Die wichtigsten Vorgaben für Hersteller, Dateninhaber und Datenverträge
Mit dem kürzlich verabschiedeten Data Act setzt die EU ihre Daten- und Digitalstrategie weiter um und führt neben Datenzugangsrechten für Nutzer von IoT-Produkten Vorgaben für Datenverträge, den Wechsel von Cloud-Diensten und Interoperabilitätsvorgaben ein. Erfasst werden alle nicht personenbezogenen Daten im Zusammenhang mit der Nutzung eines IoT-Produkts.
Dateninhaber: Bereitstellung des Zugangs zu Daten
Regelungsschwerpunkt des Data Act ist der Zugang der Nutzer zu den Produktdaten eines IoT-Produkts. Produktdaten umfassen dabei sowohl Daten, die bewusst – etwa durch Eingaben des Nutzers – erzeugt werden, als auch Daten, die indirekt durch Handlungen des Nutzers oder auch bei Inaktivität des Nutzers entstehen. Auf Verlangen des Nutzers sind die Daten einem Dritten zur Verfügung zu stellen. Eine besondere Herausforderung stellt der Umgang mit personenbezogenen Daten dar: Der nahtlose Übergang zwischen Data Act und DSGVO dürfte in der Praxis zu nicht unerheblichen Rechtsunsicherheiten im Hinblick auf die nicht immer trennscharfe Abgrenzung zwischen personenbezogenen und nicht personenbezogenen Daten sowie die unterschiedlichen Vorgaben nach beiden Rechtsakten führen.
To-do
Prüfung der technischen Bereitstellungsmöglichkeiten und der datenschutzrechtlichen Trennung der verarbeiteten personenbezogenen und nicht personenbezogenen Daten.
Hersteller: Accessibility by Design
Die Anforderungen des Data Act setzen bereits bei der Herstellung von IoT-Produkten an: Produkte müssen so konzipiert und hergestellt werden, dass die Produktdaten standardmäßig einfach, sicher, unentgeltlich und in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können. Die Nichteinhaltung dieser Vorgaben kann nicht nur zu regulatorischen Maßnahmen führen: Betreiber und Dateninhaber werden absehbar nur solche Produkte erwerben, mit denen sie ihre eigenen Verpflichtungen aus dem Data Act umsetzen können. Ist der Produkthersteller zugleich Dateninhaber, sind auch diese Anforderungen zu berücksichtigen.
To-do
Prüfung und ggf. Einführung einer technischen Möglichkeit zur Bereitstellung von Produktdaten in einem strukturierten, gängigen und maschinenlesbaren Format.
Datenverträge und AGB: Faire Bedingungen
Für die Nutzung und Weitergabe von Daten im B2B-Bereich sieht der Data Act darüber hinaus vertragliche Anforderungen vor: So hat die Datenweitergabe grundsätzlich zu FRAND-Bedingungen zu erfolgen, d.h. fair, reasonable and non-discriminatory. Zudem dürfen keine missbräuchlichen Vertragsklauseln verwendet werden. Missbräuchlich ist eine Klausel, wenn sie in grober Weise von der guten Geschäftspraxis beim Zugang zu und der Nutzung von Daten abweicht. Darunter fallen beispielsweise Klauseln, die dem Nutzer das ausschließliche Recht einräumen zu bestimmen, ob die gelieferten Daten vertragsgemäß sind.
To-do
Erstellung, Überprüfung oder Anpassung von Verträgen und Allgemeinen Geschäftsbedingungen für die Bereitstellung und Nutzung von Daten gemäß den Anforderungen des Data Act.
Fazit
Der Data Act ist ein weiterer Baustein im neuen europäischen Digitalrecht und begründet parallel zur DSGVO zahlreiche Anforderungen an Hersteller, Betreiber und Datenverträge in Bezug auf nicht personenbezogene Produktdaten. Auch wenn die Vorgaben größtenteils erst ab Ende 2025/2026 greifen, müssen mit Blick auf die Produktentwicklungszyklen bereits jetzt erste Vorkehrungen getroffen werden.
zurück