Data Act: Teil 2 – Geltendmachung von Ansprüchen unter dem Data Act
Veröffentlicht am 17th Feb 2025
Am 11. Januar 2024 ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ („Data Act“, „DA“) in Kraft getreten. Für zahlreiche Unternehmen lässt der Data Act weitreichende Konsequenzen erwarten. Denn die Vorgaben des Data Act treffen – anders als beispielsweise beim Digital Markets Act – nicht nur ausgewählte Unternehmen, sondern jeden Hersteller oder Anbieter von vernetzten Produkten und verbundenen Diensten. Auch dürften Unternehmen wechselseitig auf Basis des Data Acts erheblich Druck aufeinander aufbauen. Dieser Aufsatz beleuchtet daher die wichtigsten Anspruchskonstellationen, die erforderlichen vertraglichen Regelungen zwischen den Akteuren und gibt praktische Hilfestellungen für Unternehmen.
1. Ansprüche aus dem Data Act für den Nutzer und Dritte
Die Regelungen in den Art. 3 bis 7 DA sollen das Ziel des Data Acts umsetzen: Daten leicht zugänglich zu machen. Die Vorschriften stellen daher ein Zugangskonzept dar, ausgehend vom direkten Zugriff des Nutzers, hin zu der Bereitstellungspflicht des Dateninhabers.
Aus Art. 3 Abs. 1 DA erwächst die Pflicht des Dateninhabers, vernetzte Produkte so zu konzipieren und herzustellen bzw. verbundene Dienste so zu konzipieren und zu erbringen, dass die Daten für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinen-lesbaren Format und direkt zugänglich sind. Der Dateninhaber muss dem Nutzer die Daten allerdings nur dann direkt zugänglich machen, soweit dies relevant und technisch durchführbar ist.
Wenn der Nutzer technisch nicht direkt vom vernetzten Produkt oder vom verbundenen Dienst auf die Produktdaten zugreifen kann, hat er einen Datenzugangsanspruch gegen den Dateninhaber nach Art. 4 Abs. 1 DA auf die ohne Weiteres verfügbaren Daten. Hierunter versteht Art. 2 Nr. 17 DA Daten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. Voraussetzung für den Datenzugangsanspruch ist folglich, dass keine Zugangsmöglichkeit nach Art. 3 Abs. 1 DA besteht. Ausgelöst wird der Datenzugangsanspruch durch einfaches Verlangen des Nutzers.
Vorrangig werden dritte Wirtschaftsakteure ein Interesse an der Nutzung von Daten haben. Vor diesem Hintergrund muss der Dateninhaber nach Art. 5 Abs. 1 DA auf Verlangen eines Nutzers einem Dritten ohne Weiteres verfügbare Daten bereitstellen. Gatekeeper im Sinne des Digital Markets Acts sind jedoch vom Datenzugangsanspruch ausgeschlossen.
Art. 4 und 5 DA führen folglich dazu, dass jeder Nutzer eines vernetzten Produkts und nahezu jeder Dritte, der die Erlaubnis des Nutzers hat, Zugang zu den Daten erhalten muss, die das vernetzte Produkt oder der verbundene Dienst erzeugt.
2. Erforderliche Vertragsbeziehungen
Das bedeutet zugleich, dass sich Dateninhaber wie -nachfrager rechtzeitig um die entsprechende Vertragsgestaltung kümmern müssen. Unter dem Data Act werden drei Arten von Vertragsbeziehungen relevant:
Dateninhaber – Nutzer
Auch der Dateninhaber selbst darf nicht-personenbezogene Daten, die durch das Produkt oder den Dienst generiert werden, für eigene Zwecke künftig nur noch auf Grundlage eines Vertrages mit dem Nutzer, also mit dessen Erlaubnis, verwenden (Art. 4 Abs. 13 DA). Diese Erlaubnis wird voraussichtlich schon aus Praktikabilitätsgründen im Rahmen des Kauf-, Miet- oder Leasingsvertrages über das jeweilige Produkt bzw. des Vertrages über die Erbringung des Dienstes eingeholt. Ein Kopplungsverbot, das den Dateninhaber daran hindern würde, die Nutzung eines Produkts oder Dienstes vom Abschluss entsprechender Vertragsklauseln abhängig zu machen, enthält der Data Act nicht (s. auch Erwägungsgrund 25).
Dem Nutzer sind vor Vertragsabschluss bestimmte Mindestinformationen bereitzustellen, so etwa die Art der Daten, die das vernetzte Produkt oder der Dienst generieren kann, sowie die Möglichkeiten für den Nutzer, darauf zuzugreifen (Art. 3 Abs. 3 und Abs. 4 DA). Dateninhaber dürfen zudem ihrerseits die generierten Produktdaten (Dienstdaten sind hier nicht genannt) Dritten nur zum Zweck der Erfüllung ihres Vertrages mit dem Nutzer bereitstellen (Art. 4 Abs. 14 DA). Ob hiervon wiederum vertraglich abgewichen werden kann, ist noch umstritten.
Dateninhaber – Dritter
Verlangt der Nutzer, dass der Dateninhaber einem Dritten Zugang zu den generierten Daten gewährt, erfordert das einen Vertrag zwischen dem Dateninhaber und dem benannten Dritten (Art. 8 DA). Der Dateninhaber muss dem Dritten die Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitstellen (Art. 8 Abs. 1 DA). Diese „FRAND“ Anforderung (Fair, Reasonable and Non Discriminatory) ist auch aus dem Patentrecht bekannt. Ähnlich wie dort dürfte es auch im Geltungsbereich des Data Act in der Praxis Schwierigkeiten der Bewertung von Bedingungen als „FRAND“ geben.
So darf der Dateninhaber für die Bereitstellung der Daten an Dritte eine Vergütung verlangen (für die Bereitstellung an den Nutzer dagegen nicht). Diese Vergütung soll die Kosten für die Bereitstellung der Daten und Investitionen in deren Erhebung berücksichtigen, ist aber – außer, der Datenempfänger ist ein KMU oder eine gemeinnützige Forschungseinrichtung – nicht auf diese Kosten beschränkt (Art. 9 Abs. 2 und 3 DA). Der Dateninhaber darf vielmehr eine Marge verlangen (Art. 9 Abs. 1 DA). Wie hoch diese Marge sein darf, ist allerdings offen. Laut Data Act soll die Kommission noch Leitlinien für die Berechnung der angemessenen Gegenleistung erlassen (Art. 9 Abs. 5 DA).
Die Vorgabe fairer Vertragsbedingungen zwischen Dateninhaber und Drittem wird flankiert durch einen Negativkatalog missbräuchlicher Vertragsklauseln (ähnlich der aus dem deutschen Recht bekannten AGB-Kontrolle). Die aufgeführten Vertragsklauseln, etwa Haftungsausschlüsse oder Kündigungshindernisse, sind unwirksam, wenn ein Unternehmen sie einem anderen einseitig auferlegt (Art. 13 DA).
Nutzer – Dritter
Zusätzlich schließt der Nutzer eine Vereinbarung mit dem Dritten ab, der auf Verlangen des Nutzers Daten von dem Dateninhaber erhalten soll. Der Dritte darf die so erhaltenen Daten nur so nutzen, wie mit dem Nutzer vereinbart. Insbesondere darf er sie nicht für andere als die vertraglich vereinbarten Zwecke einsetzen (Art. 6 Abs. 1 DA). Der Data Act räumt dem Nutzer insoweit die Kontrolle darüber ein, wie seine Daten (weiter) verwendet werden.
3. Handlungsempfehlungen
Unternehmen sollten zunächst analysieren, welche ihrer vernetzten Produkte und verbundenen Dienste in den Anwendungsbereich des DA fallen. Sodann sollten Unternehmen den Umfang der Daten identifizieren, die sie Nutzern bzw. Dritten zugänglich machen müssen: Hat der Nutzer nach Art. 3 Abs. 1 DA einen direkten Zugangsanspruch, erfasst dieser Produktdaten bzw. verbundene Dienstdaten. Der Datenzugangsanspruch nach Art. 4 Abs. 1 DA (bzw. Art. 5 Abs. 1 DA im Fall des Dritten), ist auf „ohne weiteres verfügbare Daten“ beschränkt (siehe dazu Ziff. 1).
Haben Unternehmen ein Interesse daran, Nutzern Daten nicht herauszugeben, sind die Möglichkeiten zur Begrenzung des Datenzugangsanspruchs zu prüfen: Dateninhaber können den Datenzugangsanspruch des Nutzers beispielsweise bei Fehlen einer hinreichenden datenschutzrechtlichen Rechtsgrundlage oder in eng begrenzten Fällen bei Vorliegen von Geschäftsgeheimnissen begrenzen bzw. ausschließen. In jedem Fall bedarf es einer Einzelfallprüfung für jedes Produkt bzw. jeden Dienst.
Möchten Unternehmen ein Produkt oder Service anbieten, für das oder für den sie selbst auf den Datenzugang gegenüber Dateninhabern angewiesen sind, sollten sie sicherstellen, dass die Anspruchsvoraussetzungen aus Art. 5 DA vorliegen und die erforderlichen vertraglichen Vereinbarungen mit dem Nutzer und Dateninhaber vorliegen, bevor sie das Produkt bzw. den Service auf den Markt bringen.
