Am 11. Januar 2024 ist mit der EU-Verordnung Nr. 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung („Data Act“) ein wichtiger Bestandteil der europäischen Datenstrategie in Kraft getreten. Erklärtes Ziel der neuen EU-Verordnung ist es, Hindernisse für den Zugang zu Daten auszuräumen und gleichzeitig Anreize zu Investitionen in die Datenerzeugung zu schaffen.
Hintergrund
Nur knapp zwei Jahre, nachdem die Kommission einen ersten Entwurf vorgestellt hat (Beitrag vom 9. März 2022), ist der Data Act nunmehr in Kraft getreten. Im Gesetzgebungsverfahren hat der Entwurf immer wieder Änderungen erfahren, zuletzt noch ganz erhebliche in den Trilog-Verhandlungen. Die überwiegenden Regelungen des Data Acts gelten ab dem 12. September 2025 bzw. ab dem 12. September 2026 (Produktdesignpflichten), Handlungsbedarf lösen sie aber zum Teil jetzt schon aus.
Kernelement des Data Acts ist ein sektorübergreifender Zugangsanspruch für Nutzer (und von den Nutzern benannte Dritte) zu Daten, die von ihren vernetzten Produkten (sog. Internet of Things- oder IoT-Produkte) und damit verbundenen Diensten generiert werden. Dateninhaber dürfen künftig von IoT-Produkten generierte nicht-personenbezogene Daten nur noch mit vertraglicher Zustimmung des Nutzers nutzen und verwerten. Damit wird die Hoheit über von IoT-Produkten generierte Daten auf den Nutzer verlagert, auch wenn damit kein „Dateneigentum“ geschaffen werden soll. Personenbezogene Daten dürfen nach wie vor (nur) in dem Umfang genutzt werden, in dem die Datenschutz-Grundverordnung (DS-GVO) dies zulässt, wobei komplexe Wechselwirkungen zwischen dem Data Act und der DS-GVO vorprogrammiert scheinen.
Weitere Regelungsbereiche des Data Acts sind insbesondere:
Datennutzungsrechte des Dateninhabers
Produkt-Designpflichten für Hersteller von IoT-Produkten
AGB-Missbrauchskontrolle in Datennutzungsverträgen im B2B-Bereich
Datenzugangsansprüche für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
Regelungen zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten
Schutzvorkehrungen für nicht-personenbezogene Daten im internationalen Umfeld
Vorgaben an die Interoperabilität von Datenräumen und Datendiensten
Dem Data Act unterfallen sowohl personenbezogene als auch nicht-personenbezogene Daten. Er stellt aber klar, dass das durch bestehende datenschutzrechtliche Regelungen, insbesondere die DS-GVO, geschaffene Schutzniveau nicht abgesenkt werden soll. Auch andere spezialgesetzliche Vorschriften – mit Ausnahme des Datenbankrechts – lässt der Data Act unberührt.
Der Zugangsanspruch des Nutzers von IoT-Produkten generierten Daten
Nach Art. 4 Abs. 1 hat der Nutzer eines IoT-Produkts gegen den Dateninhaber einen Anspruch darauf, dass dieser ihm „ohne Weiteres verfügbare“ Daten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitstellt.
Der Data Act hält für die meisten Begriffe Definitionen bereit, darunter für den „Nutzer“, den „Dateninhaber“, das „vernetzte Produkt“ (hier auch IoT-Produkt) und die „Produktdaten“. Diese Definitionen sind aber teilweise nicht ganz klar gefasst.
Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung/Umgebung erlangt, generiert oder erhebt und der Produktdaten übermitteln kann (z.B. über einen geräteinternen Zugang oder eine WLAN-Verbindung), Art. 2 Nr. 5 Data Act. Erfasst sind zum Beispiel sog. Fitnesstracker, Smartwatches, vernetzte Fahrzeuge, Assistenz- und Navigationssysteme, Videospielkonsolen, Smartphones und vernetzte Küchen- sowie Haushaltsgeräte. Nicht erfasst sind Produkte und Module, bei denen eine Übermittlung von Daten nicht möglich ist sowie Gegenstände, deren Hauptfunktion in der Speicherung von Daten Dritter liegt (womit insbesondere Server ausgenommen werden sollen).
Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie abgerufen werden können, Art. 2 Nr. 15 Data Act. Vom Zugangsanspruch des Nutzers sind jedoch nur „ohne weiteres verfügbare Daten“ umfasst, Art. 2 Nr. 17 Data Act. Das sind solche Daten, die der Dateninhaber ohne unverhältnismäßigen Aufwand erhalten kann, wobei nicht über eine einfache Bearbeitung der Daten hinausgegangen wird. Umfasst sind mithin Rohdaten, aber auch sog. aufbereitete Daten (z.B. physikalische Größen wie Temperatur, Öldruck, Geschwindigkeit, Positionen) und Metadaten. Nicht mehr Produktdaten und damit vom Zugangsanspruch ausgeschlossen sind jedoch Informationen, die aus solchen Daten gefolgert oder abgeleitet sind. Dabei handelt es sich z.B. um Ergebnisse der Verarbeitung solcher Daten, etwa mittels proprietärer Algorithmen, die das Ergebnis zusätzlicher Investitionen sind (z.B. die Interpretation von Geschwindigkeitsdaten). Es wird im Einzelfall schwierig sein, die Grenze zwischen umfassten und nicht umfassten Daten zu ziehen.
Dateninhaber ist nach der etwas verunglückten Definition jede Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, Art. 2 Nr. 13 Data Act. Die Definition kann nur so verstanden werden, dass der Dateninhaber derjenige ist, der die tatsächliche Kontrolle über die Daten hat und in der Lage ist, die Ansprüche nach dem Data Act zu erfüllen. Diese Klarstellung sahen auch die im Gesetzgebungsverfahren gemachten Änderungsvorschläge vor, die aber leider nicht in den finalen Text übernommen wurden.
Nutzer ist schließlich jede Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts eingeräumt wurden, Art. 2 Nr. 12 Data Act. Nutzer sind damit z.B. Eigentümer, Miteigentümer und Mieter. Keine Nutzer sind dagegen Personen, die ein Produkt nur vorübergehend nutzen (z.B. Familienmitglieder).
Die Bereitstellung soll für den Nutzer kostenlos sein. Ob der Dateninhaber die Daten übermitteln muss, oder ob es ausreicht, wenn er die Daten dem Nutzer auf seinem eigenen Server zugänglich macht (in diese Richtung Erwägungsgrund 22), ist fraglich. Eine Definition für den Begriff „Bereitstellung“ enthält der Data Act nicht.
Anders als dem Dateninhaber (dazu sogleich) legt der Data Act dem Nutzer fast keine Schranken bei der Nutzung der ihm bereitzustellenden Daten auf. Er darf die Daten daher grundsätzlich für alle rechtskonformen Zwecke nutzen, nur nicht zur Entwicklung von Konkurrenzprodukten.
Nutzungsrechte für den Dateninhaber
Die Nutzungsrechte für den Dateninhaber werden künftig eingeschränkt: Nicht personenbezogene Daten darf der Dateninhaber künftig nur auf Grundlage eines Vertrags mit dem Nutzer nutzen, Art. 4 Abs. 13 Data Act. Allerdings ist es dem Dateninhaber nicht versagt, die Nutzung des Produkts von der Einräumung von Nutzungsrechten abhängig zu machen. Die Einräumung von exklusiven Nutzungsrechten – jedenfalls in allgemeinen Geschäftsbedingungen – wird aber künftig wohl nicht mehr möglich sein.
Bei personenbezogenen Daten ändert sich dagegen nichts; der Dateninhaber darf personenbezogene Daten nur unter Einhaltung der datenschutzrechtlichen Bestimmungen (insbesondere der DS-GVO) nutzen.
Zugangsansprüche und Nutzungsrechte von Dritten
Dritten, die nicht Nutzer sind, räumt der Data Act keinen direkten Datenzugangsanspruch gegen den Dateninhaber ein. Der Dateninhaber muss aber auf Verlangen eines Nutzers die Daten jedem beliebigen Dritten (nur mit Ausnahme von sog. Gatekeepern i.S.d. Digital Markets Act) bereitstellen (Art. 5 Abs. 1 Data Act). Dabei kann es sich auch um einen Wettbewerber des Dateninhabers handeln.
Dritte können allerdings auch im Namen eines Nutzers den Zugangsanspruch gegenüber dem Dateninhaber geltend machen. Solche Dritte können Anbieter eines Dienstes sein (z.B. Werkstätten, die im Namen eines Autofahrers Ansprüche an den Fahrzeughersteller herantreten) oder auch Datenmittler, die die Ansprüche für eine Vielzahl von Nutzern geltend machen.
Die Übermittlung der Daten vom Dateninhaber an den Dritten ist, anders als die Bereitstellung direkt an den Nutzer, nicht kostenfrei. Der Dateninhaber hat die Daten dem Datenempfänger zu sog. FRAND-Bedingungen bereitzustellen („Fair, Reasonable and Non-Discriminatory“). Er kann also eine angemessene Vergütung vom Datenempfänger verlangen, deren Höhe sich aus den Kosten für die Datenbereitstellung, den Investitionskosten und einer angemessenen Marge berechnet (Art. 9 Abs. 1 Data Act).
Der Umfang der Nutzungsrechte des Datenempfängers richtet sich nach der vertraglichen Vereinbarung mit dem Nutzer. Der Datenempfänger hat die Daten zu löschen, sobald sie für den mit dem Nutzer vereinbarten Zweck nicht mehr erforderlich sind (Art. 6 Abs. 1 Data Act). Ist der Datenempfänger ein Kleinstunternehmen oder ein kleines oder mittleres Unternehmen („KMU“), oder handelt es sich um eine gemeinnützige Forschungsorganisation, darf die Vergütung keine Marge enthalten. Für die Berechnung der angemessenen Vergütung wird die Kommissionen Leitlinien erlassen.
Dem Ansatz „Compliance by Design“ folgend erlegt der Data Act Herstellern von IoT-Produkten sowie Anbietern verbundener Dienste die Pflicht auf, ihre Produkte und Dienste so zu konzipieren und herzustellen bzw. zu erbringen, dass die gesetzlich vorgesehenen Bereitstellungspflichten erfüllt werden können (Art. 3 Abs. 1 Data Act).
AGB-Missbrauchskontrolle in Datennutzungsverträgen
Weiterer wichtiger Baustein des Data Acts ist die Einführung einer AGB-Missbrauchskontrolle im B2B-Bereich für „einseitig auferlegte“ Regelungen in Bezug auf Datenzugang und Datennutzung. Anders als der Kommissionsentwurf noch vorsah, gilt die AGB-Kontrolle nicht nur für einem KMU einseitig auferlegte Klauseln, sondern im gesamten B2B-Bereich. „Einseitig auferlegt“ ist eine Klausel, die von einer Vertragspartei eingebracht wird und deren Inhalt die andere Vertragspartei trotz des Versuchs, darüber zu verhandeln, nicht beeinflussen kann. Der Klauselverwender trägt hierbei die Beweislast (Art. 13 Abs. 5 S. 2 Data Act).
Einen Teil der in Art. 13 Data Act aufgeführten Klauselverbote erfasst bereits das deutsche AGB-Recht, so dass sich Unternehmen hier nur bedingt auf Änderungen einstellen müssen. Die Regelungen mit Datenbezug können allerdings für zukünftige und bestehende Verträge im Datenkontext von erheblicher Bedeutung sein.
Nach dem Auffangtatbestand in Art. 13 Abs. 3 Data Act ist eine Standardklausel dann als missbräuchlich anzusehen, wenn ihre Anwendung eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt. Daneben unterscheidet Art. 13 Data Act zwischen sog. schwarzen und grauen Klauseln (auch wenn die deutsche Übersetzung des Data Acts eine solche Unterscheidung dem Wortlaut nach nicht zulässt, was noch zu korrigieren sein wird):
Die in Art. 13 Abs. 4 Data Act aufgeführten „schwarze Klauseln“ gelten stets als missbräuchlich (shall be unfair). Hierzu zählen insbesondere solche Klauseln, die ihrem Verwender das Recht zur Bestimmung der Vertragskonformität der gelieferten Daten geben.
Bei den in Art. 13 Abs. 5 Data Act aufgeführten „grauen Kauseln“ wird vermutet, dass diese missbräuchlich sind (shall be presumed to be unfair). Hierzu zählen etwa Klauseln, (i) die dem Verwender den Zugriff auf die Daten der anderen Vertragspartei und deren Nutzung in einer Weise gestatten, die die berechtigten Interessen der anderen Vertragspartei erheblich beeinträchtigt – etwa bei wirtschaftlich sensiblen Daten oder wenn Daten als Geschäftsgeheimnisse bzw. geistiges Eigentum geschützt sind, (ii) die den Vertragspartner an einer angemessenen Nutzung der von ihm bereitgestellten Daten hindern, oder (iii) die den Vertragspartner daran hindern, während der Vertragslaufzeit oder innerhalb einer angemessenen Frist nach Kündigung des Vertrags eine Kopie der von ihm bereitgestellten oder generierten Daten zu erhalten.
Eine Klausel gilt allerdings nur dann als einseitig auferlegt, wenn sie von einer Vertragspartei eingebracht wird und die andere Vertragspartei ihren Inhalt trotz des Versuchs, darüber zu verhandeln, nicht beeinflussen kann. Der Klauselverwender trägt hierbei die Beweislast (Art. 13 Abs. 5 S. 2 Data Act).
Die Kommission wird vor dem 12. September 2025 unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung erstellen und empfehlen (Art. 41 Data Act).
Die AGB-Missbrauchskontrolle des Art. 13 Data Act gilt für Neu-Verträge, die nach dem 12. September 2025 abgeschlossen werden. Für Alt-Verträge (d.h. Verträge, die am oder vor dem 12. September 2025 abgeschlossen wurden), gilt die AGB-Missbrauchskontrolle ab dem 12. September 2027, wenn diese eine unbefristete Laufzeit haben oder ihre Geltungsdauer frühestens 10 Jahre nach dem 11. Januar 2024 endet.
Daraus folgt, dass Unternehmen bereits ab sofort beim Neuabschluss von unbefristeten Verträgen und solchen mit einer Laufzeit von mehr als 10 Jahren die Vorgaben der AGB-Missbrauchskontrolle beachten sollten.
Umgang mit Geschäftsgeheimnissen
Der Schutz von Geschäftsgeheimnissen wurde im Gesetzgebungsverfahren heftig diskutiert. Der Data Act gibt keine Antwort auf die Frage, wann Daten überhaupt Geschäftsgeheimnisse darstellen. Die Gefahr ist aber nicht von der Hand zu weisen, dass aus einer großen Menge aggregierter Daten beispielsweise die Funktionsweise eines Geräts oder andere Geschäftsgeheimnisse ermittelt werden können. Die Klassifikation von Daten als Geschäftsgeheimnisse allein schließt aber nach der Entscheidung des Data Act die Pflicht zur Erfüllung von Zugangs- und Nutzungsansprüchen nicht aus. Die Verordnung geht den Weg, die Absicherung über zwingend zu vereinbarende technisch-organisatorische Maßnahmen (TOM) sicherzustellen.
Nach Art. 4 Abs. 6 Data Act müssen daher gegenüber Nutzern und Datenempfängern Geschäftsgeheimnisse nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um ihre Vertraulichkeit zu wahren. Darunter fallen technische und organisatorische Maßnahmen, insbesondere non-disclosure-agreements oder in situ-Zugänge zu den Daten. Wenn Datenempfänger oder sonstige Dritte die vereinbarten Maßnahmen nicht einhalten, müssen sie auf Verlangen des Dateninhabers bzw. Inhabers der Geschäftsgeheimnisse (i) die Daten löschen, (ii) mithilfe der Daten hergestellte Güter vom Markt nehmen, und/oder (iii) wenn dies im Hinblick auf die Interessen des Dateninhabers oder Nutzers angemessen ist, den Nutzer über die unautorisierte Weitergabe informieren und der geschädigten Partei Schadensersatz leisten (Art. 11 Abs. 2 Data Act). Die gleichen Pflichten treffen einen Nutzer, der die technischen Schutzmaßnahmen verändert oder beseitigt, oder die mit dem Dateninhaber bzw. Inhaber der Geschäftsgeheimnisse vereinbarten technischen und organisatorischen Maßnahmen nicht aufrechterhält.
Der Dateninhaber kann den Datenzugang nur in Ausnahmefällen verweigern, nämlich dann, wenn er trotz Einhaltung der TOM durch den Nutzer oder Dritten die hohe Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens durch die Offenlegung von Geschäftsgeheimnissen aufzeigen kann. Der Dateninhaber muss die Zugangsverweigerung ordnungsgemäß und unverzüglich schriftlich anhand objektiver Anhaltspunkte begründen und der zuständigen nationalen Behörde melden. Solche Anhaltspunkte sind vor allem der fehlende Schutz von Geschäftsgeheimnissen in Drittländern, die Art und der Grad der Vertraulichkeit der angeforderten Daten, die Einzigartigkeit und Neuartigkeit des Produkts sowie negative Auswirkungen auf die Cybersicherheit. Die Voraussetzungen für das Verweigerungsrecht sind damit sehr hoch, sodass sie in der Praxis nur sehr schwer zu erfüllen sind. Der Data Act räumt damit dem Herausgabeanspruch gegenüber dem Schutz von Geschäftsgeheimnissen einen sehr hohen Stellenwert ein.
Fazit
Inwiefern der Data Act tatsächlich das Potenzial der in der EU anfallenden Daten freisetzt, bleibt abzuwarten. Ausländische Produkthersteller schauen mit Interesse, aber auch mit Besorgnis auf das neue Datengesetz. Sollte die Verordnung die Wirkungen erzielen, die sie beabsichtigt, kann der Data Act sicherlich als Blaupause für künftige Gesetzgebungen in außereuropäischen Ländern dienen.
Für Unternehmen im IoT-Bereich führt der Data Act allerdings zu einem erheblichen Umsetzungs- und Durchführungsaufwand. Bereits die Identifizierung von Produktdaten, die ab dem 12. September 2025 an Nutzer und Datenempfänger auf Verlangen herauszugeben sind, stellt eine Herausforderung für viele Unternehmen dar. Die oben dargestellten Anforderungen an die Vertragsgestaltung müssen Unternehmen zudem schon jetzt im Blick behalten, ebenso wie – angesichts langer Entwicklungszyklen – die im Data Act enthaltenen Produktdesignpflichten.