Data Act: Überblick und wichtige Regelungen

Share0
Tweet0
Share0

I. Der Data Act auf einen Blick

Der Data Act1 (Datenverordnung) ist eine am 11. Januar 2024 in Kraft getretene Verordnung der EU, welche in den Mitgliedsstaaten unmittelbare Anwendung findet. Sie ist Teil der europäischen Datenstrategie, mit welcher die Europäische Union einen Binnenmarkt für Daten schaffen und die EU an die Spitze einer datengesteuerten Gesellschaft bringen möchte.2

Primär regelt der Data Act den Zugang zu im Internet of Things (IoT) generierten Daten. Er enthält jedoch auch Vorschriften zur Interoperabilität von Leistungen mit Datenbezug und stellt Anforderungen an Smart Contracts.

In diesem Beitrag schauen wir uns überblicksartig zunächst die Ziele des Data Act, sodann seinen Anwendungsbereich und schließlich die wichtigsten Inhalte des Data Act an.

II. Ziele des Data Act

Die Datenverordnung soll einen fairen Zugang zu Daten ermöglichen und dadurch die effiziente Nutzung von Daten fördern.3 Durch die Schaffung von Zugangsrechten zu im Internet of Things generierten Daten, insbesondere Industriedaten, möchte die Europäische Kommission eine umfassendere Ausnutzung des verfügbaren Datenbestandes ermöglichen. Dies soll, so die Hoffnung der Kommission, für die Mitgliedstaaten bis 2028 zu einem BIP-Zuwachs von 270 Mrd. EUR führen.4

III. Anwendungsbereich des Data Act

1. Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich der im Data Act geregelten Datenzugangs- und Datenweitergabeansprüche erstreckt sich auf Daten aus der Nutzung von vernetzten Produkten und mit letzteren verbundenen Diensten. Der Anwendungsbereich des Data Act ist unabhängig davon eröffnet, ob die gegenständlichen Daten Personenbezug haben oder nicht.

2. Persönlicher Anwendungsbereich

Adressaten des Data Act sind nach Art. 1 Abs. 3 DA:

  • Hersteller und Nutzer vernetzter Produkte
  • Anbieter und Nutzer mit vernetzten Produkten verbundener Dienste
  • Inhaber und Empfänger der entsprechenden Daten
  • öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union 
  • Anbieter von Datenverarbeitungsdiensten
  • Bestimmte gewerbliche Verwender intelligenter Verträge (Smart Contracts)

Art. 7 Abs. 1 DA stellt dabei Kleinst- und Kleinunternehmen im Sinne des Artikels 2 Absatz 2, 3 des Anhangs der Empfehlung 2003/361/EG in weitem Umfang von den Pflichten zur Datenweitergabe und Information nach Kapitel II DA frei.

3. Räumlicher Anwendungsbereich

Zur Bestimmung des räumlichen Anwendungsbereichs wendet Art. 1 Abs. 3 DA das Marktortprinzip an. Entscheidend ist also, ob die jeweiligen Produkte in der EU in den Verkehr gebracht werden, Leistungen in der EU angeboten werden oder Daten in der EU bereitgestellt werden.

4. Zeitlicher Anwendungsbereich

Nach Artikel 50 S. 1 DA ist der Data Act am 20. Tag nach Veröffentlichung im Amtsblatt der Europäischen Union und somit am 11. Januar 2024 in Kraft getreten. Er gilt gemäß Art. 50 S. 2 DA ab dem 12. September 2025. 

Jedoch greifen nicht alle im DA geregelten Pflichten direkt mit der Geltung des Data Act ab dem 12. September 2025. Stattdessen sieht der Data Act eine zeitliche Staffelung verschiedener Pflichten vor. Insbesondere gilt die Pflicht zur “Accessibility by design” aus Art. 3 Abs. 1 DA nach Art. 50 S. 3 DA nur für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht wurden.

IV. Die wichtigsten Inhalte des Data Act

1. Zugang zu erzeugten Daten

Art. 3 Abs. 1 DA verpflichtet Hersteller vernetzter Produkte und Anbieter verbundener Dienste zum Access by Design: Produkte und Dienste sind so zu gestalten, dass der Nutzer auf die bei ihrer Nutzung erzeugten Daten zugreifen kann. Soweit relevant und technisch durchführbar, müssen die Daten für den Nutzer direkt zugänglich sein.

Soweit der Nutzer nicht direkt selbst vom Produkt aus auf die Daten zugreifen kann, gibt Art. 4 Abs. 1 DA dem Nutzer einen Anspruch gegen den Dateninhaber, die bei der Nutzung erzeugten Daten unentgeltlich vom Dateninhaber zur Verfügung gestellt zu bekommen. Art. 4 Abs. 6-8 und 12 DA regeln Einschränkungen in Bezug auf Geschäftsgeheimnisse und personenbezogene Daten Dritter. Mehr zur Abwehr von Datenzugangsverlangen hier.

2. Vorvertragliche Informationspflichten

Art. 3 Abs. 2 und 3 DA schaffen neue vorvertragliche Informationspflichten für Unternehmen. Nach Art. 3 Abs. 2 DA müssen dem Nutzer vor Abschluss eines Kauf-, Miet-, oder Leasingvertrags für ein vernetztes Produkt eine Reihe von Informationen über die bei Nutzung erzeugten Daten bereitgestellt werden. Nach Art. 3 Abs. 3 DA sind vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes daneben noch weitere Informationen wie z.B. Angaben zum Dateninhaber und den Rechten des Nutzers erforderlich. Art. 3 Abs. 2 und 3 DA enthalten jeweils einen Katalog dieser Informationspflichten.

4. Einschränkung der Nutzungsrechte des Inhabers an nicht personenbezogenen Daten

Nach Art. 4 Abs. 13 DA darf ein Dateninhaber nicht-personenbezogene Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen.

Außerdem enthält die Norm Nutzungseinschränkungen zum Schutz der Wettbewerbsposition des Nutzers: Beispielsweise darf der Dateninhaber die Daten nicht verwenden, um Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers zu erlangen.

5. Herausgabe der Daten an Dritte

Dritten gibt der Data Act keinen eigenen Anspruch auf Datenherausgabe. Nutzer haben jedoch nach Art. 5 Abs. 1 DA einen Anspruch auf zur Verfügung Stellung von Daten an einen Dritten, welchen der Dritte im Namen des Nutzers geltend machen kann.

Wie Art. 4 DA für den Anspruch auf Bereitstellung an den Nutzer enthält auch Art. 5 DA für den Anspruch auf Herausgabe an den Dritten Einschränkungen in Bezug auf Geschäftsgeheimnisse und personenbezogene Daten Dritter. (Mehr zur Abwehr von Datenzugangsverlangen.)

Eine Ausnahme sieht Art. 5 Abs. 3 für sogenannte „Torwächter“ (engl. Gatekeeper) gemäß Artikel 3 der Verordnung (EU) 2022/1925 vor. Sie sind keine zugelassenen Dritten im Sinne des Art. 5 DA.

Der Dateninhaber hat die Daten dem Dritten für den Nutzer, nicht jedoch für den Dritten, unentgeltlich zur Verfügung zu stellen. Vom Dritten kann der Dateninhaber eine angemessene Vergütung nach den Vorgaben des Art. 9 DA verlangen.

6. Die „AGB Kontrolle“ des Data Act

Art. 13 DA führt eine Art eigenes „AGB-Recht“ für Datenzugangs- und Datennutzungsklauseln ein. Art. 13 DA Abs. 4 listet Klauseln auf, die unwiderleglich als missbräuchlich gelten, während Art. 13 Abs. 5 DA Klausel aufführt, die widerleglich als missbräuchlich gelten. Diese Unterscheidung wird leider in der insoweit missglückten deutschen Sprachfassung nicht deutlich. Sie ergibt sich aus der englischen Sprachfassung („shall be unfair“ in Abs. 4 vs „shall be presumed to be unfair“ in Abs. 5) und aus Erwägungsgrund 62.

Gewöhnungsbedürftig ist Art. 13 Abs. 6 DA: Danach findet die „AGB-Kontrolle“ des Art. 13 DA nur auf Vertragsklauseln Anwendung, die erfolglos verhandelt wurden. Demnach kann der Verwender einer Anwendung des Art. 13 DA entkommen, wenn eine Klausel entweder gar nicht verhandelt wurde oder aber der Klauselgegner im Zuge der Verhandlung auf den Inhalt der Klausel Einfluss nehmen konnte. Für beide Szenarien legt der Der Data Act jedoch dem Verwender die Beweislast auf. Da vor allem die Führung eines Negativbeweises über das Nichtstattfinden einer Verhandlung in der Praxis schwierig sein wird, spricht insoweit viel für eine sekundäre Darlegungslast des Klauselgegners.5

Nach Art. 50 DA gilt die AGB-Kontrolle des Data Act für sämtliche Verträge, die nach dem 12.09.2025 geschlossen werden. Ab dem 12.09.2027 gilt sie auch für Verträge, die am oder vor dem 12.09.2025 geschlossen wurden, sofern sie unbefristet sind oder ihre Geltungsdauer frühestens 10 Jahre nach dem 11.01.2024 endet.

7. Interoperabilität

Kapitel VIII des Data Acts regelt Pflichten zur Schaffung von Interoperabilität:

Art. 33 DA verpflichtet Teilnehmer an Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten, zur Erfüllung verschiedener Interoperabilitätsanforderungen, wobei insbesondere eine hinreichende Dokumentation gefordert wird.

Art. 34 und 35 DA befassen sich mit der Interoperabilität von Datenverarbeitungsdiensten.

8. Wechsel zwischen Datenverarbeitungsdiensten

Kapitel VI DA trifft Regelungen zum Wechsel zwischen Datenverarbeitungsdiensten.

Art. 23 DA verbietet es Anbietern von Datenverarbeitungsdiensten, Kunden Hindernisse für den Wechsel zu einem anderen Datenverarbeitungsdienst oder zu einer Informations- und Kommunikationstechnologie-Infrastruktur6 in eigenen Räumlichkeiten aufzuzwingen.

Nach Art. 25 Abs. 1 DA müssen Anbieter von Datenverarbeitungsdiensten die Rechte des Kunden und Pflichten des Anbieters in Bezug auf einen solchen Wechsel in einem schriftlichen Vertrag festlegen.

Art. 25 Abs. 2 DA regelt Mindestinhalte dieses Vertrags, Art. 26 DA enthält weitere Informationspflichten. Art. 29 DA verbietet schrittweise die Erhebung von Wechselentgelten.

9. Anforderungen an Smart Contracts (Intelligente Verträge)

Art. 36 DA stellt Anforderungen an die Anbieter von Smart Contracts und an Personen, die Smart Contracts im Zusammenhang mit der Ausführung einer Datenbereitstellungsvereinbarung für Dritte einsetzen. Diese Adressaten des Art. 36 DA müssen sicherstellen, dass die eingesetzten Smart Contracts bestimmte, in Art. 36 Abs. 1 DA näher definierte, Anforderungen erfüllen.

Kontrovers ist insbesondere Art. 36 Abs. 1 b) DA, wonach es möglich sein muss, Smart Contracts zu stoppen und zurückzusetzen. Denn die Unveränderlichkeit in Gang gesetzter Abläufe wird häufig als ein typisches Charakteristikum jedenfalls von auf einer Blockchain laufenden Smart Contracts gesehen.7

10. Sanktionen

Nach Art. 40 Abs. 1 DA haben die Mitgliedstaaten Vorschriften mit wirksamen, verhältnismäßigen und abschreckenden Sanktionen zu erlassen.

Für Verstöße gegen die Vorschriften zur Bereitstellungen von Daten (Kapitel II, III und V des Data Act) sieht Art. 40 Abs. 4 DA die entsprechende Anwendung der Bußgeldvorschriften des Art. 83 DSGVO vor, so dass Geldbußen von bis zu 20.000.000 EUR oder von bis zu 4 % des weltweit erzielten Jahresumsatzes verhängt werden können, je nachdem, welcher Betrag höher ist.

  1. Volltext des Data Act abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32023R2854. ↩︎
  2. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de. ↩︎
  3. Erwägungsgrund 5 des Data Acts, abrufbar unter https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.pdf?__blob=publicationFile ; https://digital-strategy.ec.europa.eu/en/news/european-data-act-enters-force-putting-place-new-rules-fair-and-innovative-data-economy. ↩︎
  4. https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-data-strategy_de. ↩︎
  5. Ebenso Schreiber/Pommering/Schoel, Der neue Data Act mit Data Governance Act, 2. Auflage 2024, § 5 Rn. 12. ↩︎
  6. Der Gesetzeswortlaut spricht von einer „IKT-Infrastruktur in eigenen Räumlichkeiten“. „IKT“ steht für „Informations- und Kommunikationstechnologie“, vgl. etwa Erwägungsgrund 22. ↩︎
  7. Zu dieser Kontroverse u.a. https://www.dlnews.com/articles/regulation/eu-passes-data-act-critics-fear-may-drive-defi-out-of-europe/ ; https://coingeek.com/does-the-eu-data-act-pose-a-threat-to-smart-contracts-here-what-you-need-to-know/. ↩︎