Der Data Act und dessen (vertragliche) Relevanz für den Anlagen- und Maschinenbau

I. Regelungsregime des Data Acts

1. Grundgedanke des Data Acts

Der Data Act ist Teil der Europäischen Digitalstrategie, die das Ziel verfolgt, einen Binnenmarkt für Daten zu schaffen.¹ Er ist keine umsetzungsbedürftige Richtlinie, sondern eine direkt geltende Verordnung, folgt aber dem aktuellen Trend des Europäischen Verordnungsgebers, untechnischer von einem „Act“ statt konkret von einer „Regulation“ zu sprechen. Im Kern soll der Data Act ein neues Zugangsregime für Daten schaffen: Diejenigen, die durch die Nutzung von vernetzten Geräten Daten erzeugen, sollen zu diesen Daten Zugang erhalten bzw. die Weitergabe der Daten an Dritte veranlassen können.² Diesen Regelungsgedanken baut der Verordnungsgeber auf einigen Definitionen auf, welche die wesentlichen Konstellationen erfassen sollen. Leider sind zentrale Definitionen dabei sprachlich schwer zugänglich, und zusätzlich treten redaktionelle Eigenarten hinzu, welche nur als handwerkliche Fehler bewertet werden können.

In der Praxis wird deshalb ein Großteil der rechtlichen Beschäftigung mit dem Data Act vom Umgang mit jenen Definitionen und ihren mitunter überraschenden oder nur bedingt sinnvollen Ergebnissen handeln. Ganz bewusst löst sich nachfolgende Erläuterung deshalb vom Wortlaut des Data Acts und beschreibt die zentralen Begrifflichkeiten freier. Details gesetzlicher Definitionen finden nur Beobachtung, soweit sie mit ihren Eigenarten in der praktischen Anwendung für Schwierigkeiten sorgen werden.

2. Wesentliche Begrifflichkeiten

a) Daten

Erfasst sind nach Art. 1 Abs. 2 DA ausdrücklich sämtliche Daten, d. h. personenbezogene – also datenschutzrechtlich relevante Daten – und nicht-personenbezogene Daten. Die Daten müssen im Rahmen der Nutzung von „vernetzten Produkten“ und „verbundenen Diensten“ entstanden sein.

b) Vernetztes Produkt

Unter einem vernetzten Produkt versteht der Data Act solche Produkte, die Daten über ihre Leistung, Nutzung oder Umgebung verarbeiten und elektronisch übermitteln können.³

c) Verbundener Dienst

Bei einem verbundenen Dienst handelt es sich um einen digitalen Dienst, der so mit dem vernetzten Produkt verbunden ist, dass ohne ihn eine oder mehrere Funktionen des vernetzten Produkts nicht ausgeführt werden könnten.⁴

3. Akteure im Kontext des Data Acts

Im Wesentlichen definiert der Data Act drei Akteure: 1.) den Nutzer, 2.) den Dateninhaber und 3.) den Datenempfänger bzw. Dritten. Abhängig von der Qualifizierung sind die Akteure unter dem Data Act insbesondere zur Bereitstellung von Daten verpflichtet oder spiegelbildlich berechtigt, diese zu erhalten.

a) Nutzer

Der Data Act stellt den Nutzer eines vernetzten Produkts oder verbundenen Dienstes in das Zentrum des Regelungsregimes. Nutzer soll dabei eine natürliche oder juristische Person sein, die ein vernetztes Produkt besitzt oder den verbundenen Dienst für das vernetzte Produkt in Anspruch nimmt. Entscheidend ist folglich, dass die Nutzung eines vernetzten Produkts bzw. verbundenen Dienstes durch den Nutzer zu einer Datengenerierung führt. Maßgeblich ist dafür nicht die sachenrechtliche Stellung als Eigentümer,
sondern die tatsächliche (berechtigte) Verwendung.⁵

b) Dateninhaber

Nach Art. 2 Nr. 13 DA ist Dateninhaber eine natürliche oder juristische Person, die nach dem Data Act, weiterem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtete ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.

Diese gesetzliche Definition wirft eine Reihe von Fragen auf. Zunächst scheint die Dateninhaberschaft allein auf solche Daten bezogen, welche der Dateninhaber während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat, nicht aber auf Produktdaten. Jedoch stellen die Erwägungsgründe zum Data Act, ebenso wie die Art. 4 ff. DA, auf Produktdaten, sowie verbundene Dienstdaten ab. Es sprechen daher gute Gründe dafür, dass die Dateninhaberschaft gerade nicht auf die Erbringung eines verbundenen Dienstes beschränkt ist und es sich vielmehr um einen redaktionellen Fehler in der Definition des Dateninhabers handelt.⁶

Ferner müssen nach der gesetzlichen Definition des Dateninhabers die natürlichen oder juristischen Personen dazu berechtigt oder verpflichtet sein, Daten zu nutzen und bereitzustellen, um als Dateninhaber zu qualifizieren. An dieser Stelle zeigt sich die wahrscheinlich größte Schwierigkeit in der zukünftigen Rechtsanwendung. Denn die Legaldefinition verweist auf die Verpflichtung zur Datenbereitstellung, welche aber gerade Folge der entsprechenden Qualifizierung als Dateninhaber wäre. Die Definition des Art. 2 Nr. 13 DA ist damit zirkulär.⁷

Einige Stimmen in der Literatur fordern daher als zusätzliches ungeschriebenes Tatbestandsmerkmal eine faktische Datenherrschaft für die Qualifizierung als Dateninhaber.⁸ Eine solche solle demjenigen zufallen, der „technisch in rechtmäßiger Weise die faktische Möglichkeit hat, auf den entsprechenden Datenbestand zuzugreifen.“⁹ Insbesondere die Effizienz der Umsetzung des Data Acts spricht insoweit für das Bedürfnis einer faktischen Datenherrschaft.¹⁰

Andere Stimmen sprechen sich hingegen gegen das Erfordernis einer faktischen Datenherrschaft aus. Denn der Data Act bezwecke gerade die Auflösung einer etwaig bestehenden Kontrolle über Daten. Das primäre Ziel des Data Acts liege insoweit darin, den Zugang zu Daten zu erleichtern. Würde der Anwendungsbereich durch zusätzliche Hürden verschmälert, liefe dies dem vereinfachten Datenzugang zuwider.¹¹

Letztgenannte Auffassung kann jedoch nicht überzeugen. Denn ein Unternehmen, welches über eine Vielzahl von Daten verfügt, würde nach der Definition nur dann als Dateninhaber qualifizieren, wenn es nach Unionsrecht zur Nutzung und Bereitstellung der Daten berechtigt oder verpflichtet ist. Außerhalb des Data Acts existieren jedoch kaum Normen, welche zur Bereitstellung  und Nutzung) von Daten verpflichten.¹² Ohne das Erfordernis einer faktischen Datenherrschaft wäre der Anwendungsbereich mithin nicht umfassender. Vor diesem Hintergrund sollte als Dateninhaber unter dem Data Act nur qualifizieren, wer nach der oben dargestellten Definition auch die faktische Datenherrschaft inne hat. Vor diesem Hintergrund qualifiziert regelmäßig ein Hersteller industrieller Maschinen oder Anlagen als Dateninhaber.

c) Datenempfänger bzw. Dritte

Der Datenempfänger ist eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produkts oder verbundenen Dienstes zu sein, und dem der Dateninhaber in dieser Rolle Daten bereitstellen muss. Der Datenempfänger ist folglich weder an der Generierung der Daten noch an der Herstellung des Produktes beteiligt, sondern möchte diese erhalten.

Die Definition des Datenempfängers verweist zudem auf einen „Dritten“ als Unterfall des Datenempfängers. Inwieweit der Dritte sich jedoch von dem Datenempfänger unterscheiden soll, ergibt sich aus der Definition nicht: Es handelt sich jeweils um einen Akteur, dem der Dateninhaber Daten bereitstellen soll, ohne dabei Nutzer zu sein. Daher dürften beide Begriffe synonym zu verstehen sein. Für ein synonymes Verständnis spricht, dass andernfalls der Datenbereitstellungsanspruch des Art. 5 DA ohne erkennbaren Grund allein für einen Dritten gelten würde, während die Bedingungen, unter denen der Dateninhaber die Daten im Falle des Art. 5 DA bereitstellen darf, hingegen nur für einen Datenempfänger gelten würden.

4. Rechtliche Beziehung zwischen den Akteuren

a) Nutzer und Dateninhaber

aa) Datenzugang und Bereitstellung

Das Ziel des Data Act – Daten leicht zugänglich zu machen – sollen die Regelungen in den Art. 3 bis 7 DA umsetzen: Die Vorschriften stellen ein Zugangskonzept dar, ausgehend vom direkten Zugriff des Nutzers, hin zu der Bereitstellungspflicht des Dateninhabers.¹³

Aus Art. 3 Abs. 1 DA erwächst die Pflicht des Dateninhabers, vernetzte Produkte so zu konzipieren und herzustellen bzw. verbundene Dienste so zu konzipieren und zu erbringen, dass die Daten für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinen-lesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind. Die Verpflichtung aus Art. 3 DA unterliegt daher der Einschränkung, dass der Dateninhaber dem Nutzer die Daten lediglich dann direkt zugänglich machen muss, soweit dies relevant und technisch durchführbar ist. Wann dies der Fall ist, findet sich weder im Verordnungstext noch in den Erwägungsgründen. Unklar ist auch, warum sich diese Einschränkung lediglich auf die direkte Zugänglichmachung bezieht und nicht auch auf die übrigen Merkmale.¹⁴

Wenn der Nutzer nicht direkt vom vernetzten Produkt oder vom verbundenen Dienst auf die Produktdaten zugreifen kann, hat er einen Datenzugangsanspruch gegen den Dateninhaber nach Art. 4 Abs. 1 DA auf die ohne Weiteres verfügbaren Daten, einschließlich der zur Auslegung und Nutzung der Daten erforderlichen Metadaten. Voraussetzung für den Datenzugangsanspruch ist folglich, dass keine Zugangsmöglichkeit nach Art. 3 Abs. 1 DA besteht.¹⁵

Der Datenzugangsanspruch nach Art. 4 Abs. 1 DA unterliegt jedoch Einschränkungen. Der Dateninhaber kann den Datenzugang aufgrund von Sicherheitsanforderungen des Produkts begrenzen oder im Ausnahmefall gänzlich verweigern, wenn er nachweisen kann, dass ihm durch die Offenlegung von Informationen ein schwerer wirtschaftlicher Schaden entstünde.

Daneben stellt der Data Act Verwendungsbeschränkungen auf. Hat der Nutzer die angeforderten Daten nach Art. 4 Abs. 1 Data Act erhalten, darf er diese nicht zur Entwicklung eines vernetzten Produkts nutzen, das mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht. Der Nutzer darf den Hersteller bzw. Dateninhaber auch nicht mittels der erlangten Daten ausspähen.

bb) Vorvertragliche Informationspflichten, Art. 3 Abs. 2, 3 DA

Verkäufer, Vermieter, Leasinggeber und Hersteller eines vernetzten Produkts bzw. der Anbieter eines verbundenen Dienstes sind verpflichtet, dem Nutzer vor Vertragsabschluss detaillierte Informationen „in klarer und verständlicher Art und Weise“ bereitzustellen. Diese Informationen beziehen sich insbesondere auf Art und Umfang der Daten, die Speicherung der Daten und die Modalitäten des Zugriffs auf die Daten durch den Nutzer.

Bei vernetzten Produkten dürften Verkäufer, Vermieter, Leasinggeber und Hersteller typischerweise zugleich Dateninhaber sein. Dies würde auch erklären, warum sich die Regelungen der vorvertraglichen Informationspflichten in Kapitel 2 des Data Acts und damit im Rahmen der Verpflichtungen des Dateninhabers verortet sind.

Handelt es sich bei dem Dateninhaber ausnahmsweise nicht zugleich um die nach Art. 3 Abs. 2, 3 DA Verpflichteten, so unterliegt der Dateninhaber keinerlei Informationspflichten. Dies dürfte in der Praxis zu Schwierigkeiten führen. Denn denkbar ist, dass in einem solchen Fall Verkäufer, Vermieter, oder Leasinggeber nicht über die nach Art. 3 Abs. 2, 3 DA erforderlichen Informationen verfügen. Im Ergebnis dürfte daher empfehlenswert sein, dass der Dateninhaber in jedem Fall die in Art. 3 Abs. 2, 3 DA genannten Informationen bereitstellen muss und Verkäufer, Vermieter, Leasinggeber sowie Diensteanbieter auf die Informationen des Dateninhabers zurückgreifen und in ihre Verträge mit den Kunden aufnehmen.

cc) Datennutzung und Datenweitergabe durch den Dateninhaber

Der Data Act sieht für den Dateninhaber Einschränkungen in der Verwendungs- und Weitergabemöglichkeit von Daten vor.

Gemäß Art. 4 Abs. 13 DA darf der Dateninhaber Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur noch auf Grundlage eines Vertrags mit dem Nutzer verwenden. An den Inhalt eines solchen Datennutzungsvertrags stellt der Data Act keine Anforderungen.

Offen ist, inwiefern Nutzer einmal erteilte Datennutzungsrechte entziehen können und welche Auswirkungen dies auf die Nutzungsmöglichkeiten des Dateninhabers hat. Vor diesem Hintergrund empfiehlt es sich, Datennutzungsverträge so auszugestalten, dass der Dateninhaber sämtliche generierten Daten dauerhaft und unbeschränkt nutzen darf. Denkbar ist gar, dass der Dateninhaber den Erwerb des Produkts oder die Nutzung des verbundenen Dienstes von der Einräumung einer solchen umfassenden Nutzungsbefugnis an nicht-personenbezogenen Daten abhängig macht. Denn ein Kopplungsverbot, das einem solchen Vorgehen entgegenstünde, sieht der Data Act nicht vor.¹⁶

Gem. Art. 4 Abs. 14 DA, der nach seinem Wortlaut nur für nicht-personenbezogene Produktdaten, nicht aber für verbundene Dienstdaten gilt, sind Dateninhaber zudem nicht mehr frei darin, Produktdaten an andere weiterzugeben, wenn dies nicht „zur Erfüllung ihres Vertrags mit dem Nutzer“ erfolgt. Auch ein Dateninhaber, der Daten selbst nutzen darf, ist folglich darin beschränkt, die Daten weiterzugeben. Daneben muss der Dateninhaber auch Dritte vertraglich verpflichten, die von dem Nutzer erhaltenen Daten nicht erneut weiterzugeben.

b) Nutzer und Dritter

Auf Verlangen eines Nutzers muss der Dateninhaber dem Dritten ohne Weiteres verfügbare Daten bereitstellen, Art. 5 Abs. 1 DA.

Dies setzt eine Vereinbarung zwischen Nutzer und Drittem voraus.¹⁷ Inhaltlich muss die Vereinbarung den vom Nutzer bestimmten Zweck definieren, zu dem der Dritte die Daten nutzen darf, Art. 6 Abs. 1 DA. Im Übrigen haben die Parteien im Rahmen der Vereinbarung Gestaltungsspielraum und sind – bis zur Grenze der Missbräuchlichkeit – frei darin, eine Gegenleistung zu vereinbaren.¹⁸ Für den Nutzer ergibt sich daher die Möglichkeit, die Daten zu monetarisieren.

Auch der Datenzugangsanspruch nach Art. 5 DA unterliegt Einschränkungen, wobei weitgehend Gleichlauf zu den Einschränkungen nach Art. 4 DA besteht (vgl. dazu Ziff. 3. a) aa)). Ergänzend gilt, dass Gatekeeper im Sinn des Digital Markets Acts vom Datenzugangsanspruch ausgeschlossen sind.¹⁹ Zudem darf der Dritte die Daten nicht zum Profiling nutzen außer, dies ist erforderlich, um den vom Nutzer gewünschten Dienst zu erbringen. An weitere Empfänger darf der Dritte die Daten nur weitergeben, wenn eine entsprechende Vereinbarung mit dem Nutzer vorliegt.

c) Dateninhaber und Dritte

Der Zugriff des Dritten bedarf auch einer Vereinbarung zwischen dem Dateninhaber und dem Dritten. Diese Vereinbarung ist abstrakt von der zwischen Nutzer und dem Dritten bestehenden Vereinbarung. Wechselwirkungen werden jedoch bestehen. Denn der vom Nutzer im Rahmen der Vereinbarung mit dem Dritten zu definierende Zweck wird zwischen Dateninhaber und -empfänger fortwirken.²⁰

Die Vereinbarung zwischen Dateninhaber und Drittem hat die allgemeinen Grenzen der Vertragsfreiheit zu beachten. Ergänzend müssen die Parteien die Vorschriften der Art. 8 ff. DA beachten: Die Bedingungen der Vereinbarung müssen nach Art. 8 Abs. 1 DA insbesondere fair, angemessen und nicht-diskriminierend sein. Zudem muss die Gegenleistung angemessen sein (Art. 9 Abs. 1 DA). Schließlich unterliegt die Vereinbarung neben der allgemeinen Inhaltskontrolle nach §§ 134, 138 BGB, § 242 und §§ 307 ff. BGB, auch der Inhaltskontrolle gem. Art. 13 DA, die bestimmte Vertragsgestaltungen als missbräuchlich qualifiziert und damit als unwirksam bewertet.²¹ Die Europäische Kommission wird Mustervertragsklauseln veröffentlichen, um den Parteien bei der Ausarbeitung und Aushandlung von Verträgen Rechtssicherheit zu verschaffen.

Insgesamt sollten Dateninhaber sich darauf einstellen, dass sie zukünftig in erster Linie mit Datenzugangsansprüchen von Dritten konfrontiert werden. Denn, obschon der Data Act auf den Nutzer fokussiert, werden Dritte den Bereitstellungsanspruch in erster Linie nutzen, um über den Nutzer Daten zu erhalten, deren Weitergabe ein Dateninhaber bislang verweigert hat.

Empfehlungen

Unternehmen, deren Geschäftsmodell auf dem Umgang oder der Nutzung von Daten basiert, müssen ihre Rechte und Pflichten innerhalb des Data Acts verstehen: Qualifizieren sie als Dateninhaber oder Datenempfänger?

Sodann sollten Unternehmen die Auswirkungen des Data Acts auf ihr Geschäftsmodell bewerten: Abhängig von der zuvor genannten Qualifizierung werden Unternehmen entweder Ansprüche auf Datenzugang erhalten oder Pflichten zur Datenbereitstellung unterliegen. Dies kann Auswirkungen auf das etablierte Geschäftsmodell haben oder neue Geschäftsmodelle ermöglichen.

Wer Dateninhaber ist, muss sich auf Bereitstellungsansprüche von Nutzern und Dritten vorbereiten. Insbesondere solche Geschäftsmodelle, die bisher auf einer gewissen Exklusivität im Datenzugriff beruhen, können durch den Date Act bedroht werden. Betroffene Unternehmen sollten vor diesem Hintergrund frühzeitig die IT-Infrastruktur anpassen und entsprechende Vertragstexte, wie vorstehend vorgeschlagen, entwerfen bzw. anpassen. Denn bislang waren Daten – wenn überhaupt – allein ein nebensächlicher Gegenstand vertraglicher Regelungen. Bestehende Vertragswerke werden die Anforderungen des Data Acts kaum erfüllen.²² Die Vereinbarungen sollten dabei auch die Befugnis zur Nutzung der Daten durch den Dateninhaber sicherstellen. 

Agiert ein Unternehmen zudem als Verkäufer, Vermieter, Leasinggeber oder Hersteller eines vernetzten Produkts bzw. Anbieter eines verbundenen Dienstes, sollte es entsprechend Art. 3 DA Informationen für Kunden erstellen.

Insgesamt empfiehlt es sich, frühzeitig Standardprozesse zur Einhaltung des Data Acts zu etablieren.

Fazit

Ob der Data Act tatsächlich einen Binnenmarkt für Daten zu schaffen vermag, bleibt abzuwarten. Dies dürfte insbesondere vor dem Hintergrund der erheblichen Rechtsunsicherheit, die bereits der Konzeption der Verordnung an sich geschuldet ist, zu bezweifeln sein.

Darüber hinaus steht zu befürchten, dass der Data Act für den Rechtsfrieden nachteilige Folgen haben wird. Denn im Kern dürften die Datenzugangsregelungen regelmäßig zu Streit um die Bereitstellung der Daten an Dritte führen. Kein Dateninhaber wird, ohne sämtliche Verteidigungsstrategien ausgeschöpft zu haben, bereitwillig Daten herausgeben. Die Grundidee, denjenigen Kontrolle über die Daten zu gewähren, die vernetzte Produkte nutzen, könnte insoweit gar in den Hintergrund rücken. 

Sicher ist jedoch, dass der Data Act insbesondere bei Herstellern zu einem Aufwand führen wird, um bestehende Prozesse rundum Daten zu identifizieren und sodann den Anforderungen des Data Acts anzupassen. Denn obschon zu befürchten steht, dass
der Data Act keine praktische Relevanz entfalten könnte, drohen dennoch bei Verstößen gegen die Vorschriften des Data Act Sanktionen. Welche dies sind, teilen die Mitgliedstaaten der Europäischen Kommission bis zum 12.9.2025 mit.

¹ EU Kommission, Mitteilung der Kommission, Eine europäische Datenstrategie, 19.2.2020, COM (2020) 66 final.
² Heinzke/Herbers/Kraus BB 2024, 649.
³ ErwGr. 14 zum DA.
⁴ ErwGr. 17 zum DA.
⁵ BeckOK DatenschutzR/Schild, 48. Ed. 1.5.2024, DA Art. 2 Rn. 75 f.
⁶ Heinzke/Herbers/Kraus BB 2024, 649; Hartl/Vogel LTZ 2024, 104.
⁷ Hartl/Vogel LTZ 2024, 104; Bomhard/Merkle RDi 2022, 168; Schmidt-Kessel MMR 2024, 75.
⁸ Hartl/Vogel LTZ 2024, 104; Bomhard/Merkle RDi 2022, 168; Schmidt-Kessel MMR 2024, 75.
⁹ Keppeler/Schneider/Nickel ITRB 2024, 180.
¹⁰ Keppeler/Schneider/Nickel ITRB 2024, 180.
¹¹ Antoine CR 2024, 1.
¹² Keppeler/Schneider/Nickel ITRB 2024, 182.
¹³ Weinhold/Schröder ZD 2024, 306.
¹⁴ Heinzke/Herbers/Kraus BB 2024, 649.
¹⁵ Heinzke/Herbers/Kraus BB 2024, 649.
¹⁶ Bomhardt/Merke RDi 2022, 168.
¹⁷ Kraft/Schumann GRUR-Prax 2024, 324; Heinzke/Herbers/Kraus BB 2024, 649.
¹⁸ Etzkorn RDi 2024, 116.
¹⁹ Die Europäische Kommission hat bisher folgende Unternehmen als Torwächter
benannt: Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, https://germany.representation.ec.europa.eu/news/faire-digitale-markte-torwachtermussen-
ab-heute-alle-dma-regeln-einhalten-2024-03-07_de, zuletzt aufgerufen am 13. August 2024.
²⁰ Kraft/Schumann GRUR-Prax 2024, 324.
²¹ Kraft/Schumann GRUR-Prax 2024, 324.
²² Kraft/Schumann GRUR-Prax 2024, 324.

Die Erstveröffentlichung dieses Artikel erfolgte in der Zeitschrift RIIPrax - Rechtspraxis der Industrie- und Infrastrukturprojekte.