News

EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?

Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

Zum Data Act haben wir auch eine Update-Reihe vorbereitet, in welcher u. a. der Anwendungsbereich, die Pflichten für Unternehmen sowie Rechte der Nutzer aus der neuen Verordnung mit Blick auf die Praxis näher erörtert werden.

Auf welche Produkte ist der Data Act anwendbar und wer sind die Adressaten?

Der Data Act gilt für alle Daten, unabhängig davon, ob diese personenbezogen sind oder nicht. Im nun verabschiedeten Text der Verordnung wird der (im Vergleich zum Entwurf der Kommission) „verkleinerte“ Produkt-Begriff benutzt. Der Data Act spricht insoweit lediglich von „vernetzten Produkten und verbundenen Diensten“.

Die Verordnung definiert diese Begriffe wie folgt:

  • Der Begriff „vernetztes Produkt“ bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
  • Der Begriff „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.

Gemeint sind also in erster Linie die „smarten“ Produkte aus dem Bereich des „Internet of Things“, also z. B. die vernetzten Autos, Smart Speaker und weitere Smart-Home-Geräte (wie Kühlschränke, Saugroboter, Heizungen und andere). Diese Produkte lassen sich oft nur mithilfe der dazugehörigen Smartphone-App bedienen – diese Apps stellen die „dazugehörigen Dienste“ dar.

Die Verordnung ist auf alle Daten anwendbar (technische Daten, Texte, Audio, Bilder u. a.). Erfasst sind dabei nicht nur die personenbezogenen Daten i. S. d. DSGVO, sondern auch nicht-personenbezogene Daten, darunter Metadaten.

Der Data Act gilt für Hersteller von den oben genannten Produkten und Diensten, für Nutzer solcher Dienste und Produkte, für Dateninhaber (oder präziser gesagt, Datenbesitzer), Datenempfänger, öffentliche Stellen, Anbieter von Datenverarbeitungsdiensten sowie Teilnehmer von Data Spaces und Anbieter von Anwendungen, die Smart Contracts verwenden.

Vor allem für die Dateninhaber ist die Verordnung relevant und mit großem Umsetzungsaufwand verbunden. Das sind vor allem die Unternehmen, die die nutzergenerierten Daten aus den vernetzten Produkten und dazugehörigen Diensten bekommen – i. d. R. sind das die Hersteller. Gegen sie richtet sich der Anspruch der Nutzer auf Datenzugang.

Wichtigste Pflichten im Data Act

Die zentrale Pflicht ist die Verpflichtung, die Daten aus der Nutzung von Produkten und Diensten an die B2B- oder B2C-Nutzer bereitzustellen, welche in Art. 3 Data Act geregelt ist.

Diese Pflicht sieht vor, dass die vernetzten Produkte so konzipiert und produziert werden müssen, dass diese den Nutzern einen kostenlosen Zugang zu Daten (darunter auch Metadaten) in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden können (soweit technisch möglich muss dies direkt erfolgen).

Für die zukünftige Praxis bedeutet dies, dass bereits im Rahmen der Konzeption und Entwicklung vernetzter Produkte die Anforderung des Data Act zu beachten und „in die Produkte“ zu integrieren ist.

Dieses Recht wird dadurch ergänzt, dass die Nutzer vor dem Abschluss des (Kauf- oder Nutzungs-)Vertrags umfassend informiert werden müssen, ob und welche Daten in welchem Umfang durch das Produkt generiert und gespeichert werden. Die Informationspflicht umfasst auch Angaben dazu, wie der Nutzer den Zugang zu Daten erhalten kann.

Für die mit den Produkten verbundenen Dienste (z. B. zusätzliche Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßige Reparatur- und Wartungsdienste) gelten ähnliche Vorgaben, Art. 3 Abs. 3 Data Act. Selbstverständlich sieht die Verordnung auch Ausnahmen vor, z. B. für den Fall, wenn dadurch die Sicherheitsanforderungen des Produkts untergraben werden oder wenn dadurch Geschäftsgeheimnisse offengelegt werden. Ob diese Ausnahmen eine hohe Praxisrelevanz haben oder eher restriktiv ausgelegt werden, lässt sich zum heutigen Zeitpunkt noch nicht sagen. Der verabschiedete Text enthält auch eine weitere Einschränkung, die für die Nutzer gilt: Diese dürfen nämlich keine Zwangsmittel anwenden oder Lücken in technischer Infrastruktur des Dateninhabers missbrauchen, um Zugang zu den Daten zu erlangen.

Ganz wichtig ist auch der neu gefasste Abs. 14 des Artikels 4 Data Act: Nach dieser Regelung dürfen die Dateninhaber die nicht-personenbezogenen Produktdaten an Dritte weder zu kommerziellen noch zu nicht kommerziellen Zwecken zur Verfügung stellen, es sei denn, es ist zur Erfüllung des Vertrages mit dem Nutzer erforderlich. Damit untersagt die neue Verordnung im Grunde den Handel mit Nutzerdaten durch die Unternehmen und räumt den Nutzern die exklusiven Vermarktungsrechte an ihren Produktdaten ein.

Eine weitere, für die Praxis äußerst relevante Pflicht ist im Art. 5 Data Act geregelt. Der Dateninhaber muss danach auf Verlangen des Nutzers die Daten an Dritte bereitstellen. Die Nutzer können also den Dateninhaber anweisen, die Daten an z. B. Reparaturbetriebe oder konkurrierende Dienstleister zu übergeben. Dies erinnert an Art. 20 DSGVO, das Recht auf Datenübertragbarkeit. Geschäftsgeheimnisse sind aber nicht erfasst, es sei denn, die (teilweise) Offenlegung von diesen ist für die vereinbarten Zwecke unbedingt notwendig (mit Ausnahme für die Fälle, wo erhebliche finanzielle Verluste durch die Offenlegung drohen). Die Weitergabe erfolgt auf Grundlage eines Vertrages zwischen dem Dateninhaber und dem Dritten. Grundsätzlich können diese Verträge auch Regelungen zum angemessenen Entgelt beinhalten.

Weitere Pflichten beziehen sich auf die Ermöglichung eines Wechsels zwischen Datenverarbeitungsdiensten und die Anforderungen an die Interoperabilität.

Inkrafttreten und Geltung

Der Data Act tritt am 20. Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union in Kraft. Die meisten Regelungen werden gem. Art. 50 Data Act ab dem 20. Monat nach Inkrafttreten anwendbar sein, also wohl etwa ab August 2025. Art. 3 Abs. 1 Data Act (die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten „by default“ in ihren Produkten zu implementieren) gilt erst ab August 2026.

Ausblick und Vorbereitungsmaßnahmen

Der Data Act schafft einen neuen Markt für Nutzerdaten, wo die Nutzer die exklusiven Rechte an ihren Produktdaten haben. Damit bekommen die Datenbörsen, Broker und anderen Intermediäre ein Regelwerk für ihre Tätigkeit auf dem Markt. Insbesondere im früher eher wenig geregelten Bereich der nicht-personenbezogenen Daten sind massive (Markt-)Veränderungen zu erwarten.

Die Unternehmen müssen sich trotz der 20-monatigen Übergangszeit auf weitgehende Pflichten schon jetzt aktiv vorbereiten. Für die Hersteller von vernetzten Produkten ist der Umsetzungsaufwand enorm. Der Data Act gilt für alle Marktteilnehmer und die Unternehmen müssen ggf. erhebliche Anpassungen in ihren Geschäftsmodellen vornehmen, um insbesondere den Zugang und Interoperabilität von Daten sicherzustellen. Im Falle der Zuwiderhandlung sind im Data Act selbstverständlich Sanktionen vorgesehen.

Besonders viel Aufwand droht da, wo die nutzergenerierten Daten aus vernetzten Produkten personenbezogen sind. In diesem Fall sind zusätzlich zu den Data-Act-Anforderungen auch die DSGVO-Pflichten zu beachten.

Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.
Rechtsanwalt, Senior Associate
Johannes Zwerschke, LL.M.

Zurück

News

Erneute Auszeichnung durch Legal 500 Deutschland: Dr. Carlo Piltz einer der führenden Namen im Datenschutzrecht

Das dritte Jahr in Folge wurde Dr. Carlo Piltz in der aktuellen Ausgabe des The Legal 500 Germany als einer der führenden Namen im Datenschutz erwähnt.

EuGH-Urteil: Haftung des Verantwortlichen für den Auftragsverarbeiter – was gilt es zu beachten?

Mit der Entscheidung zur Rechtssache C-683/21 (Covid-App Litauen) hat der EuGH am 5. Dezember 2023 ein wichtiges Urteil gefällt, in dem es neben der Frage der Verantwortlichkeit auch um die (Bußgeld)Haftung des Verantwortlichen für den Auftragsverarbeiter geht. Letzteren Aspekt möchten wir in diesem Beitrag genauer darstellen.

Entscheidungen des EuGH zum immateriellen Schadensersatzanspruch und der Geeignetheit von technischen und organisatorischen Maßnahmen

Der EuGH hat am 14. Dezember 2023 zwei maßgebliche Entscheidungen getroffen, die zum einen die Anforderungen an die technischen und organisatorischen Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO und zum anderen die Anforderungen zur Geltendmachung von immateriellen Schadenersatzansprüchen gemäß Art. 82 DSGVO betreffen.

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

FAQ: Entscheidung des Europäischen Gerichtshofs zur Verhängung von Bußgeldern nach der DSGVO (C-807/21)

  1. Worum ging es (Kurzfassung)?

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 5.12.2023 (C-807/21) die Vorlagefragen des Kammergerichts Berlin (KG) in Bezug auf das im Oktober 2019 durch die Berliner Aufsichtsbehörde verhängte Bußgeld iHv. 14,5 Millionen Euro gegen die Deutsche Wohnen SE beantwortet

Europäischer Datenschutzausschuss: neue (strenge) Leitlinien zum technischen Anwendungsbereich der "Cookie-Vorgaben" (§ 25 TTDSG)

Der Europäische Datenschutzausschuss (EDSA) hat am 15.11.2023 eine Leitlinie zum technischen Anwendungsbereich von Art. 5 (3) der Datenschutzrichtlinie für die elektronische Kommunikation veröffentlicht. Die Leitlinie soll klarstellen, welche Trackingtechnologien von der ePrivacy-Richtlinie (ePrivacyRL) konkret erfasst und damit grundsätzlich einwilligungsbedürftig sind. In Deutschland wurden die Anforderungen der ePrivacyRL in § 25 TTDSG umgesetzt.

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig