Data Act: Teil 1 – was regelt der Data Act überhaupt?

Warum ist das wichtig? Verstöße gegen den Data Act werden durch die EU-Mitgliedsstaaten sanktioniert, wobei die Art der Sanktionen (einschließlich der Höhe etwaiger Bußgelder) nicht direkt im Data Act geregelt ist, sondern von den einzelnen Mitgliedsstaaten im nationalen Recht festgelegt wird. 

Der Data Act umfasst ein Potpourri rechtlicher Vorschriften, die für Unternehmen unterschiedlich relevant sein können. In unserer Artikel-Reihe zum Data Act möchten wir diese Regelungen vorstellen.  

Teil 1 unserer Reihe bietet einen Überblick über die Regelungskomplexe des Data Act. In den folgenden Beiträgen stellen wir die einzelnen Regelungskomplexe im Detail vor, analysieren die Auswirkungen auf Unternehmen und zeigen Umsetzungsmaßnahmen auf.

Welche Regelungskomplexe enthält der Data Act?

Der Data Act beinhaltet verschiedene Regelungskomplexe, die je nach Geschäftsmodell für Unternehmen unterschiedlich relevant sind. Die folgende Übersicht illustriert das:

Data Act Kapitel II und III: Recht auf Datenzugang

Anbieter von vernetzten Produkten und damit verbundenen Diensten sind gemäß Art. 3 ff. Data Act verpflichtet, auf Verlangen des Nutzers diejenigen Daten zugänglich zu machen, die durch die Nutzung eines vernetzten Produktes oder verbundenen Dienstes generiert wurden. Was gehört beispielsweise dazu?

• Vernetzte Produkte sind mit dem Internet verbundene Produkte, etwa Smart Cars, bestimmte Medizinprodukte, Smart Meter, Smart TVs, Smart Watches oder smarte Küchengeräte.
• Verbundene Dienste sind z. B. Apps, mit denen sich ein vernetztes Produkt steuern lässt, wie eine App zur Steuerung von Smart-Home-Geräten. 

Auf Verlangen des Nutzers müssen Anbieter die durch das vernetzte Produkt oder den verbundenen Dienst generierten Daten sowohl dem Nutzer selbst als auch einem vom Nutzer benannten Dritten zugänglich machen. Für den Nutzer ist dieser Datenzugang kostenlos, gegenüber dem Dritten kann der Anbieter hingegen ein angemessenes Entgelt verlangen. 

Diese Regelung soll es Nutzer ermöglichen, Folgemarkt-Dienste (sog. After Market Services), Nebendienste und sonstige Dienste, insbesondere im Zusammenhang mit dem vernetzten Produkt oder dem verbundenen Dienst, zu nutzen, die von Dritten (eventuell kostengünstiger) angeboten werden. Außerdem soll die Nutzungsmöglichkeit der generierten Daten durch Dritte die Innovation und Entwicklung neuer, bedarfsgerechter Dienste oder Produkte fördern. Versicherungen könnten beispielsweise ihre Prämien entsprechend den Risken bei der Nutzung der Produkte staffeln. 

Die Nutzung der generierten Daten durch Dritte unterliegt jedoch Beschränkungen. Insbesondere dürfen die Dritten diese Daten nicht verwenden, um ein Produkt zu entwickeln, das mit dem vernetzten Produkt im Wettbewerb steht. Auch der Versuch, dadurch Einblicke in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Anbieters oder die Nutzung durch den Anbieter zu gewinnen, ist verboten. Zudem kann das Datenschutzrecht das Recht auf Datenzugang beschränken, weil die Bestimmungen der DS-GVO vom Data Act unberührt bleiben.

Data Act Kapitel IV: Verbot missbräuchlicher Vertragsklauseln

Wenn ein Anbieter nach Art. 5 Data Act auf Verlangen eines Nutzers einem Dritten Zugriff auf generierte Daten gewähren muss, sollte der Anbieter mit dem Dritten einen Vertrag zur Regelung des Datenzugangs und der Datennutzung abschließen. So kann der Anbieter seine Interessen, insbesondere bezüglich des Schutzes von Geschäftsgeheimnissen oder bezüglich eines Entgelts, schützen. Die Klauseln eines solchen Vertrages, soweit sie nicht verhandelt werden, dürfen nach Maßgabe von Art. 13 Data Act nicht missbräuchlich sein, ansonsten sind sie für den anderen Vertragsteil nicht bindend.

Data Act Kapitel V: Datenbereitstellung an öffentliche Stellen und EU-Institutionen

Neben der Pflicht zur Datenzugänglichmachung an Nutzer und Dritte können laut Art. 14 ff. Data Act auch öffentliche Stellen und EU-Institutionen vom Anbieter (oder anderen Dateninhabern) die Bereitstellung von Daten verlangen, wenn eine „außergewöhnliche Notwendigkeit“ besteht. Die Regelungen entstanden aufgrund der Erfahrungen aus der Covid-Pandemie. Sie haben gezeigt, dass der Zugriff der öffentlichen Stellen und EU-Institutionen auf gewisse Daten relevant sein kann für die Beurteilung und Ergreifung von angemessenen Maßnahmen.

Data Act Kapitel VI: „Cloud Switching“

Sowohl B2B- als auch B2C-Kunden sollen nach Art. 23 ff. Data Act kurzfristig und ohne Hindernisse von einem Cloud-Anbieter zum anderen oder zu einer On-premises-Lösung wechseln können. Zweck dieses Regelungskomplexes ist es, den Wettbewerb zu fördern und Marktzutrittsschranken für neue Anbieter zu senken, besonders durch die Beseitigung von vertraglichen Lock-In-Effekten. 

Diese Regelungen gelten aber nicht nur für die klassischen Cloud-Dienste, sondern auch für andere Datenverarbeitungsdienste, wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service und Database-as-a-Service (DaaS). Anbieter sind verpflichtet, die für den Wechsel erforderlichen Unterstützungsleistungen zu erbringen, insbesondere beim Exportieren und Übertragen von Daten und digitalen Vermögenswerten (digital assets). Die diesbezüglichen Rechte von Kunden sind in einem schriftlichen Vertrag zwischen Anbieter und Kunde festzulegen. Ab dem 12. Januar 2027 müssen Anbieter diese Unterstützungsleistungen kostenlos erbringen.

Data Act Kapitel VII: Herausgabe von nicht-personenbezogenen Daten an ausländische Behörden

In Anlehnung an Kapitel V der DS-GVO, insbesondere Art. 50 DS-GVO zur internationalen Übermittlung von personenbezogenen Daten, enthält Art. 32 Data Act Anforderungen für Anbieter, wenn sie nicht-personenbezogene Daten, die in der EU gespeichert sind, an ein Gericht oder eine Behörde außerhalb der EU übermitteln (sollen). Diese Anforderungen gelten auch dann, wenn das ausländische Gericht oder die ausländische Behörde eine Entscheidung erlassen hat, die den Anbieter dazu auffordert, solche nicht-personenbezogenen Daten zu übermitteln oder zugänglich zu machen.

Data Act Kapitel VIII: Interoperabilität bei europäischen Datenräumen

Besondere Anforderungen zur Interoperabilität gelten nach Art. 33 ff. Data Act für die Nutzung europäischer Datenräume. Interoperabilität bedeutet die Fähigkeit von zwei oder mehr Datenräumen, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen (Art. 2 Nr. 40 Data Act). Teilnehmer an europäischen Datenräumen müssen künftig bestimmte Informationen offenlegen. Dazu zählen etwa Datensatzinhalte, Datenstrukturen und Angaben dazu, welche technischen Mittel für den Datenzugang und deren Übermittlung genutzt werden. Ziel und Zweck der Regelungen ist es, dass Daten zwischen verschiedenen Datenräumen zur Innovationsförderung weitergegeben und ausgetauscht werden können.

Kapitel VIII: Smart Contracts

Künftig gelten zudem besondere Vorgaben für den Einsatz intelligenter Verträge. Intelligente Verträge bezeichnen Computerprogramme, die für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet werden (Art. 2 Nr. 39 Data Act). 

Der Data Act sieht vor, dass intelligente Verträge künftig bestimmte Anforderungen erfüllen müssen, wenn sie für die automatisierte Ausführung von Datenweitergabe- und Datenbereitstellungsvereinbarungen eingesetzt werden. In diesem Fall müssen sie nach Art. 36 Data Act so robust gestaltet sein, dass Funktionsfehler vermieden werden und eine Zugangskontrolle möglich ist, um Manipulationen durch Dritte vermeiden zu können. Anbieter von intelligenten Verträgen müssen die Einhaltung der neuen Anforderungen künftig durch eine EU-Konformitätserklärung nachweisen.

Tiefergehende Einblicke in die verschiedenen Regelungskomplexe des Data Acts, einschließlich datenschutzrechtlicher Erwägungen und Aspekte zum Schutz von Geschäftsgeheimnissen, werden wir in nachfolgenden Teilen dieser Reihe geben.

Den gesamten Artikel können Sie hier als pdf downloaden.