der Schutz von Geschäftsgeheimnissen gewahrt bleiben. Die Daten müssen daher gegenüber Nutzern und Datenempfängern nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren. Darunter fallen vor allem technische und organisatorische Maßnahmen, sowie Geheimhaltunsgvereinbarungen, die mit dem Nutzer bzw. dem Dritten abzuschließen sind. Eine Geheimhaltungsvereinbarung sollte daher wesentlicher Bestandteil der Vereinbarung über Datenzugang und Datennutzung sein. Der Dateninhaber bestimmt grundsätzlich die Daten, die als Geschäftsgeheimnisse geschützt werden.
VI. Was gilt bei personenbezogenen Daten?
In den bereitgestellten Daten können mitunter auch personenbezogene Daten enthalten sein, die dem Datenschutz unterliegen. Durch den Data Act wird das durch die Datenschutzgrundverordnung (DSGVO), geschaffene Datenschutzniveau nicht abgesenkt. Die DSGVO bleibt anwendbar. Eine Rechtsgrundlage aus der DSGVO (bspw. Art. 6 und Art. 20 DSGVO) bei der Verarbeitung personenbezogener Daten bleibt also erforderlich. Handelt es sich um personenbezogene Nutzungsdaten, dürfen diese nur an die betroffene Person und an Dritte nur bei Bestehen einer datenschutzrechtlichen Rechtsgrundlage aus der DSGVO bereitgestellt werden. Der Data Act selbst bildet keine Rechtsgrundlage für die Datenverarbeitung. Beim Offenlegen der Daten gegenüber Nutzern und Dritten sollten technische und organisatorische Schutzmaßnahmen, z.B. die Anonymisierung personenbezogener Daten, eingesetzt werden.
Neben den Rechten auf Datenzugang und Datenteilung, regelt der Data Act noch zwei andere Bereiche:1. Rechte und Pflichten für CloudanbieterVom Data Act sind auch Anbieter von Datenverarbeitungsdiensten, vor allem Cloudanbieter, betroffen. Der Wechsel zu anderen Anbietern soll einfacher gemacht werden. Nutzer können ihre bestehenden Verträge künftig innerhalb von 30 Tagen kündigen. Kunden haben künftig das Recht kostenlos zwischen verschiedenen Datenverarbeitungsdiensten wechseln zu dürfen. Dabei müssen die Daten zu einem anderen Dienst ohne Hindernisse zu migrieren sein. Der Data Act sieht in Artikel 23 bis 26 vertragliche, technische und organisatorische Vorgaben vor, die Datenverarbeitungsdienste künftig einzuhalten haben, damit eine weitreichende Datenportabilität möglich ist.
Die Wechselentgelte werden schrittweise abgeschafft. Bis zum 12. Januar 2027 dürfen von den Kunden für einen Anbieterwechsel ermäßigte Entgelte verlangt werden. Danach dürfen keine Wechselentgelte mehr verlangt werden.2. Rechte für öffentliche Stellen
Neben privaten Akteuren werden auch öffentlichen Einrichtungen erweiterte Zugangsrechte eingeräumt. So muss ein Dateninhaber einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn ein "außergewöhnlichen Bedarf" an der Nutzung der Daten besteht. Eine Ausnahme besteht für kleine und mittlere Unternehmen (KMU). Im Fall einer Notlage, beispielsweise einer Naturkatastrophe, kann eine öffentliche Stelle Unternehmen dazu auffordern, unentgeltlich Daten zur Verfügung zu stellen. Möchte der Staat dagegen nur seinen gesetzlichen Verpflichtungen nachkommen und kann er die Daten nicht anderweitig beschaffen, so kann der Dateninhaber eine Aufwandsentschädigung für die Herausgabe verlangen.
VII. Was passiert bei Verstößen gegen den Data Act?
Verstöße gegen den Data Act, also wenn ein Unternehmen den Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommt, können mit einem Bußgeld geahndet werden. Hierbei gelten – wie bei der DSGVO – Höchstgrenzen von bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.
VIII. Was ist jetzt zu tun?
Unternehmen, die vom Data Act betroffen sind, haben die mit dem Data Act verbundenen Anforderungen bis September 2025 umzusetzen. Hersteller und Anbieter sollten frühzeitig
- Art und Umfang der Daten bestimmen, die bei Nutzung eines digitalen oder vernetzten Produkts oder einer damit verbundenen Dienstleistung anfallen,
- Informationen über Datenzugang und Datenweitergabe bereitstellen,
- überprüfen, wie sie den Datenzugang technisch (in Echtzeit) gewähren können,
- sicherstellen, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden bzw. das für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
- vertragliche Regelungen treffen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen, und
- wie sie bei Bereitstellung der Daten ihre Geschäftsgeheimnisse schützen (mittels technisch-organisatorischen Maßnahmen und per Geheimhaltungsvereinbarung).