Data Act: Die wichtigsten Eckpunkte im Überblick

| Der Data Act der EU ist das zentrale Element des neuen europäischen Datenwirtschaftsrechts. Er zielt darauf ab, den Zugang zu und die Nutzung von nicht-personenbezogenen Daten in Europa zu regulieren. Dies schließt die Schaffung eines strukturierten Rahmens für Datennutzungsverträge ein, um den Austausch von Daten sowohl zwischen Unternehmen (B2B) als auch zwischen Unternehmen und Verbrauchern (B2C) zu fördern. Der Data Act baut auf dem Grundsatz auf, dass Daten ein wesentlicher Wirtschaftsfaktor sind und durch eine effizientere Nutzung Wettbewerb und Innovation gefördert werden sollen. |

1. Was regelt der Data Act?

Intention des Data Acts ist es, Datenzugangs- und Nutzungsrechte klar zu definieren und zu harmonisieren, insbesondere im Kontext von Maschinen und Internet-of-Things (IoT)-Geräten, die Daten generieren. Dies umfasst Rohdaten, die durch verbundene Produkte oder Dienste erzeugt werden, sowie bestimmte vertragliche und technische Rahmenbedingungen für deren Bereitstellung und Nutzung. Aggregierte oder abgeleitete Daten (z.B. für KI-Trainings) sind teilweise ausgenommen.

2. Geschaffene Daten-Nutzungsrechte

Die Nutzungsrechte im Data Act sind zentraler Bestandteil der neuen Regelungen. Sie betreffen vor allem den Zugang zu Daten, die durch die Nutzung vernetzter Geräte und Dienste generiert werden. Ziel ist es, eine faire und transparente Nutzung von Daten sicherzustellen, um den Wettbewerb zu fördern und Innovationen zu ermöglichen. Die folgenden Aspekte sind dabei besonders relevant:

a) Datenzugangsrechte

Das Kernstück des Data Act ist das Recht auf Zugang zu Daten, die von vernetzten Geräten und Diensten erzeugt werden. Dieses Recht wird vor allem Nutzern von IoT-Geräten eingeräumt, wobei es sich um maschinell generierte Daten handelt, wie beispielsweise Betriebsdaten von Maschinen oder Nutzungsdaten von smarten Geräten. Hersteller und Anbieter dieser Geräte sind verpflichtet, den Nutzern diese Daten in einem maschinenlesbaren Format zur Verfügung zu stellen, sodass sie die Daten selbst nutzen oder an Dritte weitergeben können.

b) Weitergabe an Dritte

Der Data Act sieht vor, dass Nutzer das Recht haben, ihre Daten an Dritte weiterzugeben. Unternehmen, die die Daten bereitstellen (Dateninhaber), müssen dafür Sorge tragen, dass diese Daten auf Anforderung des Nutzers auch an Dritte übermittelt werden können. Dabei dürfen keine diskriminierenden Bedingungen auferlegt werden. Diese Regelung zielt darauf ab, Wettbewerbsverzerrungen zu verhindern und den Zugang zu Daten für Dienstleister zu erleichtern, die auf Basis dieser Daten Mehrwertdienste anbieten möchten.

c) Pflichten der Dateninhaber

Dateninhaber ‒ häufig die Hersteller oder Anbieter von vernetzten Geräten ‒ sind verpflichtet, den Zugang zu „ohne Weiteres verfügbaren Daten“ zu ermöglichen. Diese Daten müssen in einem gängigen, strukturierten und maschinenlesbaren Format bereitgestellt werden. Der Begriff „ohne Weiteres verfügbar“ bedeutet dabei, dass der Zugriff ohne unverhältnismäßigen Aufwand erfolgen muss. Dateninhaber müssen zudem sicherstellen, dass die Daten in der gleichen Qualität bereitgestellt werden, wie sie selbst darüber verfügen.

d) Beschränkungen der Nutzungsrechte

Obwohl der Data Act den Zugang zu Daten erleichtert, gibt es Schutzmaßnahmen, insbesondere für Geschäftsgeheimnisse und sensible Informationen. Unternehmen können den Zugang zu Daten verweigern, wenn die Bereitstellung erhebliche wirtschaftliche Schäden verursacht oder Geschäftsgeheimnisse gefährdet sind. Der Data Act enthält spezifische Regelungen, die es Unternehmen erlauben, den Zugang zu verweigern, wenn angemessene Geheimhaltungsmaßnahmen nicht gewährleistet sind oder der Schutz von Geschäftsgeheimnissen verletzt wird.

e) Nutzungsrechte für Datenvermittler und öffentliche Stellen

Der Data Act erlaubt es auch Datenvermittlungsdiensten und öffentlichen Stellen, unter bestimmten Bedingungen Zugang zu Daten zu erhalten. Dies betrifft vor allem den Zugang zu aggregierten oder anonymisierten Datensätzen, die im öffentlichen Interesse genutzt werden können, beispielsweise für Forschungszwecke oder öffentliche Infrastrukturprojekte. Für diese Daten müssen jedoch spezielle Regelungen beachtet werden, insbesondere, dass personenbezogene Daten im Einklang mit der DSGVO verarbeitet werden.

3. Im Zentrum: Das Recht auf Datenzugang

Der Datenzugang ist das zentrale Element des EU Data Act und stellt eine der bedeutendsten Neuerungen dar. Er regelt den Zugang zu den von vernetzten Produkten und Diensten generierten Daten und gibt Nutzern sowie Drittparteien weitreichende Rechte. Grundsätzlich sieht der Data Act vor, dass die von vernetzten Produkten erzeugten Daten primär den Nutzern dieser Produkte gehören und diese einen Anspruch auf kostenlosen Zugang zu diesen Daten haben (Art. 4 Data Act). Dabei erfasst der Begriff „Daten“ ein breites Spektrum, einschließlich Rohdaten, die während der Nutzung eines Produkts anfallen, sowie moderat verarbeitete Metadaten.

Zentral für den Datenzugang ist das Prinzip „Accessibility by Design“ (Zugänglichkeit durch Design). Dies bedeutet, dass Hersteller ihre Produkte so gestalten müssen, dass der Nutzer eigenständig und direkt auf die erzeugten Daten zugreifen kann, ohne zusätzliche technische Hürden überwinden zu müssen. Dies betrifft insbesondere IoT-Geräte, von intelligenten Maschinen bis hin zu vernetzten Haushaltsgeräten, die kontinuierlich Daten sammeln und verarbeiten.

In der Praxis verpflichtet der Data Act Unternehmen auch dazu, den Zugang zu diesen Daten in einem standardisierten Format bereitzustellen, um eine Interoperabilität zwischen verschiedenen Diensten und Plattformen zu gewährleisten. Dabei müssen die Daten in derselben Qualität zur Verfügung gestellt werden, wie sie dem Hersteller vorliegen, um Diskriminierungen zu vermeiden und eine gleichberechtigte Nutzung zu ermöglichen.

Für Unternehmen ist dies eine erhebliche technische und organisatorische Herausforderung, da neben der Sicherstellung des Datenzugangs auch der Schutz sensibler Informationen, wie Geschäftsgeheimnisse, gewährleistet werden muss. Ein zentrales Problem dabei ist die Abwägung zwischen dem Recht auf Datenzugang und dem Schutz unternehmerischer Interessen, insbesondere im Hinblick auf den Schutz vor missbräuchlicher Verwendung durch Wettbewerber.

4. Data Act: Welche Unternehmen sind betroffen?

Der Data Act richtet sich an eine breite Palette von Unternehmen, darunter:

• Hersteller und Anbieter von IoT-Geräten und Diensten: Diese müssen sicherstellen, dass Nutzern der Zugang zu den von ihren Geräten erzeugten Daten gewährt wird.

• Unternehmen, die Daten nutzen: Dazu gehören sowohl Datenvermittler als auch Unternehmen, die Daten für Innovationen, Analysen oder KI-Entwicklung verwenden.

• Cloud-Diensteanbieter: Spezifische Vorschriften betreffen die Interoperabilität und Portabilität von Daten in Cloud-Umgebungen.

Für Kleinst- und Kleinunternehmen mit weniger als 50 Beschäftigten und weniger als 10 Mio. EUR Jahresumsatz gelten dabei Ausnahmen bezüglich der Datenzugangsansprüche, sofern sie keine Partner- oder verbundenen Unternehmen haben, die nicht als Kleinunternehmen eingestuft werden.

5. Rechte und Pflichten der Unternehmen

Wenn in einer Gesamtschau die konkreten Rechte und Pflichten für Unternehmen in ihrem betrieblichen Alltag in den Blick genommen werden, ist der schon thematisierte Zugang zu Daten an erster Stelle zu erwähnen, da der Data Act Nutzern (einschließlich Unternehmen) das Recht gewährt, auf Daten zuzugreifen, die von ihren genutzten Produkten generiert werden. Hersteller sind verpflichtet, diese Daten in einem gebräuchlichen, maschinenlesbaren Format bereitzustellen, oft in Echtzeit. Dazu treten neue Pflichten zur Interoperabilität dahingehend, dass Unternehmen, insbesondere Cloud-Anbieter, sicherstellen müssen, dass die Datenportabilität und Interoperabilität zwischen ihren Diensten und denen anderer Anbieter gewährleistet sind.

Auch vertraglich steht Arbeit ins Haus, so gibt es spezielle Vorschriften zur Vermeidung von Missbrauch bei B2B-Verträgen. Art. 13 des Data Act führt eine AGB-Kontrolle ein, um unfaire Vertragsklauseln zu verhindern, die eine Partei unangemessen benachteiligen könnten. Dazu tritt, dass der Zugang zu Daten durch Drittparteien stark reguliert wird. Beispielsweise dürfen diese nur Daten nutzen, wenn eine klare vertragliche Grundlage besteht.

6. Praktische Fragen für Unternehmen

Für Unternehmen stellen sich mit dem Inkrafttreten des Data Act zahlreiche praktische Fragen. So müssen sie sicherstellen, dass ihre Verträge den angerissenen Anforderungen des Data Act entsprechen, insbesondere in Bezug auf den Zugang zu und die Nutzung von Daten. Die Einführung von Missbrauchskontrollen erfordert dabei, dass Unternehmen ihre Standardvertragsklauseln überprüfen und anpassen müssen. Spezialisierte IT-Dienstleister werden die Daten-Angebote ihrer Produkte prüfen müssen, etwa dahingehend, ob sie in der Lage sind, die Daten in den geforderten Formaten bereitzustellen (IoT-Anbieter) und den Anforderungen an Datenportabilität gerecht zu werden (Cloud-Anbieter).

6. Und der Geheimnisschutz?

Data Act und der Schutz von Geschäftsgeheimnissen stehen in einem spannungsgeladenen Verhältnis zueinander, da der Data Act den Zugang zu Daten für Nutzer und Drittparteien stärkt, gleichzeitig aber den Schutz sensibler Informationen wie Geschäftsgeheimnisse gewährleisten muss.

Der Data Act sieht zwar vor, dass Unternehmen Nutzern und Drittanbietern Zugang zu Daten gewähren müssen, wenn diese von vernetzten Geräten oder Diensten generiert wurden. Dies könnte jedoch zu einem Risiko führen, dass schützenswerte Geschäftsgeheimnisse, wie Betriebsgeheimnisse, technische Spezifikationen oder Algorithmen, offengelegt werden. Rohdaten und Daten aus IoT-Geräten können Geschäftsgeheimnisse verkörpern, da aus ihnen durch Datenanalysen wertvolle Rückschlüsse auf betriebliche Prozesse und Technologien gezogen werden können.

Um dem entgegenzuwirken, enthält der Data Act spezifische Schutzmechanismen: Wenn durch den Datenzugang Geschäftsgeheimnisse betroffen sind, können Unternehmen die Weitergabe dieser Daten unter bestimmten Bedingungen verweigern. Dazu gehört, dass sie angemessene Geheimhaltungsmaßnahmen treffen müssen, wie z.B. Vertraulichkeitsvereinbarungen und technische Schutzprotokolle, um sicherzustellen, dass sensible Daten nicht unberechtigterweise offengelegt werden. Wenn solche Maßnahmen nicht ausreichen oder keine Einigung über deren Umsetzung erzielt wird, erlaubt der Data Act eine Zugangsverweigerung. Besonders schwerwiegende Fälle, bei denen ein erheblicher wirtschaftlicher Schaden droht, rechtfertigen eine solche Verweigerung ebenfalls.

In der Praxis wird es für Unternehmen wichtig sein, die Balance zwischen der Erfüllung ihrer Datenzugangspflichten und dem Schutz ihrer Geschäftsgeheimnisse sorgfältig zu steuern. Dazu gehört, frühzeitig technische und rechtliche Schutzmaßnahmen zu implementieren, um potenzielle Schäden zu vermeiden.

7. Datenschutz in der Data Act Praxis

Da sich Data Act und die DSGVO in einem anspruchsvollen Spannungsverhältnis befinden, das vor allem dann relevant wird, wenn personenbezogene Daten involviert sind, muss diese Schnittstelle Teil der Unternehmens-Datenschutzpraxis sein. Obwohl der Data Act im Wesentlichen den Zugang zu und die Nutzung von nicht-personenbezogenen Daten regelt, kann es in der Praxis absehbar zu Überschneidungen kommen, da vernetzte Geräte oft gemischte Datensätze erzeugen, die sowohl personenbezogene als auch nicht-personenbezogene Informationen enthalten.

Grundsätzlich gilt der Data Act erst einmal „unbeschadet“ der DSGVO, was bedeutet, dass die Bestimmungen des Datenschutzrechts vorrangig bleiben, wenn personenbezogene Daten betroffen sind. Der Data Act darf den Datenschutz also nicht abschwächen. Dies führt dazu, dass Unternehmen sicherstellen müssen, dass jede Datenverarbeitung, die durch den Data Act ermöglicht wird, im Einklang mit der DSGVO steht. Besonders bei gemischten Datensätzen (personenbezogene und nicht-personenbezogene Daten) gilt, dass der gesamte Datensatz als personenbezogen behandelt wird, was zu einer zusätzlichen Belastung bei der Datenverarbeitung führt.

Der Data Act schafft wohl auch keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten! Das bedeutet, dass Unternehmen neben den Anforderungen des Data Act immer eine gültige Rechtsgrundlage nach Art. 6 DSGVO benötigen, um personenbezogene Daten zu verarbeiten oder an Dritte weiterzugeben. Dies kann in der Praxis zu Herausforderungen führen, wenn beispielsweise der Datenzugang nach dem Data Act gefordert wird, aber keine geeignete Rechtsgrundlage nach der DSGVO vorliegt. Unternehmen müssen dann möglicherweise den Zugang verweigern, was wiederum zu Konflikten mit den Zielen des Data Act führen kann. Kritisch sind Prinzipien der DSGVO wie Datenminimierung und Speicherbegrenzung, die im offenkundigen Gegensatz zu den breiten Zugangs- und Weiterleitungsrechten des Data Act stehen. Während die DSGVO fordert, dass personenbezogene Daten nur so lange wie nötig gespeichert und so wenig wie möglich erhoben werden, sieht der Data Act vor, dass Nutzer und Dritte Zugang zu umfangreichen Datensätzen erhalten. Dies kann vor allem dann problematisch werden, wenn Unternehmen durch den Data Act gezwungen sind, personenbezogene Daten länger aufzubewahren oder weiterzugeben, als es die DSGVO eigentlich erlaubt.

Um die anspruchsvolle Dynamik zwischen Data Act und DSGVO zu lösen, wird man die Anonymisierung personenbezogener Daten in den Blick fassen: Wenn Daten vollständig anonymisiert werden, fallen sie nicht mehr in den Anwendungsbereich der DSGVO, und der Data Act kann ohne Konflikte angewendet werden. Allerdings gibt es keine einheitlichen Standards oder klare Vorgaben im Data Act, wie eine ordnungsgemäße Anonymisierung erreicht werden kann, was erst einmal zu erheblichen Unsicherheiten in der Praxis führt.

8. Ausblick

Der Data Act wird einen erheblichen Einfluss auf die Datenwirtschaft haben, indem er klare Regeln für den Zugang zu Daten festlegt und eine faire Nutzung fördert. Unternehmen müssen sich auf technische, organisatorische und rechtliche Herausforderungen einstellen, um den Anforderungen des Data Act gerecht zu werden und das volle wirtschaftliche Potenzial ihrer Daten zu nutzen.

Die Nutzungsrechte im Data Act zielen darauf ab, den Zugang zu maschinell generierten Daten zu erleichtern und gleichzeitig einen fairen Wettbewerb zu gewährleisten. Unternehmen müssen sicherstellen, dass sie die technischen und rechtlichen Voraussetzungen erfüllen, um diesen Zugang zu ermöglichen, und gleichzeitig den Schutz sensibler Daten und Geschäftsgeheimnisse wahren. Hier bestehende Spannungen zwischen dem Data Act und der DSGVO resultieren vor allem aus der unterschiedlichen Ausrichtung beider Regelwerke: Während der Data Act die Nutzung und den Zugang zu Daten fördert, schützt die DSGVO die Rechte von natürlichen Personen in Bezug auf ihre personenbezogenen Daten. Unternehmen müssen sich auf Einzelfallprüfungen einstellen und geeignete Lösungen finden, wie etwa die Anonymisierung von Daten, um den Anforderungen beider Regelwerke gerecht zu werden.