Der Data Act kommt: Was Unternehmen erwartet – und was noch unklar ist
Am 27. November 2023 wurde der Data Act – auf Deutsch „Datenverordnung“ oder „Datengesetz“ – verabschiedet und am 22. Dezember 2023 im Amtsblatt der Europäischen Union verkündet. Betroffenen Unternehmen bleibt bis zum 12. September 2025 Zeit, sich auf die Umsetzung der Regelungen vorzubereiten. Auch die Mitgliedstaaten müssen sich in der Zwischenzeit im Lichte der Vielzahl nicht eindeutiger Vorschriften dieser „tragenden Säule“ der europäischen Datenstrategie – so die EU-Kommission in ihrem Entwurf (S. 1) – auf die Um- und Durchsetzung vorbereiten.
1. Die Regelungen im Überblick
Der Data Act enthält gleich mehrere Schwerpunkte, die zum Teil jedoch allenfalls lose in einem Kontext stehen:
- Weitergabe und Zugang zu Internet-of-Things-Gerätedaten (IoT-Daten) (Kapitel II)
- Modalitäten der Datenweitergabe zwischen Unternehmen (Kapitel III)
- Verbot missbräuchlicher Vertragsklauseln bei Verträgen über Datenzugang und -nutzung (Kapitel IV)
- Zugriff von öffentlichen Stellen auf Daten in Situationen außergewöhnlicher Notwendigkeit (Kapitel V)
- Wechsel zwischen Cloud-Diensten (Kapitel VI)
- Zugriff auf nicht-personenbezogene Daten durch Drittstaaten (Kapitel VII)
- Interoperabilität von Daten, Datenräumen und Cloud-Diensten (Kapitel VIII)
- Anforderungen an Smart Contracts (Kapitel VIII)
2. Datenzugang nach dem Data Act
2.1 Was sind die wesentlichen Regelungen?
Der Data Act regelt den Datenzugang in drei Kapiteln:
- Kapitel II regelt Ansprüche auf Zugang zu IoT-Gerätedaten
Die Zugangsansprüche sind um den Nutzer der IoT-Geräte als Anspruchsberechtigten und den Dateninhaber als Verpflichteten konzipiert. IoT-Geräte, in der Terminologie des Data Acts „vernetzte Produkte“, sind Gegenstände, die Daten über ihre Nutzung oder Umwelt generieren und über das Internet kommunizieren. Zu den erfassten Daten zählen auch solche, die nicht im Gerät selbst, sondern der Steuerungssoftware des IoT-Geräts, sogenannte „verbundene Dienste“, anfallen. Nicht erfasst werden sollen jedoch Daten, die „Inhalte“ darstellen, also Texte oder Videos. Vielmehr geht es im Ergebnis daher um Rohdaten, die als ein Beiprodukt der Nutzung generiert werden. So werden beispielsweise Fahrdaten eines Autos erfasst, nicht aber Musik, welche im Auto abgespielt wird. Grundsätzlich fallen sowohl personenbezogene als auch nicht-personenbezogene Daten in den Anwendungsbereich des Data Acts und die Unterscheidung zwischen diesen Datenkategorien ist wegen teilweise unterschiedlicher Regelungen von entscheidender Bedeutung.
Im Grundsatz müssen die Daten, die bei der Nutzung des IoT-Geräts oder der Steuerungssoftware dieses Geräts anfallen, für den Nutzer standardmäßig direkt – also ohne Zutun des Dateninhabers – zugänglich sein, sogenannte „Accessibility by Design“. Die Hersteller der IoT-Geräte beziehungsweise der Software dieser IoT-Geräte müssen diese daher so konzipieren, dass die Daten für den Nutzer direkt abrufbar sind; die Verkäufer der Geräte treffen entsprechende Informationspflichten. Wo kein Accessibility by Design existiert, steht dem Nutzer ergänzend ein Zugangsanspruch zu allen Daten, die „ohne Weiteres verfügbar“ sind, zu. Weil der Nutzer eines IoT-Gerätes selbst die Daten oftmals gar nicht gewinnbringend verwerten kann, gewährt der Data Act diesem außerdem einen Anspruch darauf, dass die Daten einem von ihm ausgewählten Dritten – gegebenenfalls gegen Vergütung – zur Verfügung gestellt werden.
Nicht ausdrücklich geregelt ist hingegen, ob Hersteller von IoT-Geräten diese so konzipieren müssen, dass möglichst viele Daten anfallen – insofern ist unklar, inwieweit die Hersteller selbst bestimmen können, in welchem Maße ihre Produkte überhaupt Daten generieren, die dann dem Data Act unterliegen.
Die Ansprüche sind ausgeschlossen, soweit die Datenweitergabe (i) die Produktsicherheit in erheblichem Maße gefährdet, (ii) Geschäftsgeheimnisse in erheblichem Maße gefährdet und dem nicht durch technische oder organisatorische Maßnahmen wirksam begegnet werden kann, (iii) gegen Datenschutzvorschriften verstoßen würde oder (iv) gegen das kartellrechtliche Verbot des Informationsaustauschs verstoßen würde. Auch dürfen keine Daten an sogenannte „Torwächter“ im Sinne des Digital Markets Acts wie zum Beispiel Apple und Amazon gegeben werden.
Darüber hinaus unterliegt die Nutzung von Daten durch Nutzer und Dritte bestimmten Beschränkungen – zum Beispiel dürfen diese nicht zur Entwicklung von Konkurrenzprodukten genutzt werden. Eher beiläufig bestimmt der Data Act außerdem, dass auch der Dateninhaber selbst die Daten fortan nur noch auf der Grundlage eines Vertrages mit dem Nutzer nutzen darf, was sicherlich von hoher Praxisrelevanz sein und Geschäftsprozesse erheblich beeinflussen wird. - Kapitel III regelt, wie Ansprüche auf Datenzugang zu erfüllen sind
Dabei knüpft Kapitel III an ein bestehendes Datenzugangsrecht an. Ein solches kann vor allem aus Kapitel II folgen, allerdings sind die Regelungen auch auf weitere Datenzugangsrechte aus zukünftigen Rechtsakten anwendbar, etwa der Verordnung zum Europäischen Gesundheitsdatenraum, auf deren Entwurf sich Rat und Parlament der Europäischen Union nunmehr geeinigt haben.
Der Datenzugang zwischen zwei Unternehmen („B2B“) muss dann unter fairen, angemessenen und nichtdiskriminierenden Bedingungen, sogenannte FRAND-Bedingungen, gewährt werden. Dabei gelten besondere Anforderungen an eine Gegenleistung für die Bereitstellung der Daten. Daneben werden ein spezielles Streitbeilegungsverfahren, das neben den gerichtlichen Rechtsschutz tritt, sowie Maßnahmen zum Schutz vor Missbrauch der Daten eingeführt. - Kapitel IV regelt, welche Klauseln in Verträgen zwischen Unternehmen über Datenzugang oder Datennutzung unzulässig sind
Hierzu ist eine Missbrauchskontrolle für „einseitig auferlegte“ Klauseln vorgesehen, und eine Vielzahl an ausdrücklich als missbräuchlich geltenden Klauseln festgelegt. Der Mechanismus gleicht letztlich stark einer AGB-Kontrolle. Zu beachten ist jedoch, dass diese Vorschriften ebenfalls nur im B2B-Bereich gelten.
Der EU-Gesetzgeber setzt als Mittel zur Gewährung des Datenzugangs auf den Abschluss von Verträgen zwischen (fast) allen Beteiligten. Mit dem Data Act werden daher Datenverträge, die bislang eher ein Schattendasein in der juristischen Praxis und Literatur fristen, an Bedeutung gewinnen.
2.2 Worauf müssen Unternehmen jetzt achten?
Für Unternehmen wird die Auseinandersetzung mit den Datenzugangsregeln des Data Acts in einem ersten Schritt darin bestehen, zu prüfen, in welchen Rollen sie sich in ihren verschiedenen Geschäftsprozessen wiederfinden:
- Hersteller von IoT-Geräten und deren Steuerungssoftware müssen die neuen Pflichten zur Konzeption ihrer Produkte prüfen und möglichst zeitnah entsprechende Anpassungen vornehmen.
- Verkäufer dieser Geräte müssen sich auf die Bereitstellung der nötigen Informationen vorbereiten.
- Die Hersteller der IoT-Geräte werden in der Regel auch Dateninhaber in Bezug auf die Daten ihrer Geräte sein. Doch auch Unternehmen, die derartige Produkte nicht herstellen, können in bestimmten Konstellationen Dateninhaber sein, wenn sie die faktische Kontrolle über Daten haben. Als Dateninhaber müssen Unternehmen frühzeitig Prozesse und Dokumentation etablieren, um Datenzugangsansprüche prüfen und gegebenenfalls erfüllen zu können. Dabei sind insbesondere Risiken im Hinblick auf die mögliche Offenlegung von Geschäftsgeheimnissen und potenzielle Datenschutzverstöße zu evaluieren und einzupreisen. All dies setzt eine eingehende Analyse der vorhandenen Datenbestände voraus.
- Zugleich sollten Unternehmen auch die Chancen ausloten, die der Data Act ihnen als Nutzer von IoT-Geräten oder als Dritter, der Daten erwirbt, bietet. Dabei sind jedoch die diversen Schranken der Nutzung – insbesondere das Verbot der Nutzung zur Konzeption konkurrierender Produkte – zu beachten.
Alle Akteure sollten sich zudem frühzeitig mit der zukünftigen Vertragsgestaltung auseinandersetzen. Die EU-Kommission wird im Data Act zwar dazu verpflichtet, Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitzustellen, hat hierfür aber Zeit bis zur Gültigkeit der Verordnung im September 2025.
Insgesamt wird die Vorbereitung dadurch erschwert, dass viele Aspekte des Datenzugangsrechts des Data Acts mehrdeutig sind und weite Interpretationsspielräume bestehen. Das fängt bei der Frage an, wie weit die Pflicht zur datenzugangsfreundlichen Gestaltung der Produkte geht und hört bei dem allgemeinen Verhältnis zur DS-GVO auf. Die von der Kommission zu erlassenden Mustervertragsklauseln sowie die zu erwartenden Stellungnahmen der – ebenfalls noch zu bestimmenden (siehe unten) – Aufsichtsbehörden, werden dabei wohl auch nur einen Teil dieser Probleme lösen können.
3. Weitere Regelungsschwerpunkte
3.1 Was sind die wesentlichen Regelungen?
- Datenzugriff öffentlicher Stellen
Kapitel V des Data Acts regelt die Bereitstellung von Daten durch Dateninhaber an öffentliche Stellen und Institutionen der EU in Fällen "außergewöhnlicher Notwendigkeit" sowie die anschließende Nutzung der Daten. Eine solche außergewöhnliche Notwendigkeit liegt namentlich vor bei (i) öffentlichen Notständen und (ii) der Verhinderung der Erfüllung öffentlicher Aufgaben wegen fehlender Daten, sofern andere Wege der Datenbeschaffung ausgeschöpft sind. Grundsätzlich gibt es nur im zweiten Fall einen finanziellen Ausgleich für den Dateninhaber – lediglich Kleinunternehmen können auch im Falle öffentlicher Notstände einen Ausgleich verlangen. - Cloud-Switching
Kapitel VI des Data Acts trifft Regeln zum Wechsel zwischen „Datenverarbeitungsdiensten“. Damit sind – vereinfacht gesagt – Dienste gemeint, die unter Infrastructure-as-a-Service, Platform-as-a-Service oder Software-as-a-Service fallen, also in der Cloud angeboten werden.
Ziel der Vorschriften ist es, Barrieren beim Wechsel zwischen Anbietern solcher Dienste zu senken und Lock-in-Effekte zu verhindern. Dieses verfolgt der Gesetzgeber durch eine allgemeine Pflicht zur Beseitigung von Hindernissen für solche Wechsel, weitreichende Vorgaben für die Verträge über solche Dienstleistungen – unter anderem eine maximale Kündigungsfrist von zwei Monaten – sowie ergänzende Informations- und technische Pflichten. - Zugriff auf nicht-personenbezogene Daten durch Drittstaaten
Kapitel VII regelt, unter welchen – strengen – Voraussetzungen Anbieter von Datenverarbeitungsdiensten Daten auf Anforderung an Drittstaaten übertragen dürfen. - Interoperabilität
Kapitel VIII regelt Anforderungen und Prozesse zur Schaffung von technischen Standards für die Interoperabilität von- Datenräumen
- Smart Contracts und
- Datenverarbeitungsdiensten.
Hierzu sollen entweder die EU-Kommission oder Normierungsorganisationen detaillierte technische Standards festlegen. Die Prozesse zur Festlegung sind dabei nicht einheitlich. Vor allem problematisch ist die Frage, was alles vom Begriff des Datenraumes umfasst ist – dieser wird im Data Act nicht definiert.
3.2 Worauf müssen Unternehmen jetzt achten?
Die Regelungen zum Datenzugriff der öffentlichen Hand werden vorbehaltlich öffentlicher Notstände nur selten relevant werden und erfordern zunächst wohl keine größere Vorbereitung in den Unternehmen. Die Möglichkeit derartiger Ersuchen sollte freilich dennoch bekannt sein, allein damit im Falle des Eingangs solcher Ersuchen innerhalb der Fristen von fünf Tagen bei öffentlichen Notständen und dreißig Tagen im Fall sonstiger außergewöhnlicher Notwendigkeit für die Verweigerung des Datenzugangs reagiert werden kann.
Mit Regelungen zum Datenzugriff aus Drittstaaten sollten sich hingegen Industrien auseinandersetzen, bei denen solche Datenzugriffe häufiger vorkommen können. Beispiele sind Cloud-Anbieter, deren Daten etwa für ausländische Ermittlungsbehörden interessant sein können.
Für Unternehmen, die nicht selbst Datenverarbeitungsdienste, Datenräume oder Smart Contracts anbieten, bieten die Vorschriften zum Cloud Switching und zur Interoperabilität grundsätzlich Chancen und verbessern die Möglichkeiten bei Vertragsverhandlungen mit und Wechseln von derartigen Anbietern. Für die Anbieter selbst stehen umfangreiche Überarbeitungen ihrer Produkte und ihrer Verträge bevor.
4. Durchsetzung des Data Acts
Die Ausgestaltung seiner Durchsetzung überträgt der Data Act in weiten Teilen den Mitgliedstaaten:
- Diese sollen eine oder mehrere Behörden mit der Durchsetzung des Data Acts betrauen. Diese Behörden können zu diesem Zweck neu gegründet werden, ebenso kann diese Aufgabe aber auch an bestehende Behörden übertragen werden. Zur Debatte stehen hier in Deutschland etwa die Datenschutzbehörden, das Bundeskartellamt oder das Bundesamt für Justiz.
- Eine gewichtige Vorgabe trifft der Data Act jedoch: Die Datenschutzbehörden sollen für die Durchsetzung des Data Acts zuständig sein, sofern personenbezogene Daten betroffen sind. Die Reichweite dieser Zuständigkeitszuweisung ist jedoch unklar und ist prädestiniert für Zuständigkeitsstreitigkeiten unter den Behörden.
- Die Mitgliedstaaten müssen außerdem Sanktionen festlegen, die bei Verstößen gegen den Data Act zu verhängen sind.
- Allen natürlichen und juristischen Personen soll dabei zum einen das Recht auf Beschwerde bei der Aufsichtsbehörde zustehen. Zum anderen haben sie das Recht auf einen wirksamen Rechtsbehelf.
5. Ausblick
Bis zum 12. September 2025 ist es noch eine Weile. Doch wird die Zeit nicht reichen, um alle offenen Fragen dieser gut gemeinten, aber in wesentlichen Teilen missglückten Verordnung zu klären. Während der Data Act also der juristischen Fachliteratur reichlich Diskussionsstoff liefert, stellt er die Unternehmen vor große Herausforderungen und bietet ihnen große Chancen, deren beider Ausmaß noch nicht absehbar ist. Sicher wird er Unternehmen jedoch zum Einrichten zusätzlicher Prozesse zwingen und in der gelebten Praxis zu reichlich Mehraufwand und nicht zuletzt auch Konflikten führen.