Warum gibt es den Data Act?
In einer zunehmend vernetzten Welt generieren IoT-Geräte, vom vernetzten Auto bis zur smarten Waschmaschine, Unmengen an Daten. Diese Daten sind nicht nur nützlich für die Hersteller, sondern auch für die Nutzer selbst sowie für andere Unternehmen, die auf der Basis dieser Daten neue Dienstleistungen entwickeln möchten.
Der Data Act schafft hier einheitliche Regeln in der EU, damit die Daten leichter zugänglich, fair geteilt und sinnvoll genutzt werden können. Konkret soll er:
- Die Datenverfügbarkeit erhöhen,
- Innovation und Wettbewerbsfähigkeit fördern,
- Fairness zwischen den beteiligten Akteuren sichern.
Besonders wichtig: Das Gesetz unterscheidet klar zwischen Produktdaten (die vom Gerät selbst generiert werden) und Dienstdaten (die durch verbundene Dienste wie Apps entstehen), damit jeder weiß, wer welche Rechte an Daten hat.
Für wen ist der Data Act relevant?
Der Data Act betrifft alle, die vernetzte Produkte nutzen, herstellen oder digitale Dienste rund um diese Produkte anbieten, und schafft erstmals klare Regeln für den Zugang, die Nutzung und die Weitergabe der dabei entstehenden Daten.
Nutzer:
Nutzer sind natürliche oder juristische Personen, die Eigentümer, Mieter oder Leasingnehmer eines vernetzten Produkts sind. Auch bei Car-Sharing oder geteilten Nutzungsrechten gelten die Beteiligten als Nutzer.
Was der Data Act für Nutzer regelt:
- Zugriff auf eigene Daten: Nutzer haben das Recht, die von ihnen generierten Daten einzusehen, zu verwenden und zu portieren.
- Kontrolle und Schutz: Nutzer können Sicherheitsvorkehrungen treffen, um den Zugriff durch ausländische Behörden zu verhindern.
- Verantwortung und Vorteile: Wer ein Produkt nutzt, trägt die Risiken, soll aber auch die Vorteile der Datennutzung genießen.
Beispiel: Ein Nutzer eines vernetzten Heizsystems kann durch eine App Sensordaten wie Raumtemperatur, Luftfeuchtigkeit oder Anwesenheit analysieren, um den Energieverbrauch automatisch zu optimieren.
Dateninhaber:
Dateninhaber sind meist die Hersteller von vernetzten Produkten oder Anbieter verbundener Dienste. Sie müssen sicherstellen, dass die durch ihre Produkte oder Dienste erzeugten Daten fair genutzt werden.
Pflichten der Dateninhaber:
- Bereitstellung von Rohdaten oder vor-verarbeiteten Daten in maschinenlesbarem Format,
- Einhaltung der Regeln zur gemeinsamen Nutzung,
- Schutz vor Geschäftsgeheimnissen.
Wichtig: Dateninhaber dürfen die von Nutzern erzeugten Daten nicht ohne Zustimmung verwenden. Gleichzeitig müssen sie sicherstellen, dass Nutzer selbst die Daten problemlos verwenden können.
Datenzugang und Weitergabe
Der Data Act regelt klar, wer auf welche Daten zugreifen darf, sowohl im Verhältnis zwischen Nutzern und Herstellern als auch zwischen Unternehmen (B2B) und öffentlichen Stellen.
B2C und B2B: Zugriff auf IoT-Daten
Nutzer haben das Recht, auf die von ihnen gemeinsam mit einem Dienst generierten Daten zuzugreifen. Dabei unterscheidet der Data Act zwischen:
- Verbundenen Diensten: Diese steuern direkt Funktionen des Produkts (z. B. App zur Steuerung des Kühlschranks).
- Nicht verbundene Daten: Diese liefern lediglich Infrastruktur oder Konnektivität, ohne Daten zu beeinflussen (z B. Stromversorgung).
Die Bereitstellung der Daten muss kostenlos, leicht und sicher erfolgen. Dateninhaber sind jedoch nicht verpflichtet, aus Daten abgeleitete Informationen oder komplexe Analysen weiterzugeben, nur die originalen Rohdaten inklusive Metadaten. Die Speicherung auf der zentralen Rechnereinheit eines vernetzten Produkts ist zwar keine Pflicht, stellt jedoch auch kein Hindernis für eine freiwillige Speicherung, mit einer Vereinbarung von Hersteller und Nutzer, dar.
Einschränkungen
Der Data Act sieht trotz des erweiterten Datenzugangs gezielte Einschränkungen und Schutzmechanismen vor, um Innovation, Wettbewerb und berechtigte Unternehmensinteressen zu wahren:
- Wettbewerbsschutz: Der EU Data Act soll Innovation fördern und fairen Wettbewerb sichern. Deshalb verbietet er, dass erhaltene Daten zur Entwicklung eines direkt konkurrierenden Produkts genutzt werden. So wird verhindert, dass Unternehmen durch Datenzugang unfaire Wettbewerbsvorteile erlangen. Gleichzeitig beschränkt der Data Act nicht den Wettbewerb bei verbundenen Dienstleistungen, etwa bei Aftermarket- oder ergänzenden Services (z. B. Wartung, Reparatur, Zusatzsoftware). Diese dürfen weiterhin auf Basis der Daten angeboten werden, solange sie kein konkurrierendes Kernprodukt ersetzen.
- Kein Zwang zur Drittstaatenübermittlung: Keine Verpflichtung für einen Dateninhaber, Daten an Dritte außerhalb der EU weiterzugeben.
- DS-GVO-Konformität: Gleichzeitig bleibt der Data Act DS-GVO konform, sodass personenbezogene Daten nur mit Einwilligung oder anderer rechtlicher Grundlage geteilt werden dürfen. Dies ist besonders relevant, da gemeinsam generierte Daten oft sowohl personenbezogene als auch nicht personenbezogene Informationen enthalten, die möglicherweise schwer zu trennen sind.
- Innovationsförderung: Das Gesetz schafft Anreize für die Entwicklung vernetzter Produkte und Dienstleistungen auf Basis neuer Datenströme, was insbesondere für kleinere Unternehmen von besonderem Wert ist.
- Schutz von Geschäftsgeheimnissen: Zum Schutz von Geschäftsgeheimnissen, ohne das Ziel des Datengesetzes zu gefährden, können Dateninhaber und Nutzer oder Dritte Maßnahmen zur Wahrung der Vertraulichkeit vereinbaren. Werden diese Maßnahmen nicht eingehalten, kann der Dateninhaber den Datenaustausch verweigern oder aussetzen. Eine Weigerung zur Datenweitergabe ist nur zulässig, wenn der Dateninhaber nachweisen kann, dass die Offenlegung von Geschäftsgeheimnissen wahrscheinlich zu einem erheblichen wirtschaftlichen Schaden führen würde.
Datenaustausch zwischen Unternehmen
Kapitel III des Data Act regelt den Datenaustausch zwischen Unternehmen, etwa wenn ein Unternehmen gesetzlich verpflichtet ist, Daten weiterzugeben.
Grundprinzipien
- Faire, diskriminierungsfreie und transparente Bedingungen: Der Zugang zu Daten darf weder missbräuchlich eingeschränkt noch selektiv gewährt werden.
- Angemessene Entschädigung: Dateninhaber dürfen eine angemessene Vergütung verlangen, etwa für den technischen Bereitstellungs-, Übertragungs- oder Speicheraufwand.
- Besonderer Schutz für KMU und Forschung: Kleinstunternehmen, kleine und mittlere Unternehmen (KMU) sowie gemeinnützige Forschungseinrichtungen dürfen ausschließlich die tatsächlich entstandenen Bereitstellungskosten in Rechnung stellen.
Der Data Act schützt Unternehmen zudem vor unrechtmäßigem Zugriff Dritter und ermöglicht die Geltendmachung von Entschädigungen oder Schadensersatz, falls Daten missbräuchlich genutzt werden.
Schutz vor missbräuchlichen Vertragsklauseln
Viele Unternehmen, insbesondere kleinere, sind im Vertragsrecht oft in einer schwächeren Position. Kapitel IV des Data Act schützt sie vor unfairen Klauseln, wie „take-it-or-leave-it“-Regelungen, die den Zugang zu Daten oder deren Nutzung einseitig einschränken. Das Datengesetz beinhaltet eine Liste von Klauseln, die immer als missbräuchlich in Verträgen gelten. Das Datengesetz enthält hierzu eine ausdrückliche Liste von Vertragsklauseln, die stets als missbräuchlich gelten. Dazu zählen insbesondere Klauseln, die eine Haftung für vorsätzliches Handeln oder grobe Fahrlässigkeit einseitig ausschließen oder unangemessen beschränken.
Wird eine Klausel als missbräuchlich angesehen, ist sie nicht verbindlich. Soweit möglich, bleibt der übrige Vertrag wirksam und die unwirksame Klausel wird vom Vertrag getrennt. Die rechtliche Überprüfung und Anfechtung solcher Klauseln bleiben den betroffenen Parteien im Streitfall ausdrücklich vorbehalten.
Datenaustausch mit öffentlichen Stellen
Der Data Act eröffnet öffentlichen Stellen in klar begrenzten Ausnahmefällen die Möglichkeit, auf ausgewählte Daten aus dem privaten Sektor zuzugreifen. Ziel ist es, in besonderen Situationen fundierte und zeitnahe Entscheidungen im öffentlichen Interesse treffen zu können, ohne Unternehmen unverhältnismäßig zu belasten.
Ein solcher Datenzugriff kommt vor allem in außergewöhnlichen Notlagen in Betracht, etwa bei Naturkatastrophen, Pandemien, schwerwiegenden Cyberangriffen oder massiven Verkehrsstörungen. Darüber hinaus kann der Data Act auch außerhalb akuter Krisen relevant werden, beispielsweise wenn aggregierte und anonymisierte Daten für Zwecke wie Verkehrsplanung oder Umweltforschung genutzt werden.
Der Gesetzgeber zieht dabei klare Grenzen: Öffentliche Stellen dürfen vorrangig nur auf nicht personenbezogene Daten zugreifen. Personenbezogene Daten dürfen ausschließlich dann angefordert werden, wenn dies zwingend erforderlich ist und müssen (soweit möglich) anonymisiert werden. Zudem ist der Datenzugriff zeitlich strikt zu begrenzen, und bereits bereitgestellte Daten dürfen nicht mehrfach angefordert werden.
Insgesamt soll dieses Instrument sicherstellen, dass öffentliche Interessen effektiv geschützt werden, ohne zusätzliche oder unangemessene Belastungen für Unternehmen zu schaffen.
Fazit
Der Data Act stellt einen bedeutenden regulatorischen Eingriff in die europäische Datenwirtschaft dar. Er sorgt für mehr Kontrolle, Fairness und Transparenz in der Datenwirtschaft und setzt neue Standards für die Nutzung und Weitergabe von IoT-Daten, sowohl zwischen Nutzern und Herstellern als auch zwischen Unternehmen und öffentlichen Stellen.
Für Unternehmen bedeutet dies vor allem erhöhte Komplexität: Neue Pflichten, unbestimmte Rechtsbegriffe und Abgrenzungsfragen (etwa zu Wettbewerbsverboten, Geschäftsgeheimnissen oder dem Verhältnis zur DS-GVO), werden in der Praxis zusätzlichen Klärungsbedarf erzeugen. Gleichzeitig eröffnet der Data Act neue rechtliche Möglichkeiten der Datennutzung, deren wirtschaftlicher Nutzen jedoch nicht für alle Marktteilnehmer gleichermaßen absehbar ist. Mit dem Data Act wird deutlich: In der Datenwirtschaft von morgen lohnt es sich, die Kontrolle über eigene Daten zu haben und gleichzeitig die Vorteile des Datenteilens zu erkennen. Die EU macht damit einen wichtigen Schritt, den Datenmarkt offen, fair und innovativ zu gestalten.
