Am 11. Januar 2024 ist das europäische Datengesetz (Data Act) als Teil der Datenstrategie der Europäischen Union in Kraft getreten. Durch die Datenstrategie reagiert die EU auf die zunehmende Digitalisierung der Märkte und strebt eine Balance zwischen der Sicherung europäischer Werte in der digitalen Welt und der Förderung des Binnenmarktes an. Der Data Act enthält ein umfangreiches Konstrukt an neuen Rechten und Pflichten, die auf Markteilnehmer zukommen. Wie so oft bei neuen Gesetzgebungsverfahren stellen sich in der Praxis zahlreiche Auslegungs- und Verständnisfragen, die im Laufe der Zeit durch Behörden und Rechtsprechung zu klären sind.
1. Regelungsgegenstand: Daten vernetzter Produkte oder verbundener Dienste
Durch den Data Act sollen Daten, die durch vernetze Produkte oder mit solchen Produkten verbundene Dienste generiert werden, für andere Unternehmen zugänglich gemacht werden. Verbundene Dienste sind digitale Dienste, die für die Funktionsfähigkeit von vernetzten Produkten notwendig sind. Nicht nur der Dateninhaber (regelmäßig der “Hersteller“ der Produkte), der durch die Entwicklung der Produkte faktischen Zugriff auf die Daten hat, soll von den Daten profitieren. Der Data Act stärkt vielmehr die Rolle des Produktnutzers („Nutzer“) als Besitzer des vernetzten Produkts. Hierdurch soll die Macht der Hersteller über die generierten Daten zugunsten von mehr Wahlfreiheiten für die Nutzer und damit mehr Wettbewerb verringert werden.
2. Datenzugangsrecht als Herzstück des Data Acts
Herzstück des Data Act ist das Datenzugangsrecht (Art. 3 Abs. 1 Data Act). Vernetzte Produkte und verbundene Dienste müssen hiernach so konzipiert sein, dass der Nutzer einfach, sicher, unentgeltlich und in einem strukturierten maschinenlesbaren Format Zugriff auf die generierten Daten hat.
Die Europäische Kommission gibt in einem Fact Sheet zum Data Act anschauliche Anwendungsbeispiele rund um das Datenzugangsrecht. Nutzer (sowohl natürliche Personen als auch Unternehmen) sollen zukünftig erleichterten Datenzugriff erhalten und die Daten auch an Dritte weitergeben können, damit etwa die Reparatur der Produkte nicht nur durch den Hersteller, sondern auch durch Dritte möglich ist. So kann der Nutzer etwa die erforderlichen Produkt- oder Messdaten an sich selbst oder direkt an einen Reparaturdienst herausverlangen. Zudem sollen Nutzer vernetzter Geräte auch selbst einfacheren Zugang zu den generierten Daten erhalten, um so eigene Produkte weiterentwickeln zu können.
Neben dem Datenzugangsrecht regelt der Data Act auch umfangreiche (vorvertragliche) Informationspflichten über die mit vernetzten Produkten und verbundenen Diensten generierten Daten. Unter anderem muss der Nutzer schon im Zeitpunkt des Vertragsschlusses darüber informiert werden, welche Daten bei der Nutzung eines Produkts generiert werden, ob der Hersteller beabsichtigt, die Daten auch für eigene Zwecke zu nutzen, und ob die Daten auch an Dritte herausgegeben werden sollen.
Hervorzuheben ist allerdings, dass der Hersteller die Daten nur dem Nutzer unentgeltlich bereitstellen muss. Von Dritten, an die der Hersteller Daten auf Wunsch des Nutzers herausgeben muss, kann eine angemessen Gegenleistung verlangt werden. Für diese Gegenleistung sieht der Data Act detaillierte Regelungen vor (Art. 9 Data Act). So darf die Gegenleistung etwa bei der Datenherausgabe an Kleinst- und Kleinunternehmen keine Marge beinhalten, sondern nur die Kosten umfassen, die durch die Datenübertragung tatsächlich anfallen. Außerdem sollen von der Europäischen Kommission noch konkrete Leitlinien zur Bestimmung der angemessenen Gegenleistung erlassen werden.
Schließlich regelt der Data Act für den B2B-Bereich eine detaillierte Missbrauchskontrolle für Vereinbarungen zwischen Unternehmern über den Datenzugang und die Datennutzung. Die Missbrauchskontrolle greift bei einseitig auferlegten Regelungen und erinnert an die Überprüfung von AGB im deutschen Recht. Wie aus dem AGB-Recht bekannt, werden Szenarien aufgezählt, die zur Unwirksamkeit von Klauseln führen.
Es ist zu erwarten, dass in der Praxis insbesondere rund um die Frage der einseitigen Auferlegung Beweisfragen und Dokumentationsprobleme entstehen werden. Sofern ein Unternehmen den zusätzlichen Schutz der Klauselkontrolle nach Data Act begehren, ist daher zu empfehlen, konkret über die betroffenen Bestimmungen zu verhandeln und die Verhandlungsversuche zu dokumentieren.
3. Datenlizenzvertrag als Must-Do
Der Data Act ordnet die Rechte an Daten, die durch die Nutzung von Produkten und verbundener Dienste generiert werden, dem Nutzer des Produkts zu. Will der Hersteller die Daten für eigene Zwecke nutzen, muss er einen Vertrag mit dem Nutzer über die Datennutzung schließen (Datenlizenzvertrag).
Unklar ist insoweit, ob sich der Hersteller vom Nutzer auch das exklusive Nutzungsrecht übertragen lassen kann, das den Nutzer von der Datennutzung ausschließt. Einerseits spricht der Data Act davon, dass der Nutzer grundsätzlich gegen angemessene Gegenleistung auf seine Rechte verzichten könne (Erwägungsgrund 25). Zudem kann der Nutzer auch einem Dritten ein exklusives Nutzungsrecht einräumen (Art. 8 Abs. 4 Data Act). Vor diesem Hintergrund ist nicht ersichtlich, warum eine solche Vereinbarung nicht auch mit dem Hersteller möglich sein sollte. Allerdings sieht Art. 7 Abs. 2 Data Act vor, dass Vereinbarungen, die zum Nachteil des Nutzers dessen Datenzugangs- und sonstigen Rechte ausschließen, nicht bindend sind. Insoweit ist bisher jedoch ungeklärt, ob hierunter jeglicher Ausschluss fällt oder ob ein Ausschluss mit angemessener Gegenleistung zugunsten des Nutzers als nicht nachteilig anzusehen ist. Bis zur Klärung der Frage durch den EuGH sollten Hersteller und sonstige Dateninhaber von exklusiven Nutzungsrechten, die insbesondere den Nutzer von der Datennutzung ausschließen, nur äußerst zurückhaltend Gebrauch machen und in jedem Fall mindestens mit einer Gegenleistung zugunsten des Nutzers verbinden.
4. Schutz des Herstellers vor einer ausufernden Datenherausgabe
Trotz der Vielzahl an Pflichten, welche der Data Act dem Hersteller vernetzter Produkte und den Anbietern verbundener Dienste auferlegt, werden diese nicht schutzlos gestellt. So darf der Nutzer die Daten nicht verwenden, um Einblicke in die wirtschaftliche Lage oder interne Produktionsmethoden des Herstellers zu gewinnen. Er darf die Daten zudem nicht zur Entwicklung von Konkurrenzprodukten verwenden. Darüber hinaus müssen Geschäftsgeheimnisse nur offengelegt werden, wenn dies für einen vereinbarten Zweck zwingend erforderlich ist. Der Nutzer trägt für diese Voraussetzung die Darlegungs- und Beweislast. Selbst in diesem Fall müssen geeignete technische und organisatorische Maßnahmen (TOMs) zum Schutz des Geschäftsgeheimnisses vereinbart werden. Kann eine Einigung mit hinreichendem Schutzniveau nicht erreicht werden, kann der Hersteller die Herausgabe der Daten verweigern. Unter den genannten Voraussetzungen kann der Hersteller auch die Datenherausgabe an Dritte verweigern.
5. Persönlicher Anwendungsbereich
Anders als etwa die Datenschutz-Grundverordnung (DSGVO) ist der Anwendungsbereich des Data Act bei Kleinst- und Kleinunternehmen eingeschränkt. Die Verpflichtung zur Datenherausgabe- und Weiterleitung gilt nicht für Unternehmen mit weniger als 250 Beschäftigen und höchstens 50 Millionen Euro Jahresumsatz. Die Ausnahme greift jedoch dann nicht, wenn das Kleinst- oder Kleinunternehmen ein größeres Partnerunternehmen (das 25 % oder mehr des Kapitals oder der Stimmrechte hält) oder verbundenes Unternehmen (das die Mehrheit der Stimmrechte hält) hat, so dass die Schwelle überschritten wird.
6. Zeitlicher Anwendungsbereich
Der Data Act ist zwar bereits in Kraft getreten. Die Regelungen des Data Act gelten allerdings gestaffelt erst ab dem 12. September 2025 und die Pflicht, einen Datenzugang für den Nutzer bereitzustellen für alle Produkte, die nach dem 12. September 2026 in Verkehr gebracht worden sind. Die Klauselkontrolle im B2B-Verhältnis gilt indes erst ab dem 12. September 2025, dann allerdings rückwirkend auch für Verträge, die vor dem 12. September 2025 geschlossen worden sind, sofern die Vertragslaufzeit unbefristet ist.
7. Sanktionen
Der Data Act legt allen beteiligten Parteien Pflichten auf, nicht nur dem Hersteller als Dateninhaber. Auch Nutzer können im Umgang mit den Daten Pflichten verletzten. Die Sanktionierung von Pflichtverletzungen nach dem Data Act überlässt die EU grundsätzlich den Mitgliedsstaaten. Sie sollen Vorschriften zur wirksamen und abschreckenden Sanktionierung erlassen. Wie die Mitgliedsstaaten hiervon Gebrauch machen werden, bleibt abzuwarten. Zudem können die Datenschutzbehörden Bußgelder nach Art. 83 DSGVO verhängen, wenn Pflichten aus Kapitel II, III, V des Data Act verletzt werden. Damit deckt das Bußgeldregime der Datenschutzbehörden alle wesentlichen Pflichten des Data Act ab.
8. Verhältnis zu DSGVO und TTDSG
Es ist zu beachten, dass die Regeln des TTDSG neben dem Data Act anwendbar bleiben. Das führt dazu, dass weiterhin eine separat abgesetzte Einwilligung des Nutzers erforderlich ist, wenn auf Endgeräte zugegriffen werden soll. Diese Einwilligung kann zwar im Datenlizenzvertrag erteilt werden. Die Einwilligung muss aber separat abgesetzt und darf nicht vorangekreuzt sein (Opt-in). Darüber hinaus gelten die Vorschriften der DSGVO, sobald personenbezogene Daten betroffen sind.
9. Handlungsempfehlungen und Fazit
Auch wenn die Regelungen des Data Act erst ab 2025 bzw. 2026 gelten, sollten Unternehmen, die vernetzte Produkte und verbundene Dienste anbieten, bereits jetzt prüfen, ob die Pflichten des Data Act auf sie aufgrund ihrer Unternehmensgröße und -struktur Anwendung findet. Sofern der Data Act anwendbar ist, sollten vernetzte Produkte und verbundene Dienste bereits jetzt so konzipiert werden, dass Nutzern ein dem Data Act entsprechender Datenzugang gewährt werden kann. Außerdem sollten (Datenlizenz-)verträge erstellt und vereinbart werden, sofern Hersteller die durch Produkte und Dienste generierten Daten auch weiterhin für eigene Zwecken nutzen wollen.
Wie jeder neue Gesetzgebungsakt der EU wirft auch der Data Act noch eine Vielzahl an Fragen und Auslegungsproblemen auf. Hier bleibt abzuwarten, inwieweit diese offenen Punkte in den nächsten Jahren durch Behörden und Rechtsprechung geklärt werden. Gerade für Kleinst- und Kleinunternehmen, die zu großen Teilen von den Pflichten des Data Act ausgenommen sind, kann der Data Act neben weiteren Herausforderungen auch neue Möglichkeiten und Geschäftsmodelle durch einen erweiterten Datenzugang eröffnen.
Wir danken Frau Janin Schmidt für die Unterstützung bei der Erstellung dieses Beitrags.
Für weitere Fragen zum Thema Datennutzung, Data Act oder zum IT & Datenschutzrecht im Allgemeinen steht Ihnen unsere Praxisgruppe IT & Datenschutzrecht bei RITTERSHAUS gerne zur Verfügung.“