Data Act der EU

Die wich­tigs­ten Vor­ga­ben für Her­stel­ler, Daten­in­ha­ber und Datenverträge

Mit dem kürz­lich ver­ab­schie­de­ten Data Act setzt die EU ihre Daten- und Digi­tal­stra­te­gie wei­ter um und führt neben Daten­zu­gangs­rech­ten für Nut­zer von IoT-Produkten Vor­ga­ben für Daten­ver­trä­ge, den Wech­sel von Cloud-Diensten und Inter­ope­ra­bi­li­täts­vor­ga­ben ein. Erfasst wer­den alle nicht per­so­nen­be­zo­ge­nen Daten im Zusam­men­hang mit der Nut­zung eines IoT-Produkts.

Daten­in­ha­ber: Bereit­stel­lung des Zugangs zu Daten

Rege­lungs­schwer­punkt des Data Act ist der Zugang der Nut­zer zu den Pro­dukt­da­ten eines IoT-Produkts. Pro­dukt­da­ten umfas­sen dabei sowohl Daten, die bewusst – etwa durch Ein­ga­ben des Nut­zers – erzeugt wer­den, als auch Daten, die indi­rekt durch Hand­lun­gen des Nut­zers oder auch bei Inak­ti­vi­tät des Nut­zers ent­ste­hen. Auf Ver­lan­gen des Nut­zers sind die Daten einem Drit­ten zur Ver­fü­gung zu stel­len. Eine beson­de­re Her­aus­for­de­rung stellt der Umgang mit per­so­nen­be­zo­ge­nen Daten dar: Der naht­lo­se Über­gang zwi­schen Data Act und DSGVO dürf­te in der Pra­xis zu nicht uner­heb­li­chen Rechts­un­si­cher­hei­ten im Hin­blick auf die nicht immer trenn­schar­fe Abgren­zung zwi­schen per­so­nen­be­zo­ge­nen und nicht per­so­nen­be­zo­ge­nen Daten sowie die unter­schied­li­chen Vor­ga­ben nach bei­den Rechts­ak­ten führen.

Her­stel­ler: Acces­si­bi­li­ty by Design

Die Anfor­de­run­gen des Data Act set­zen bereits bei der Her­stel­lung von IoT-Produkten an: Pro­duk­te müs­sen so kon­zi­piert und her­ge­stellt wer­den, dass die Pro­dukt­da­ten stan­dard­mä­ßig ein­fach, sicher, unent­gelt­lich und in einem umfas­sen­den, struk­tu­rier­ten, gän­gi­gen und maschi­nen­les­ba­ren For­mat zur Ver­fü­gung gestellt wer­den kön­nen. Die Nicht­ein­hal­tung die­ser Vor­ga­ben kann nicht nur zu regu­la­to­ri­schen Maß­nah­men füh­ren: Betrei­ber und Daten­in­ha­ber wer­den abseh­bar nur sol­che Pro­duk­te erwer­ben, mit denen sie ihre eige­nen Ver­pflich­tun­gen aus dem Data Act umset­zen kön­nen. Ist der Pro­dukt­her­stel­ler zugleich Daten­in­ha­ber, sind auch die­se Anfor­de­run­gen zu berücksichtigen.

Daten­ver­trä­ge und AGB: Fai­re Bedingungen

Für die Nut­zung und Wei­ter­ga­be von Daten im B2B-Bereich sieht der Data Act dar­über hin­aus ver­trag­li­che Anfor­de­run­gen vor: So hat die Daten­wei­ter­ga­be grund­sätz­lich zu FRAND-Bedingungen zu erfol­gen, d.h. fair, reasonable and non-discriminatory. Zudem dür­fen kei­ne miss­bräuch­li­chen Ver­trags­klau­seln ver­wen­det wer­den. Miss­bräuch­lich ist eine Klau­sel, wenn sie in gro­ber Wei­se von der guten Geschäfts­pra­xis beim Zugang zu und der Nut­zung von Daten abweicht. Dar­un­ter fal­len bei­spiels­wei­se Klau­seln, die dem Nut­zer das aus­schließ­li­che Recht ein­räu­men zu bestim­men, ob die gelie­fer­ten Daten ver­trags­ge­mäß sind.

Fazit

Der Data Act ist ein wei­te­rer Bau­stein im neu­en euro­päi­schen Digi­tal­recht und begrün­det par­al­lel zur DSGVO zahl­rei­che Anfor­de­run­gen an Her­stel­ler, Betrei­ber und Daten­ver­trä­ge in Bezug auf nicht per­so­nen­be­zo­ge­ne Pro­dukt­da­ten. Auch wenn die Vor­ga­ben größ­ten­teils erst ab Ende 2025/2026 grei­fen, müs­sen mit Blick auf die Pro­dukt­ent­wick­lungs­zy­klen bereits jetzt ers­te Vor­keh­run­gen getrof­fen werden.