Seit 11.01.2024 ist der sogenannte Data Act (zu Deutsch: Datenverordnung)1 nun in Kraft; umzusetzen sind die Verpflichtungen in wesentlichen Teilen bereits bis 12.09.2025.
„Grundlegende Änderung der Spielregeln der Data Economy“
In der Branche ist die Rede von einer grundlegenden Änderung der Spielregeln der Data Economy, vom größten Wurf im Datenrecht seit der Datenschutz-Grundverordnung (DSGVO) wird gemunkelt. Umso bedeutender ist es, sich als potentiell betroffenes Unternehmen ehestmöglich des Anwendungsbereichs und der Verpflichtungen bewusst zu werden und die notwendigen Maßnahmen zu setzen. Andernfalls ist bei mangelnder Compliance bereits ab September 2025 mit den schon aus der DSGVO und anderen EU-Verordnungen bestens bekannten wirksamen, verhältnismäßigen und abschreckenden Geldbußen zu rechnen.
Wie Sie diesen Geldbußen entgehen und ohne schlaflose Nächte dem Data Act entgegensehen, erfahren Sie bei Ihren vertrauten IT-Recht-Experten:innen von GLTP.
Wer ist betroffen?
Primäre Zielgruppe der Datenverordnung sind die Hersteller vernetzter Produkte2 und Anbieter damit verbundener Dienstleistungen3 sowie die Nutzer dieser Produkte und Dienstleistungen.
Darüber hinaus fallen neben öffentlichen Stellen auch Dateninhaber4, Datenempfänger, Anbieter von Datenverarbeitungsdiensten, Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge verwenden, in den persönlichen Anwendungsbereich des Data Acts.
Vernetzte Produkte sind körperliche Gegenstände, die Daten über ihre Nutzung oder Umgebung erlangen, generieren oder erheben und über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln können.
Häufig wird vom Internet of Things (IoT) gesprochen, wobei dieser Begriff in seiner landläufigen Verwendung zu kurz greift. Zwar sind natürlich auch vernetzte Produkte im privaten Bereich angesprochen. Der Data Act erfasst zudem jedoch vernetzte Produkte im gewerblichen und industriellen Bereich.
Beispiele für vernetzte Produkte:
• Fahrzeuge, Schiffe und Flugzeuge
• Smart-Home-Geräte
• Navigationssysteme
• Fitness-Tracker
• Spielkonsolen
• Industrie-, Gewerbe- und landwirtschaftliche Maschinen und medizinische Geräte
Ausgenommen sind lediglich solche Produkte, deren Hauptfunktion in der Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – liegt.
Als verbundenen Dienst versteht der Data Act digitale Dienste (einschließlich Software), die so mit dem Produkt verbunden sind, dass das vernetzte Produkt ohne sie eine oder mehrere seiner Funktionen nicht ausführen könnte oder die anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden werden, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Vom Anwendungsbereich weitgehend ausgenommen sind kleine Unternehmen und Kleinstunternehmen (siehe etwa Art 7 Abs 1, Art 15 Abs 2 Data Act). Kleine Unternehmen sind solche mit weniger als 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanz von maximal 10 Millionen Euro.
Was ist zu tun?
• Vernetzte Produkte und verbundene Dienste müssen angepasst werden! Vernetzte Produkte müssen künftig so konzipiert sein, dass die Daten, die durch den Nutzer generiert werden, auf direktem Wege verfügbar sind. Dazu gehören standardmäßig integrierte Schnittstellen und Download-Optionen („Access by Design“). Die Datenbereitstellungspflicht gilt für vernetzte Produkte und verbundene Dienste, die ab dem 12.09.2026 in Verkehr gebracht werden.
• Kunden sind vor Vertragsschluss zu informieren!
Die Käufer, Mieter oder Leasingnehmer von vernetzten Produkten und verbundenen Diensten sind künftig vor Abschluss des Vertrages im Detail über die verarbeiteten Daten (Art, Format, Menge), die Art und Dauer der Verarbeitung, die Identität des Dateninhabers, die Zugriffsmöglichkeiten, die Beschwerderechte etc zu informieren.
• Es sind Datenlizenzverträge mit den Kunden abzuschließen!
Es steht den Nutzern frei zu entscheiden, ob sie die von den vernetzten Produkten und den zugehörigen Dienstleistungen erzeugten Daten für sich behalten oder für Dritte zugänglich machen möchten. Dies ermöglicht es Anbietern nachgelagerter Dienstleistungen, wie etwa Wartungsleistungen, in der Praxis, ihre Dienste entsprechend anzubieten. Die Zustimmung des Nutzers ist für sämtliche Verwendungen der von ihm erzeugten Daten unerlässlich. Die vertraglichen Bestimmungen bezüglich des Datenzugangs und der Datennutzung unterliegen einer Prüfung hinsichtlich Angemessenheit und Missbrauch, vergleichbar mit den Regelungen im AGB-Recht.
• Auf Datenzugangsanfragen vorbereitet sein!
Bereiten Sie sich früh genug auf Datenzugangsanfragen vor, um nicht durch eine mögliche Flut an Anfragen überrascht und im Betrieb gehemmt zu werden. Für betroffene Unternehmen ist es von großer Bedeutung, rechtzeitig organisatorische und technische Vorkehrungen für die zu erwartenden Datenzugangsanfragen zu treffen. Entscheidend dabei ist etwa der vorangehende Autorisation Check. So sind etwa Gatekeeper im Sinne des Digital Markets Act nicht für den Datenzugang berechtigt. Außerdem darf der Zugang zu den Daten für Berechtigte nicht unnötig erschwert werden.
• Schutz von Geschäftsgeheimnissen rechtzeitig vorbereiten!
Der Data Act enthält Regelungen zum Schutz Ihrer Geschäftsgeheimnisse (etwa Art 4 Abs 6–8 und Art 5 Abs 9–11, Art 8 Abs 6, Art 19 Abs 3 Data Act). Nichtsdestotrotz kann eine Verpflichtung zur Offenlegung von Geschäftsgeheimnissen im Rahmen der Datenzugangsrechte unter gewissen Umständen bestehen. Betroffenen Unternehmen ist demnach dringend zu raten, ihre Datenverwendung im Rahmen der vernetzten Produkte und verbundenen Dienste zu analysieren und so zu planen, dass der Schutz der Geschäftsgeheimnisse möglichst gewährleistet ist.
Wichtige Deadlines
Der Data Act gilt größtenteils bereits am dem 12.09.2025. Lediglich Teile des Data Acts, etwa die Datenbereitstellungspflicht für vernetzte Produkte und verbundene Dienste, gilt erst ab dem 12.09.2026.
Conclusio / Erste Schritte
Stellen Sie vernetzte Produkte her oder bieten verbundene Dienste an, sollten Sie ehestmöglich rechtlichen Rat einholen. Die Verpflichtungen des Data Acts oder – eventuell besser – die vorsorgliche Vermeidung einer Konfrontation mit diesen Verpflichtungen, bedürfen womöglich einer tiefgreifenden Umstrukturierung ihrer Datenverwendung, welche Sie in Abstimmung mit dem Anwalt ihres Vertrauens vornehmen sollten.
Als ersten Schritt empfehlen wir, eine Betroffenheitsanalyse durchzuführen. Ihre Expert:innen bei GLTP unterstützen Sie dabei gerne.
1: Langtitel: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828.
2: Wenn die Produkte in der EU in Verkehr gebracht werden.
3: Beide unabhängig von deren Ort der Niederlassung.
4: Personen, die verbundene Dienste erbringen und die dabei abgerufenen oder generierten Daten nach dem Data Act oder sonstigen Unionsrecht