A. Einleitung
Die Datenverordnung (Verordnung EU 2023/2854) oder Data Act ist am 13.12.2023 in Kraft getreten. Die Regelungen dieser Verordnung werden ab dem 12.09.2025 gelten. Mit dieser Verordnung setzt der Verordnungsgeber einen weiteren Baustein im Bereich der Digitalwirtschaftsgesetze und bildet insbesondere ein Pendant zum Data Governance Act. Während der Data Governance Act das freiwillige Teilen von Daten fördern soll, etabliert der Data Act konkrete Pflichten zum Teilen von Daten im Bereich des sog. Internet of Things.
B. Inhalt der Verordnung
Der Data Act zielt darauf ab, im Bereich der vernetzten Produkte eine faire Datenverteilung zu ermöglichen und zu gewährleisten. Der Zugang zu Daten soll erleichtert werden, und so die Nutzung und den Austausch von Daten ebenso wie Innovationen fördern. Der Data Act stellt Rechte und Pflichten vor allem für drei typischerweise vorkommende Relationen auf, konkret im Verhältnis zwischen Unternehmen und Verbrauchern wie etwa dem Hersteller eines vernetzten Produktes und dem privaten Nutzer dieses Gerätes (B2C), zwischen Unternehmen untereinander wie etwa dem Hersteller und einem dritten Datenempfänger (B2B) und zwischen Unternehmen und Behörden wie etwa dem Hersteller und bestimmten Behörden im Falle eines Notstandes (B2G).
I. Anwendungsbereich
Der Data Act richtet sich vorrangig an den Privatsektor und stellt vor allem Pflichten für Hersteller vernetzter Produkte auf, die ihre Produkte in der EU in Verkehr bringen, Anbieter verbundener Dienste, die sie in der Union zur Verfügung stellen, sowie Dateninhaber, unabhängig vom Ort ihrer Niederlassung, die Datenempfängern Daten eines vernetzten Produktes oder verbundenen Dienstes in der Union Daten bereitstellen.1
Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten ist.2 Insoweit richtet sich die Verordnung auch auf virtuelle Assistenten, soweit diese mit einem vernetzten Produkt oder Dienst interagieren.3 Von dem Begriff des Produktes können Fahrzeuge, Schiffe, Flugzeuge, landwirtschaftliche oder Industriemaschinen, Smart-Home-Geräte (z.B. Saugroboter oder Smart-Fridges) sowie Konsumgüter, medizinische Geräte und Lifestyle-Geräte umfasst sein. Lediglich solche Produkte sind vom Anwendungsbereich ausgenommen, die in erster Linie dazu bestimmt sind, elektronische Inhalte anzuzeigen oder abzuspielen oder diese – unter anderem für die Nutzung durch einen Online-Dienst – aufzuzeichnen und zu übertragen, da diese für separate Märkte von Text und audiovisuellen Inhalten relevant sind.4
Ein verbundener Dienst ist ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.5
II. Verhältnis zur Datenschutzgrundverordnung (DSGVO)
Inhaltlich stellt der Data Act auf jegliche Art von Daten ab.6 Danach sind Daten alle digitalen Darstellungen von Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Dazu können auch personenbezogene Daten zählen. Der Data Act tritt ergänzend neben die DSGVO. Sind die Anwendungsbereiche beider Verordnungen eröffnet, sind beide Verordnungen nebeneinander anzuwenden. Insbesondere stellt der Data Act nicht ohne Weiteres einen Rechtsgrund für eine Datenverarbeitung ab, so dass beispielsweise eine Weitergabe von personenbezogenen Daten an einen weiteren Datenempfänger stets eine konkrete rechtliche Grundlage i.S.d. Art. 6 bzw. 9 DSGVO erfordert.
III. Datenzugangs- und Nutzungsrecht des Nutzers eines vernetzten Produktes oder verbundenen Dienstes
Der Data Act etabliert zwei grundlegende Prinzipien: Erstens werden vernetzte Produkte so konzipiert und hergestellt, dass die Produktdaten einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und nach Möglichkeit direkt zugänglich sind („Data Access By Design“).7 Das gleiche gilt ebenfalls für mit dem vernetzten Produkt verbundenen Dienste. Zweitens stellen die Dateninhaber dem Nutzer ohne Weiteres verfügbare Daten einschließlich der zur Auslegung und Nutzung der Daten erforderlichen Metadaten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und nach Möglichkeit in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereit, falls der Nutzer nicht direkt vom vernetzten Produkt oder verbundenen Dienst aus auf die Daten zugreifen kann („Data Access By Default“). Hierüber muss der Dateninhaber den Nutzer entsprechend informieren.8
Nutzer haben das Recht, die entsprechenden Daten nicht nur an sich selbst herauszuverlangen, sondern auch vom Dateninhaber an Dritte weiterleiten zu lassen.9 Auf Verlangen des Nutzers müssen Dateninhaber diese Daten, inklusive der notwendigen Metadaten, einem Dritten in einem maschinenlesbaren Format, für den Nutzer kostenfrei und in gleicher Qualität wie für den Dateninhaber bereitstellen. Ausnahmen gelten für Daten, die mit der Entwicklung neuer Produkte verbunden sind, oder wenn das Unternehmen als Torwächter i.S.d. Digital Markets Act gilt.
Anspruchsgegner der diversen Ausprägungen der Datenzugangsrechte des Nutzers ist in der Praxis wohl vor allem der Dateninhaber. Ein Dateninhaber ist eine natürliche oder juristische Person, die verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.10
Die Pflichten gelten nicht für Daten, die durch die Nutzung von vernetzten Produkten oder verbundenen Diensten generiert werden, welche durch Kleinst- und Kleinunternehmen hergestellt, konzipiert oder erbracht werden. Insoweit ist diese Unternehmensgruppe privilegiert. Dies gilt nur, solange diese Unternehmen nicht Teil einer größeren Unternehmensgruppe sind und nicht als Unterauftragnehmer für die Herstellung oder Konzeption dieser Produkte oder Dienste fungieren. Eine ähnliche Ausnahme gilt für mittlere Unternehmen, die weniger als ein Jahr als solche klassifiziert sind, sowie für deren Produkte und Dienste bis zu einem Jahr nach Markteinführung.
IV. Verträge über Datenzugang und Datennutzung
Die von einem Nutzer erzeugten Daten eines vernetzten Produktes oder verbundenen Dienstes dürfen grundsätzlich nur über einen Vertrag mit dem Nutzer und dem jeweiligen Akteur verwendet werden. Der Dateninhaber ist verpflichtet, ohne Weiteres verfügbare Nutzungsdaten, die keine personenbezogenen Daten darstellen, nur auf der Grundlage eines Vertrages mit dem Nutzer und damit nur zu den dort geregelten Zwecken zu verwenden.11 Dateninhaber sind daher gehalten, mit dem Nutzer entsprechende Datennutzungsverträge abzuschließen. Dritte, die beispielsweise die Daten auf Wunsch des Nutzers vom Dateninhaber erhalten haben, dürfen die Daten nur zu den vereinbarten Zwecken und Bedingungen verarbeiten.12 Dies muss in Übereinstimmung mit dem Unionsrecht und nationalen Datenschutzgesetzen erfolgen. Der Dritte ist verpflichtet, die Daten zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, sofern es keine anderslautende Vereinbarung bezüglich nicht personenbezogener Daten gibt. In Bezug zu Dritten statuiert der Data Act damit eine – dem Datenschutzrecht bereits bekannte – Zweckbindung für Daten.
Neben dem Datenschutzrecht trägt der Data Act auch zur Sicherstellung des Verbraucherschutzes bei. Die Vorschriften des Zivilrechts „über das Zustandekommen von Verträgen, ihre Gültigkeit oder ihre Rechtsfolgen oder über die Auswirkungen der Beendigung eines Vertrages“ werden jedoch durch den Data Act insoweit nicht tangiert, da diese Verordnung keine spezifischen Regelungen dahin gehend getroffen hat. Ob und wie ein Vertrag zustande kommt, regelt der Data Act nicht, wohl aber welche Vertragsklauseln gerade nicht vereinbart werden dürfen. Ausdrückliche vertragliche Regelungen enthält der Data Act in Art. 13, in dem missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen und damit ein neues Vertrags(klausel)recht im B2B-Bereich für die Datennutzung geschaffen wird. Dabei wäre es aber zu kurz gegriffen, würde man hierin eine reine Ergänzung zum nationalen AGB-Recht i.S.d. §§ 305 ff. BGB sehen. So ist im Sinne des Data Act irrelevant, ob es sich formal um allgemeine Geschäftsbedingungen handelt, das heißt insbesondere um für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen (§ 305 Abs. 1 Satz 1 BGB), oder um einzelne Individualverträge. Weitere Vertragsklauseln enthält Art. 25 Data Act, die den Wechsel von Datenverarbeitungsdiensten vereinfachen sollen.
Der Dateninhaber kann mit dem Datenempfänger Bedingungen für die Bereitstellung der Daten vereinbaren.13 Hierbei ist ein Datenempfänger regelmäßig nicht exklusiv empfangsberechtigt, es sei denn, der Nutzer wüscht dies so.14 Dateninhaber und Datenempfänger brauchen keine Informationen herauszugeben, die über das hinausgehen, was erforderlich ist, um die Einhaltung der für die Datenbereitstellung vereinbarten Vertragsbedingungen oder die Erfüllung ihrer Pflichten aus der Data Act zu überprüfen. Entscheidend ist, dass der Dateninhaber vom Datenempfänger für die Bereitstellung der Daten ein Entgelt verlangen darf. Diese muss allerdings angemessen sein. Dies ist ein wesentlicher Unterschied zur Herausgabe an den Nutzer, da die Herausgabe an den Nutzer kostenlos zu erfolgen hat.
Der Dateninhaber darf in jedem Fall seine Geschäftsgeheimnisse wahren. Geschäftsgeheimnisse werden nur dann offengelegt, wenn vom Dateninhaber und vom Nutzer vor der Offenlegung alle Maßnahmen getroffen worden sind, die erforderlich sind, um die Vertraulichkeit der Geschäftsgeheimnisse, insbesondere gegenüber Dritten, zu wahren.15 Der Dateninhaber oder, wenn sie nicht dieselbe Person sind, der Inhaber des Geschäftsgeheimnisses ermittelt, auch in den relevanten Metadaten, die als Geschäftsgeheimnisse geschützten Daten und vereinbart mit dem Nutzer angemessene technische und organisatorische Maßnahmen, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten, insbesondere gegenüber Dritten, zu wahren; dies gilt etwa für Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen und die Anwendung von Verhaltenskodizes.
V. Bereitstellung von Daten für öffentliche Stellen bei außergewöhnlicher Notwendigkeit
Im Falle von öffentlichen Notständen sind jeweils zuständige öffentliche Stellen berechtigt, nicht-personenbezogene Daten zum Zwecke der Behebung des Notstands benötigte Daten vom Dateninhaber herauszuverlangen. Ein öffentlicher Notstand ist als eine zeitlich begrenzte Ausnahmesituation definiert – wie etwa Notfälle im Bereich der öffentlichen Gesundheit, Notfälle infolge von Naturkatastrophen sowie von Menschen verursachte Katastrophen größeren Ausmaßes, einschließlich schwerer Cybersicherheitsvorfälle –, die sich negativ auf die Bevölkerung der Union oder eines Mitgliedstaats bzw. eines Teils davon auswirkt.16 Wird ein Nachweis der außergewöhnlichen Notwendigkeit erbracht und der entsprechende ordnungsgemäß begründete Antrag der Behörde gestellt, haben die angefragten privatrechtlichen Dateninhaber, die über die entsprechenden Daten verfügen, diese Daten zur Verfügung zu stellen.
VI. Wechsel zwischen Datenverarbeitungsdiensten
Der Data Act normiert Erleichterungen für den Wechsel von Datenverarbeitungsdiensten. Danach sind Anbieter von Datenvermittlungsdiensten verpflichtet, die Schaffung jeglicher Hindernisse zu vermeiden bzw. diese zu beseitigen, die Kunden daran hindern könnten, ihren Vertrag nach der Kündigungsfrist zu beenden, neue Verträge mit anderen Anbietern für ähnliche Dienste abzuschließen sowie ihre exportierten Daten und digitalen Vermögenswerte zu einem anderen Anbieter zu übertragen. Hierfür normiert der Data Act Vertragsklauseln, die für entsprechende Verträge zu verwenden sind.17
Zudem werden Informationspflichten für die Anbieter von Datenverarbeitungsdiensten aufgestellt. Danach sind den Kunden Informationen über mögliche Verfahren für den Wechsel und die Übertragung der Inhalte bereitzustellen. Hierzu gehört auch die Nennung verfügbarer technischer Methoden und Formate, in denen die jeweiligen Inhalte im Rahmen eines Anbieterwechsels übertragen werden können, inklusive derjenigen technischen Einschränkungen, die dem Anbieter von Datenverarbeitungsdiensten bekannt sind.
Die Zusammenarbeit der Datenverarbeitungsdienste wird für einen effektiven Wechsel durch den Grundsatz von Treu und Glauben näher bestimmt, so dass ein redlicher Umgang der Akteure geboten ist. Hierdurch sollen die Rechtzeitigkeit der Datenübertragung und die Kontinuität der Leistung sichergestellt werden.
Wechselentgelte sind schrittweise bis zum 12.01.2027 abzuschaffen. Bis dahin dürfen die Anbieter von Vermittlungsdiensten noch ermäßigte Wechselentgelte verlangen, die jedoch nur die Kosten abdecken dürfen, die unmittelbar im Zusammenhang mit dem betreffenden Wechsel entstehen.18
VII. Interoperabilität
Im Data Act legt der Verordnungsgeber die wesentlichen Anforderungen an die Interoperabilität von Daten, Mechanismen und Dienste für die Datenweitergabe fest. Diese Anforderungen an die Interoperabilität gelten auch für die Bereitstellung von Datensätzen in gemeinsamen europäischen Datenräumen. Interoperabilität wird als die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten benannt, Daten auszutauschen und zu nutzen und ihre Funktionen auszuführen.19
Teilnehmer von Datenräumen, die Daten oder Datendienste anbieten, müssen die in Art. 33 Abs. 1 Data Act enumerativ aufgezählten Anforderungen erfüllen, die den Datenaustausch vereinfachen sollen. Danach sind insbesondere detaillierte Informationen über den Inhalt, die Nutzungsbedingungen und die Qualität der Daten bereitzustellen. Auch die Struktur und das Format der Daten müssen öffentlich zugänglich gemacht und einheitlich dargestellt werden. Auch die technischen Mittel für den Datenzugang, wie Programmierschnittstellen und deren Nutzungsbedingungen, sind zu beschreiben. Gegebenenfalls sind noch die Mittel für die Interoperabilität von Tools für automatisierte bzw. intelligente Verträge bereitzustellen. Diese Anforderungen können allgemeiner Natur oder sektorspezifisch sein.
C. Auswirkungen auf die Praxis
Der Data Act ist ein wesentlicher Bestandteil des europäischen Wirtschaftsrechts. Betroffene Akteure in der Privatwirtschaft sind zahlreichen neuen Pflichten ausgesetzt, die vor allem die technische Bereitstellung der Daten und die Information der Nutzer betreffen. Schwierige und noch nicht abschließend zu beantwortende Fragen dürften vor allem die Abgrenzung zwischen Datenausgabe und der Wahrung der Geschäftsgeheimnisse betreffen, da die jeweiligen Nutzungsdaten stark mit der Kerntechnologie des Produktes verwachsen sind.
