Daten teilen, aber richtig!

Was der Data Act bzw. die Datenverordnung für Unternehmen bedeutet


Regelungszweck und Anwendungsbereich des Data Acts  

Die Verordnung (EU) 2023/2854, besser bekannt als Datenverordnung oder Data Act (DA), gilt ab dem 12.09.2025. Ziel des DA ist es, (Industrie-)Daten zugänglicher zu machen, die allgemeine Datenverfügbarkeit zu erhöhen, den Datenwettbewerb zu fördern und Kunden den Wechsel zwischen Datenverarbeitungsdiensten zu erleichtern. Insbesondere aufgrund der Verordnung (EU) 2024/1689 (Verordnung über Künstliche Intelligenz oder KI-VO), deren Vorschriften teilweise bereits Anwendung finden, erhielt der DA bisher verhältnismäßig wenig Aufmerksamkeit.  

Sind Sie betroffen? 

Wahrscheinlich – der Anwendungsbereich des DA ist weit. Adressaten des DA sind insbesondere Hersteller sog. vernetzter Produkte und Anbieter verbundener Dienste.  

Vernetzte Produkte sind vereinfacht „smarte“ Produkte oder einzelne Komponenten eines Produkts, die Daten über ihre Nutzung oder Umgebung generieren und übermitteln. Das umfasst z.B. intelligente Haushaltsgeräte, Fertigungsanlagen, Fitness-Tracker und Sensoren. Verbundene Dienste sind vereinfacht Dienste, mit denen die Funktionalität vernetzter Produkte beeinflusst werden kann, etwa eine App zur Fernsteuerung einer Waschmaschine oder zur Konfiguration eines Fortbewegungsmittels.  

Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist (Art. 2 Nr. 5 DA). Entscheidend ist, dass der Gegenstand die Fähigkeit zur Datenübermittlung hat. Die Übermittlung muss nicht fortlaufend stattfinden, sondern kann auch punktuell erfolgen. Ausreichend ist es, wenn ein Gerät manuell ausgelesen werden kann. 

Ein verbundener Dienst ist ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen (Art. 2 Nr. 6 DA).  

Der DA gilt unabhängig von dem Ort der Niederlassung für alle Hersteller und Anbieter, die vernetzte Produkte oder verbundene Dienste auf dem Unionsmarkt (EU und EWR) erstmalig in Verkehr bringen oder bereitstellen (sog. Marktortprinzip).  

Der DA verpflichtet maßgeblich Dateninhaber und begünstigt Nutzer. Die Hersteller und Anbieter von vernetzten Produkten und verbunden Diensten sind in der Regel Dateninhaber, ihre Kunden dagegen Nutzer. Nutzer können Privatpersonen (in der Regel Endnutzer) oder Unternehmen (bspw. ein nachgelagerter Hersteller oder Einzelhändler) sein. 

Dateninhaber sind Personen oder Unternehmen, die nach dem DA berechtigt oder verpflichtet sind, Daten bereitzustellen (Art. 2 Nr. 13 DA). 

Nutzer sind Personen oder Unternehmen, die ein vernetztes Produkt besitzen, zeitweise berechtigt sind es zu nutzen oder einen verbundenen Dienst in Anspruch nehmen (Art. 2 Nr. 12 DA).  

Klein- und Kleinstunternehmen unterliegen nicht den Pflichten des DA (Art. 7 Abs. 1 DA). 

Welche Daten sind betroffen? 

Im Fokus des DA stehen sog. „ohne weiteres verfügbaren Daten“. Das umfasst Produktdaten und verbundene Dienstdaten. 

Ohne Weiteres verfügbare Daten meint Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird (Art. 2 Nr. 17 DA). 

Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – abgerufen werden können (Art. 2 Nr. 15 DA). 

Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art. 2 Nr. 16 DA). 

Der DA umfasst personenbezogene und nicht-personenbezogene Daten.  

Hinweis: Der DA stellt keine Rechtsgrundlage für die Erhebung und weitere Verarbeitung personenbezogener Daten durch den Dateninhaber dar. Werden personenbezogene Daten verarbeitet oder durch den Dateninhaber einem Nutzer nach dem DA zugänglich gemacht, müssen die Vorschriften der DSGVO weiterhin beachtet werden (Art. 3 Abs. 5 DA). 

Kaum Bestandsschutz 

Die Vorschriften des DA finden gestaffelt Anwendung. 

Ab dem 12.09.2025 finden die meisten Vorschriften Anwendung (Art. 50 Satz 2 DA). 

Ein Jahr später, ab dem 12.09.2026, müssen vernetzte Produkte und verbundene Dienste so konzipiert und hergestellt werden, dass sie standardmäßig Nutzern einen direkten Zugang zu den Produktdaten und verbundenen Dienstdaten ermöglichen („Accessibility by Default“, Art. 50 Satz 3 DA). Diese Pflicht gilt jedoch nur für Produkte und Dienste, die ab dem 12.09.2026 auf dem Unionsmarkt in Verkehr gebracht bzw. bereitgestellt werden. Gemeint ist dabei das individuelle Produkt bzw. Dienst und nicht etwa die Produktlinie oder Kategorie. Altprodukte und Dienste, die vor dem 12.09.2026 in Verkehr gebracht bzw. bereitgestellt wurden, müssen also nicht angepasst werden. Anders zu bewerten ist dies lediglich, wenn die Altprodukte oder Dienste nach dem 12.09.2026 wesentlich verändert werden, etwa durch größere Updates. Sie wären dann als neue Produkt zu betrachten. Von dieser Einschränkung abgesehen gelten die Vorschriften für vernetzte Produkte und verbundene Dienste gleichermaßen und es gibt keinen Bestandsschutz.  

Relevante Pflichten

Im Folgenden stellen wir einige der relevantesten Pflichten des DA dar.   

Direkter Zugang („Accessibility by default“), Art. 3 Abs. 1 DA 

Ab dem 12.09.2026 müssen Hersteller vernetzter Produkte und Anbieter verbundener Dienste sicherstellen, dass die Produkt- und Dienstdaten standardmäßig („by default“) für Nutzer einfach, sicher, unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und soweit technisch möglich, direkt zugänglich sind. Hiervon erfasst sind nur Produkte und Dienste, die nach dem 12.09.2026 auf dem Unionsmarkt in Verkehr gebracht bzw. bereitgestellt werden (siehe oben).  

Vorvertragliche Informationspflicht, Art. 3 Abs. 2 DA 

Ab dem 12.09.2025 treffen Verkäufer, Vermieter oder Leasinggeber (wobei es sich auch um den Hersteller handeln kann) vorvertragliche Informationspflichten (Art. 3 Abs. 2 DA). Sie müssen in klarer und verständlicher Art und Weise (potenziellen) Nutzern von vernetzten Produkten oder verbundenen Diensten bereitgestellt werden. Das betrifft unter anderem Informationen zu Art und Umfang der generierten Daten, ob die Daten in Echtzeit generiert werden und wie Nutzer auf sie zugreifen und sie gegebenenfalls löschen können. 

Daten auf Nachfrage, Art. 4 Abs. 1 DA 

Ab dem 12.09.2025 müssen Dateninhaber dem Nutzer ohne Weiteres verfügbare Daten einschließlich der zur Auslegung und Nutzung der Daten erforderlichen Metadaten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereit. Dies geschieht auf einfaches Verlangen auf elektronischem Wege, soweit dies technisch durchführbar ist und Nutzer nicht direkt selbst auf die Daten zugreifen können.  

Einschränkungen des Zugangsrechts, Art. 4 Abs. 2 DA 

Der DA sieht in Art. 4 Abs. 2 DA vor, dass Nutzer und Dateninhaber den Zugang zu sowie die Nutzung oder die erneute Weitergabe von Daten vertraglich beschränken oder verbieten, wenn eine solche Verarbeitung die Sicherheitsanforderungen des vernetzten Produkts beeinträchtigen und damit zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder die Sicherheit von natürlichen Personen führen könnte. Der Zugang zu den Daten kann verweigert werden, wenn es sich um Geschäftsgeheimnisse handelt oder der Nutzer die Sicherheit der Daten nicht oder nicht ausreichend gewährleisten kann. Wird das Zugangsrecht eingeschränkt oder verweigert, muss die zuständige Behörde informiert werden. Hier muss noch eine Umsetzung durch den deutschen Gesetzgeber erfolgen. 

Datenweitergabe an Dritte, Art. 5, Art. 8 f. DA 

Auf Anfrage des Nutzers oder einer im Namen des Nutzers handelnden Partei, müssen Dateninhaber ohne Weiteres verfügbare Daten und die zur Interpretation erforderlichen Metadaten Dritten zur Verfügung stellen. Die Daten müssen in derselben Qualität, wie sie dem Dateninhaber zur Verfügung steht, sowie einfach, sicher, kostenlos, in einem umfassenden, strukturierten, allgemein verwendeten und maschinenlesbaren Format und, soweit technisch möglich, kontinuierlich in Echtzeit zur Verfügung gestellt werden. 

Dateninhaber können gegenüber Unternehmen für die Bereitstellung der Daten eine Gegenleistung verlangen, Art. 8 Abs. 1 DA. Die Datenweitergabe kann unter bestimmten Voraussetzungen versagt werden, etwa gegenüber Torwächtern („Gatekeepers“) oder soweit Geschäftsgeheimnisse betroffen sind. In B2B-Konstellationen sind zudem faire, angemessene und nichtdiskriminierende Bedingungen zu vereinbaren. Zu diesem Zweck wird die Europäische Kommission Musterbedingungen und Standardklauseln vorlegen. Ein erster Entwurf ist bereits verfügbar (Der „Final Report of the Expert Group on B2B data sharing and cloud computing contracts“ kann hier heruntergeladen werden. 

Neben diesen Pflichten sieht der DA einige weitere Regelungen vor. Dazu zählen Bestimmungen zur Unwirksamkeit missbräuchlicher Vertragsklauseln (Art. 13 DA) sowie Regelungen, die Kunden den Wechsel zwischen verschiedenen Datenverarbeitungsdiensten erleichtern sollen (Art. 23 – 31 DA). Diese Aspekte werden wir in einem zweiten Teil erläutern. 

To-dos für Unternehmen

Unternehmen sollten zeitnah überprüfen, ob Sie in den Anwendungsbereich des DA fallen. Falls ja, müssen sie ab dem 12.09.2025 in der Lage sein, die erforderlichen Informationen und Daten bereitzustellen. Produkte und Dienste, die in den Anwendungsbereich des DA fallen und nach dem 12.09.2026 in Verkehr gebracht oder bereitgestellt werden sollen, müssen zudem, sofern technisch möglich, einen direkten Datenzugang ermöglichen. Dies sollte frühzeitig bei der Konzeption und Entwicklung berücksichtigt werden.