Beiträge in der Kategorie

Allgemein

Suche

Allgemein,

11. September 2025: Der Data Act in der Unternehmenspraxis: Umsetzung der Informationspflichten – Blogbeitrag von Dr. Anno Haberer und Dr. Markus Spitz

RIT-Data-act

Der Stichtag für die Scharfschaltung des europäischen Datenrechts rückt naher: Ab dem 12. September 2025 beansprucht die europäische Datenverordnung (Data Act) in der Europäischen Union weitestgehend Geltung. Nur vereinzelte Pflichten, wie das sog. Access by Design, d. h. die Konzeption vernetzter Produkte und verbundener Dienste in einer Weise, dass Produktdaten und verbundene Dienstdaten von Nutzern einfach, sicher und unentgeltlich abgerufen werden können, gelten erst zu einem späteren Zeitpunkt. Eine der vordringlichen Pflichten, die bereits ab dem 12. September 2025 von Unternehmen proaktiv anzugehen sind, ist die Bereitstellung bestimmter Informationen über vernetzte Produkte und verbundene Dienste. Die praktische Umsetzung der Informationspflicht soll vorliegend näher beleuchtet werden.

1. Adressaten der Informationspflichten

Der Data Act unterscheidet zwischen den Informationspflichten bei Kauf, Miete oder Leasing eines vernetzten Produkts einerseits und den Informationspflichten bei der Erbringung eines verbundenen Dienstes andererseits. In ersterem Fall treffen die Informationspflichten den Verkäufer, Vermieter oder Leasinggeber, wobei es sich hierbei zugleich um den Hersteller des vernetzten Produkts handeln kann. Bei der Erbringung eines verbundenen Dienstes adressieren die Informationspflicht hingegen stets den Anbieter des Dienstes. Die Informationspflichten sind jeweils gegenüber dem Nutzer des vernetzten Produkts bzw. des verbundenen Dienstes zu erfüllen.

Vernetzte Produkte sind Gegenstände, die Daten über ihre Nutzung oder Umgebung erlangen, generieren oder erheben und diese über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln können (z. B. Smartphones, Wearables wie Smartwatches und Fitness-Tracker, Smart-Home-Geräte – Thermostate, Lampen, Kameras –, aber auch vernetzte Fahrzeuge oder industrielle Maschinen und Sensoren in der Produktion).

Verbundene Dienste sind digitale Dienste, die zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit einem vernetzten Produkt verbunden sind, dass das vernetzte Produkt ohne den verbundenen Dienst eine oder mehrere seiner Funktionen nicht ausführen könnte (z. B. die Bedienungs-App von Smartphones, Wearables oder industriellen Maschinen).

Zu beachten ist, dass Kleinstunternehmen, Kleinunternehmen und mittlere Unternehmen nach wohl herrschender Meinung nicht oder zumindest nicht völlig von den Informationspflichten ausgenommen sind.

Inhalt der Informationspflichten

Die Informationspflichten sollen sicherstellen, dass der Nutzer frühzeitig, transparent und verständlich über seine Rechte und die Voraussetzungen der Datennutzung informiert wird. Sie beschreiben lediglich ein Mindestmaß, das heißt dem Unternehmer steht es frei, auch weitergehende Informationen zur Verfügung zu stellen.

Sowohl bei vernetzten Produkten als auch bei verbundenen Diensten hat der Unternehmer über die Art, das Dateiformat und den geschätzten Umfang (die Datenmenge) der generierten Produktdaten zu informieren. Er muss zudem angeben, ob Daten gespeichert werden (z. B. auf einer externen Festplatte, einer Cloud, einer Speicherkarte, etc.) und wenn ja, wie lange. Außerdem ist der Nutzer darüber zu informieren, wie er auf die Daten zugreifen, sie abrufen und gegebenenfalls löschen kann (z. B. über einen QR-Code, Weblink oder Antrag).

Insgesamt sind die Informationspflichten bei der Erbringung eines verbundenen Dienstes deutlich umfassender als bei vernetzten Produktdaten. Neben Angaben über die generierten vernetzten Produktdaten, die im Zusammenhang mit dem verbundenen Dienst erhoben werden, muss der Dateninhaber unter anderem darüber aufklären, ob er beabsichtigt, die Daten selbst zu verwenden und wenn ja, zu welchem Zweck (z. B.  zur Produktentwicklung, zur Qualitätsverbesserung, Kundensegmentierung, etc.).

Weiterhin müssen Unternehmen den Nutzer wissen lassen, ob sie beabsichtigen, einem oder mehreren Dritten zu gestatten, die Daten zu dem mit dem Nutzer vereinbarten Zweck zu verwenden. Zugleich ist der Nutzer darüber zu informieren, ob und auf welchem Weg der Nutzer darum ersuchen kann, dass Daten an Dritte weitergegeben werden (z. B. durch Bereitstellung eines entsprechenden Portals), und wie er die Datenweitergabe an einen Dritten wieder beenden kann.

Schließlich betreffen weitere Informationspflichten die Kommunikation mit dem Dateninhaber, das Beschwerderecht des Nutzers, die Dauer des Datenvertrags sowie die Möglichkeiten einer vorzeitiger Vertragsbeendigung (z. B. durch Kündigung, Rücktritt, etc.).

An dieser Stelle sei betont, dass diese Mitteilung nicht eine vertragliche Grundlage zur Datennutzung ersetzt. Ein sog. Datenlizenzvertrag und die Einwilligung des Nutzers in die Datennutzung durch den Dateninhaber für eigene Zwecke sind ebenfalls Anforderungen, die der Data Act ausdrücklich vorsieht und die nicht durch die bloße Information über jene Daten ersetzt wird.

3. Praktische Umsetzung der Informationspflichten

Eine praxistaugliche und vorausschauende Umsetzung der Informationspflichten bedeutet mehr als nur die Erfüllung einer gesetzlichen Pflicht. Sie stärkt das Vertrauen der Nutzer in die Produkte des Unternehmers, schafft Rechtssicherheit und kann dem Unternehmer auf lange Sicht Wettbewerbsvorteile bieten. Dementsprechend gebietet die Umsetzung eine sorgfältige Planung und Vorbereitung.

Eine Best Practice wird sich insoweit erst mit der Zeit herausbilden. Allerdings sollten gewisse Punkte bereits von Beginn an berücksichtigt werden:

a) Form der Informationsüberlassung

Die Informationen sind so breitzustellen, dass der Nutzer diese speichern und in der Folge einsehen kann. Der Data Act schlägt insoweit das Unterhalten einer URL-Adresse im Internet vor, die als Weblink oder QR-Code verbreitet werden kann und zu den einschlägigen Informationen führt.

Eine bloß mündliche Information, die Anzeige in einem Online-Formular oder auf einer Website ohne Download-Möglichkeit sowie Pop-ups oder Tooltips ohne Speichermöglichkeiten genügen den gesetzlichen Anforderungen hingegen nicht und sollten daher unterbleiben.

b) Darstellungsweise

Der Data Act schweigt sich zur Art und Weise der Darstellungen weitgehend aus und überlässt dem Informationspflichtigem damit einen weiten Gestaltungsspielraum.

Zu erwägen sind eine tabellarische Darstellung, eine narrative Darstellung (Fließtext), eine visuelle Darstellung (Infografik) oder eine modularisierte Darstellung („Layered Information“) der jeweiligen Informationen. Es spricht viel dafür, sich an den bekannten Formaten zu Datenschutzerklärungen zu orientieren.

c) Klarheit und Verständlichkeit

Der Data Act verlangt, dass die Informationen in klarer und verständlicher Weise zur Verfügung gestellt werden. Der Unternehmer sollte daher darauf achten, dass die Informationen nicht einen Umfang erreichen, der vom Nutzer intellektuell nicht mehr verarbeitet werden kann. Gleichzeitig müssen die Informationen vollständig sein. Insoweit gilt es, eine gute Balance zu finden.  

Im Übrigen sollten Unternehmen schon bei den Informationen nach Data Act berücksichtigen, ob bestimmte Informationen als Geschäftsgeheimnisse oder als Know-How zu qualifizieren sind; in diesem Fall lässt der Data Act den Schutz von Geschäftsgeheimnissen und Know-How durchaus zu.

d) Zeitpunkt

Die Informationen müssen dem Nutzer zwingend vor Vertragsschluss zur Verfügung gestellt werden. Eine bestimmte Vorlaufzeit sieht der Data Act aber nicht vor. So dürfte es sich im Rahmen von Online-Shops anbieten, die Informationen bereits bei der Produktbeschreibung und später erneut beim Bestellvorgang zu verlinken.

4. Fazit und Ausblick

Die praktische Umsetzung der Informationspflichten nach dem Data Act verlangt von Unternehmen eine sorgfältige Planung und die Entwicklung geeigneter Formate, um dem Nutzer Informationen möglichst transparent und strukturiert zur Verfügung zu stellen. In der Praxis bedeutet dies: Unternehmen sollten frühzeitig interne Prozesse aufsetzen, klare Zuständigkeiten definieren und standardisierte Vorlagen zur Erfüllung der Pflichten nach Data Act erarbeiten. Hier empfiehlt sich eine enge Zusammenarbeit zwischen Fachabteilung, IT, Rechtsabteilung und gegebenenfalls externer Rechtsberatung.

Der Data Act markiert nur einen Zwischenschritt auf dem Weg zu einem europäischen Datenbinnenmarkt. Unternehmen, die jetzt in eine saubere und effiziente Umsetzung der Informationspflichten investieren, verschaffen sich strategische Vorteile – nicht nur in Bezug auf Compliance, sondern auch im Wettbewerb um datengetriebene Innovationen.

                 

       Dr. Anno Haberer                              Dr. Markus Spitz

Für weitere Fragen zum Thema Datennutzung, Data Act oder zum IT & Datenschutzrecht im allgemeinen steht Ihnen unsere Praxisgruppe IT & Datenschutzrecht bei RITTERSHAUS gerne zur Verfügung.