Warum gibt es die neuen Datenzugangsregeln?
In den vergangenen Jahren hat die Bedeutung von datengetriebenen Technologien in allen Wirtschaftsbereichen stark zugenommen. Hierdurch hat sich der Umfang und der potenzielle Wert von Daten für Verbraucher, Unternehmen und Gesellschaft weiter erhöht. Allerdings verhindern zahlreiche Hindernisse bei der Datennutzung und -weitergabe eine optimale Verteilung der Daten zum Nutzen aller Beteiligten.
Die neuen Vorgaben des Data Act zielen darauf ab, einen zuverlässigen und sicheren Zugang zu Daten (insbesondere zu Daten aus über das Internet vernetzten sogenannten IoT-Geräten – Internet of Things) sowie eine breitere Nutzung von Daten in allen Wirtschaftssektoren der Europäischen Union zu ermöglichen. Demnach stellt der Data Act vor allem die Chancen der Nutzung von Daten in den Fokus. Um diese Ziele zu erreichen, wurde ein harmonisierter Rahmen in Europa geschaffen, der festlegt, wer unter welchen Bedingungen berechtigt ist, Produktdaten und verbundene Dienstdaten zu nutzen und weiterzugeben.
Der Data Act soll sicherstellen, dass die Nutzer vernetzter Produkte und verbundener Dienste zeitnah auf ihre Daten zugreifen können, die bei der Nutzung generiert werden. Diese Möglichkeit lag in der Vergangenheit meistens exklusiv bei den Herstellern beziehungsweise Anbietern. Der Data Act bricht diese Logik auf. Dateninhaber sind nun verpflichtet, die Daten den Nutzern bereitzustellen und auf Verlangen des Nutzers auch an Dritte weiterzugeben. Die Datenbereitstellung muss dabei unter fairen, angemessenen und nichtdiskriminierenden Bedingungen und auf transparente Weise erfolgen.
Im Ergebnis soll ein Binnenmarkt für Daten entstehen, in dem Daten frei fließen können. Dies soll die Wirtschaft stärken und Innovationen fördern. Von den so entstehenden neuen Produkten und Dienstleistungen sollen sowohl Unternehmen als auch Verbraucher profitieren können.
Was sind vernetzte Produkte und verbundene Dienste?
Vernetzte Produkte sind Gegenstände, die Daten über ihre Nutzung, Leistung oder Umgebung erfassen (insbesondere über Sensoren) und die diese Produktdaten über einen kabelbasierten oder kabellosen Zugang übermitteln können (beispielsweise über eine Internetverbindung wie WLAN oder 5G oder einen anderen Zugang wie einen USB-Anschluss oder eine NFC-Schnittstelle). Unter die Begriffsdefinition fallen vor allem solche Produkte, die häufig als Internet der Dinge (IoT) bezeichnet werden und über das Internet Daten austauschen.
Vernetzte Produkte kommen in allen Bereichen der Wirtschaft und Gesellschaft vor, einschließlich Infrastrukturen, Fahrzeugen, Schiffen, Luftfahrzeugen, Lifestyle-Ausrüstung, Haushaltsgeräten und Konsumgütern, Medizin- und Gesundheitsprodukten oder landwirtschaftlichen und industriellen Maschinen und Anlagen.
Ein verbundener Dienst ist mit dem vernetzten Produkt verbunden und beeinflusst dessen Funktionsweise, etwa durch die Übermittlung von Daten oder Befehlen. Dementsprechend findet ein bidirektionaler Datenaustausch zwischen dem vernetzten Produkt und dem verbundenen Dienst statt. Dienste, die ausschließlich Daten auslesen können, sind nicht erfasst.
Beispiele für vernetzte Produkte
Vernetzte Produkte existieren beispielswiese in folgenden Produktkategorien: Smarte Haushaltsgeräte (wie Kühlschränke, Feuermelder, Türschlösser), Smarte Elektronik (wie Fernseher, Smartwatches), vernetzte Fahrzeuge (wie Pkw, Luftfahrzeuge), virtuelle Assistenten (die mit vernetzten Produkten oder verbundenen Diensten interagieren), medizinische Geräte (unter anderem Überwachung, Diagnostik), vernetze Industriemaschinen und anlagen (wie Roboter, Windanlagen, Pumpen, Landmaschinen) und viele mehr. Ausgenommen sind Produkte, deren Hauptfunktion die Speicherung, Verarbeitung, Anzeige oder Übertragung von Daten ist (wie beispielsweise Server und Router) sowie Prototypen.
Beispiele für verbundene Dienste
Hierzu zählen solche Dienste, die ein vernetztes Produkt in einer bestimmten Weise beeinflussen, wie beispielsweise eine App, die Lichteinstellungen oder die Temperatur eines smarten Kühlschranks steuern kann oder eine App für Smartwatches, die Sportaktivitäten aufzeichnet und auswertet.
Wann gelten die neuen Datenzugangs- und Datennutzungsregeln?
Ab dem Geltungsbeginn des Data Act am 12. September 2025 können Nutzerinnen und Nutzer vernetzter Produkte und verbundener Dienste Ansprüche auf Datenzugang und Datenweitergabe nach dem Data Act geltend machen.
Wann fällt ein vernetztes Produkt in den räumlichen Anwendungsbereich des Data Act?
Alle Produkte und damit verbundenen Dienstleistungen, die in der Europäischen Union in Verkehr gebracht werden, müssen den Regelungen des Data Acts entsprechen. Es gilt das Marktortprinzip.
Das „Inverkehrbringen“ ist die erstmalige Bereitstellung eines vernetzten Produkts auf dem Unionsmarkt. Bereitstellung meint die dauerhafte oder vorübergehende Übertragung beziehungsweise Einräumung von Eigentums- und Nutzungsrechten insbesondere durch Kauf-, Miet- oder Leasingverträge. Wird ein Produkt vom Hersteller beispielsweise erstmals nach der Herstellung an einen Nutzer in der Europäischen Union verkauft oder vermietet, gilt das vernetzte Produkt als in der Europäischen Union in Verkehr gebracht.
- Ein vernetztes Produkt kann nur einmalig Inverkehr gebracht werden.
- Das Inverkehrbringen bezieht sich auf jedes individuelle Produkt, nicht auf einen Produkttyp.
- Für vernetzte Produkte, die in der Europäischen Union in Verkehr gebracht wurden, aber in Drittländern genutzt werden, müssen sowohl die in Europa als auch die außerhalb Europas generierten Daten verfügbar gemacht werden. Die Herausgabe können allerdings nur Nutzer verlangen, die in der Europäischen Union ansässig sind. Beispielsweise sind für ein Flugzeug einer europäischen Fluglinie auch die Daten herauszugeben, die bei einer Nutzung in Drittländern außerhalb der Europäischen Union entstehen.
- Nicht eingeschlossen sind beispielsweise Produkte, die in einem Drittland gekauft und in die Europäische Union importiert werden oder Produkte, die in der Europäischen Union für den Export produziert werden und außerhalb der Europäischen Union in Verkehr gebracht werden. Daher gilt beispielsweise eine in den USA gekaufte Smartwatch, die nachträglich in die Europäische Union gebracht wird, als in den USA in Verkehr gebracht.
Was gilt, wenn ein vernetztes Produkt weiterverkauft wird?
Der Data Act unterscheidet nicht zwischen Erst- und Folgenutzungen (second-hand). Ein Anspruch auf Datenzugang besteht für die Nutzerinnen und Nutzer unabhängig davon, ob sie Erstnutzer sind. Es gilt auch hier: Das vernetzte Produkt muss erstmalig in der Europäischen Union in Verkehr gebracht worden sein und der Nutzer beziehungsweise die Nutzerin oder der Datenempfänger beziehungsweise die Datenempfängerin muss in der Europäischen Union ansässig sein.
Für wen gelten die Vorgaben?
Der Data Act gibt Nutzerinnen und Nutzern einen gesetzlichen Anspruch auf die Bereitstellung bestimmter Daten aus vernetzten Produkten und verbundenen Diensten. Die Dateninhaber sind verpflichtet, über die zur Verfügung stehenden Produktdaten und verbundenen Dienstdaten zu informieren und diese herauszugeben. Nutzerinnen und Nutzer können die Herausgabe entweder für sich selbst einfordern oder eine Weitergabe der Daten an Dritte verlangen.
Demzufolge nimmt der Nutzer mit dem Data Act die zentrale Rolle hinsichtlich Datennutzung und Datenwertschöpfung ein. Der Dateninhaber darf die Daten nur noch auf der Grundlage eines Vertrags mit dem Nutzer verwenden. Zudem dürfen weiteren Datenempfängern Daten nur auf der Grundlage eines Vertrages mit dem Nutzer zur Verfügung gestellt werden.
Der Data Act umfasst alle privaten und gewerblichen Akteure (also sowohl Verbraucherinnen und Verbraucher als auch Unternehmen), die vernetzte Geräte oder verbundene Dienste nutzen oder anbieten. Dazu zählen:
- Nutzer (privat, gewerblich und öffentlich): Eine natürliche oder juristische Person, die ein (zeitlich begrenztes) Nutzungsrecht an einem vernetzten Produkt besitzt (insbesondere durch Eigentum, Miete oder Leasing) oder die einen damit verbundenen Dienst nutzt. Die Rechte des Data Act gelten nur für Nutzer, die in der Europäischen Union ansässig sind.
- Dateninhaber (insbesondere Hersteller): Eine natürliche oder juristische Person, die über Produktdaten oder verbundene Dienstdaten verfügen kann. Entscheidend ist nicht, wer einzelne Komponenten herstellt (Software oder Hardware), sondern wer berechtigt oder verpflichtet ist, Daten zu nutzen oder bereitzustellen. Die Nutzer und Nutzerinnen müssen im Vorfeld (beispielsweise des Kaufs) darüber informiert werden, wer Dateninhaber ist, also wer die Daten zur Verfügung stellen muss.
- Datenempfänger / Dritte: Als sogenannte Dritte beziehungsweise Datenempfänger kommen grundsätzlich beliebige natürliche oder juristische Personen in Frage, die selbst nicht Nutzer des vernetzten Gerätes oder verbundenen Dienstes sind. Also zum Beispiel Unternehmen, die im Auftrag des Nutzers und auf Basis der bereitgestellten Daten neue Anwendungen (beispielsweise Aftermarket- und Nebendienstleistungen, wie Analyse-, Reparatur- und Wartungsdienstleistungen) entwickeln sollen. Dies können grundsätzlich auch Wettbewerber des Dateninhabers sein. Allerdings ist es Dritten untersagt, die bereitgestellten Daten zur Entwicklung von Konkurrenzprodukten zu nutzen, die mit dem vernetzten Produkt im Wettbewerb stehen. Eine grundsätzliche Ausnahme besteht für Unternehmen, die als sogenannte Gatekeeper (Torwächter) im Sinne des Digital Markets Act (DMA) benannt sind. Solche Unternehmen dürfen aufgrund ihrer marktmächtigen Stellung keine Daten auf Grundlage des Data Act erhalten.
Ausnahmen für kleine- und mittlere Unternehmen
Es gibt Ausnahmen von der Pflicht zur Bereitstellung von Daten, die von vernetzten Produkten oder verbundenen Diensten generiert werden, wenn die Produkte von einem Kleinst- oder Kleinunternehmen hergestellt beziehungsweise konzipiert werden, oder wenn ein solches Unternehmen die verbundenen Dienste erbringt.
Die Größenklassen zur Einteilung von Unternehmen folgen der Empfehlung 2003/361/EG der Europäischen Kommission:
Unternehmenseinteilung| Größenklasse | Beschäftigte | Jahresumsatz/Bilanzsumme |
|---|
| Kleinstunternehmen | bis 9 | und bis 2 Mio. Euro / 2 Mio. Euro |
|---|
| Kleine Unternehmen | bis 49 | und bis 10 Mio. EUR / 10 Mio. Euro |
|---|
| Mittlere Unternehmen | bis 249 | und bis 50 Mio. EUR / 43 Mio. Euro |
|---|
| Großunternehmen | über 249 | oder über 50 Mio. EUR / 43 Mio. Euro |
|---|
Die Ausnahme gilt jedoch nicht, wenn
- das Kleinst- oder Kleinunternehmen ein „Partnerunternehmen“ hat oder Teil eines Konzernunternehmen ist, das selbst kein Kleinst- oder Kleinunternehmen ist, oder wenn
- das Unternehmen als Unterauftragnehmer mit der Herstellung oder der Konzeption des vernetzten Produkts oder der Erbringung des verbundenen Diensts beauftragt wurde.
Wird ein Kleinst- oder Kleinunternehmen zu einem mittleren Unternehmen, gilt eine Übergangsfrist von einem Jahr, bis die Datenbereitstellungspflichten des Data Act Anwendung finden.
Die Bereitstellungspflichten für mittlere Unternehmen gelten erst ein Jahr, nachdem das vernetzte Produkt in den Verkehr gebracht wurde. Eine entsprechende Privilegierung gilt nicht für Daten, die von verbundenen Diensten generiert werden.
Wann muss ich einen Vertrag schließen?
Der Data Act sieht an verschiedenen Stellen den Vertragsschluss zwischen den beteiligten Akteuren vor:
- Dateninhaber – Nutzer: Ein Dateninhaber schließt einen Vertrag mit dem Nutzer ab (z. B. Kaufvertrag, Mietvertrag, zugehöriger Dienstleistungsvertrag usw.), in dem die Rechte in Bezug auf den Zugriff, die Nutzung und die gemeinsame Nutzung der Daten festgelegt sind, die durch das verbundene Produkt oder die verbundene Dienstleistung generiert werden.
- Nutzer – Dritte: Ein Dritter verarbeitet die bereitgestellten Daten nur zu den Zwecken und unter den Bedingungen, die er mit dem Nutzer vereinbart hat und gemäß den Vorgaben über den Schutz personenbezogener Daten. Zudem muss der Dritte die Daten wieder löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden.
- Dateninhaber – Dritte: Ist im Rahmen von Geschäftsbeziehungen zwischen Unternehmen ein Dateninhaber verpflichtet, einem Datenempfänger Daten bereitzustellen, so vereinbart er mit einem Datenempfänger die Ausgestaltung für die Bereitstellung der Daten. Dabei können Dateninhaber von Dritten eine finanzielle Gegenleistung für die Datenbereitstellung verlangen.
Die Europäische Kommission beabsichtigt, Mustervertragsklauseln zum Datenzugang und zur Datennutzung zu veröffentlichen. Diese werden hier verlinkt, sobald sie verfügbar sind.
Für den Landwirtschaftssektor empfiehlt das Bundesministerium für Landwirtschaft, Ernährung und Heimat unverbindliche Musterbedingungen für Verträge über Agrardaten smarter Landmaschinen.
Müssen auch Nicht-EU Anbieter verpflichtend Daten bereitstellen?
Ja. Der Data Act gilt für alle Hersteller vernetzter Produkte, die in der Europäischen Union in Verkehr gebracht werden und für die Anbieter verbundener Dienste, unabhängig vom Ort ihrer Niederlassung, also auch für Nicht-EU Anbieter.
Die Anbieter unterliegen der Zuständigkeit des Mitgliedstaats, in dem sie niedergelassen sind. Ist der Anbieter in mehr als einem Mitgliedstaat niedergelassen, so ist seine Hauptniederlassung ausschlaggebend. Ist ein Anbieter nicht in der Europäischen Union niedergelassen ist, so muss dieser einen Vertreter in einem der Mitgliedstaaten benennen.
Was gilt, wenn es mehrere Nutzer desselben Produktes gibt?
In Fällen, in denen mehrere Nutzer ein Recht zur Nutzung desselben vernetzten Produkts haben, ist eine Mehrfachnutzung möglich (sogenannte Multi-User-Szenarien). Dateninhaber sollten daher beispielsweise Mechanismen zum Datenmanagement einrichten (etwa durch die Einrichtung von Zugangsbeschränkungen, um Zugang nur zu solchen Daten zu gewähren, die den jeweiligen Nutzern tatsächlich zustehen).
Wer sind die Gatekeeper-Unternehmen im Sinne des Digital Markets Act?
Der Digital Markets Act (DMA) sorgt dafür, dass es auf Online-Plattformen fair zugeht und Raum für Bestreitbarkeit der Märkte bleibt. Dafür legt der DMA verschiedene objektive Kriterien für die Einstufung von großen Online-Plattformen als „Gatekeeper“ fest, die bestimmte Pflichten treffen. Dies sind große digitale Plattformen, die digitale Dienste („zentrale Plattformdienste“) anbieten, wie Suchmaschinen, App-Stores und Soziale Netzwerke.
Gatekeeper
- haben eine starke wirtschaftliche Position mit erheblichen Auswirkungen auf den Binnenmarkt inne und sind in mehreren EU-Ländern aktiv,
- verfügen über eine starke Vermittlungsposition, d.h. sie verbinden eine große Nutzerbasis mit einer großen Anzahl von Unternehmen und
- haben eine gefestigte und dauerhafte Marktstellung.
Am 6. September 2023 benannte die Europäische Kommission erstmals sechs Gatekeeper: Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft.
Weitere Informationen zum DMA, den benannten Gatekeepern und den erfassten Diensten finden Sie hier.
Welche Daten müssen den Nutzern nach dem Data Act bereitgestellt werden?
Vorvertragliche Informationen:
Verkäufer, Vermieter oder Leasinggeber vernetzter Produkte und die Anbieter verbundener Dienste müssen den Umfang und die möglichen Wege des Datenzugangs in den vorvertraglichen Informationen zum vernetzten Gerät beziehungsweise verbundenen Dienst darstellen („Transparenzverpflichtung“), beispielsweise zu Art, Format und geschätztem Umfang der Produktdaten.
Art der Datenbereitstellung:
Produktdaten und verbundene Dienstdaten müssen jeweils einschließlich der dazugehörigen Metadaten für den Nutzer einfach, sicher, unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar - möglichst in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitgestellt werden. Dies gilt grundsätzlich auch, wenn der Nutzer die Herausgabe der Daten an einen Dritten verlangt.
Wege der Datenbereitstellung:
Dateninhaber sind verpflichtet, Produktdaten und verbundene Dienstdaten für Nutzer (beziehungsweise Dritte) direkt („access by design“) oder indirekt zugänglich zu machen:
- Direkter Zugang: Wird ein direkter Datenzugang ermöglicht, sind vernetzte Produkte so zu konzipieren, dass die Daten direkt von einem Datenspeicher auf dem Gerät (über eine Schnittstelle, wie Kabel, Bluetooth oder Ähnliches) oder über einen Server (beispielsweise über ein digitales Interface) zugänglich gemacht werden. Der Nutzer hat dann die Möglichkeit, direkt auf die Daten des Produkts zugreifen zu können, ohne dass eine weitere beziehungsweise zusätzliche Einbindung des Dateninhabers erforderlich ist. Die Produktgestaltungspflicht gilt für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden, soweit der direkte Zugang relevant und technisch durchführbar ist.
- Indirekter Zugang: Wenn die Daten von den Nutzern (beispielsweise aus technischen Gründen) nicht direkt vom Produkt abgerufen werden können, muss der Dateninhaber einen indirekten Zugang ermöglichen. In diesem Fall muss der Nutzer Datenzugang beim Dateninhaber beantragen (zum Beispiel über ein geeignetes Webportal). Auf Verlangen des Nutzers muss der Dateninhaber auch Dritten die entsprechenden Daten bereitstellen.
Datenkategorien:
- Produktdaten: Daten, die ein vernetztes Produkt über seine Leistung, Nutzung oder Umgebung erlangt, generiert oder erhebt, beispielsweise über verbaute Sensoren. Zudem müssen die Daten aus dem Produkt auch tatsächlich abgerufen werden können.
- Verbundene Dienstdaten: Daten eines verbundenen Dienstes über Handlungen, Aktionen und Ereignisse, die in Verbindung mit der Nutzung eines vernetzten Produkts stehen.
- Ohne Weiteres verfügbare Daten: Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand erhalten kann.
Die Pflicht zur Datenherausgabe betrifft nur solche Daten, die nach Anwendungsbeginn des Data Act am 12. September 2025 erzeugt/gesammelt werden.
Welche Rolle spielt der Grad der Aufbereitung von Daten?
Rohdaten und vorverarbeitete (beziehungsweise „aufbereitete“) Daten sowie Metadaten (die zum Verständnis erforderlich sind) sind vom Data Act umfasst. Beispielsweise umfasst dies Daten, die von einem einzelnen Sensor oder einer Gruppe von Sensoren gesammelt werden wie Temperatur, Druck, Durchflussrate, Audio, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit.
Nicht eingeschlossen sind hochgradig angereicherte Daten, die eine Herleitung/Ableitung von Informationen ermöglichen, die das Ergebnis zusätzlicher Investitionen sind sowie Inhalte, die Rechten des geistigen Eigentums unterliegen. Diese Daten müssen nicht herausgegeben werden.
Müssen Geschäftsgeheimnisse herausgegeben werden?
Geschäftsgeheimnisse werden vom Data Act geschützt. Zwar sind von der Datenbereitstellungspflicht des Data Act auch Geschäftsgeheimnisse erfasst, dadurch wird der Schutz von Betriebs- und Geschäftsgeheimnissen jedoch nicht aufgehoben. Der Data Act sieht zu diesem Zweck mit der „Handbremse für Geschäftsgeheimnisse“ einen Mechanismus zum Schutz von Geschäftsgeheimnissen vor. Dieser Mechanismus gibt Bedingungen vor, unter denen ein Dateninhaber in Ausnahmefällen Geschäftsgeheimnisse zurückhalten, aussetzen oder ihre Weitergabe verweigern kann. An den bestehenden gesetzlichen Bestimmungen zum Schutz von Geschäftsgeheimnissen ändert sich dadurch nichts, beispielsweise gilt weiterhin die Richtlinie zum Schutz von Geschäftsgeheimnissen.
- Geschäftsgeheimnisse müssen bereits vorvertraglich benannt werden.
- Ein Dateninhaber hat das Recht, vor der Offenlegung seiner Daten von Nutzern und Dritten zu verlangen, dass sie die Vertraulichkeit von Geschäftsgeheimnissen wahren, indem sie erforderlichen technisch-organisatorische Schutzmaßnahmen (TOMs) zustimmen und diese umsetzen. Eine Weigerung der Datenbereitstellung ist nur im Ausnahmefall möglich, beispielsweise wenn keine Vereinbarung getroffen wird oder Nutzer/Dritte die vereinbarten Maßnahmen nicht umsetzen.
- Der Dateninhaber kann die Herausgabe beziehungsweise Weitergabe von Geschäftsgeheimnissen auch verweigern, wenn ein objektiver Nachweis dafür erbracht wird, dass die Offenlegung seiner Geschäftsgeheimnisse mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden zur Folge hätte (das heißt, ein schwerer und nicht wiedergutzumachender wirtschaftlicher Verlust entstünde).
Es handelt sich immer um Einzelfallentscheidungen. Sofern Daten zurückgehalten, ausgesetzt oder die Weitergabe verweigert wird, muss die Entscheidung des Dateninhabers einerseits gegenüber Nutzern/Dritten begründet werden und andererseits die zuständige Behörde hierüber benachrichtigt werden. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, ist vorbehaltlich der Entscheidung durch den Gesetzgeber geplant, die Bundesnetzagentur als zuständige Behörde zu bestimmen. Nutzer/Dritte werden dann das Recht haben, eine Beschwerde bei der zuständigen Behörde oder einer zugelassenen Streitbeilegungsstelle einzureichen.
Umgang mit GeschäftsgeheimnissenDateninhaber schaffen Transparenz über das Vorliegen von Geschäftsgeheimnissen
(Vorvertragliche Informationen nach Artikel 3)
|
|---|
| Müssen Geschäftsgeheimnisse bereitgestellt werden? Grundsätzlich ja |
- Dateninhaber müssen Nutzern (Artikel 4 Absatz 6) bzw. Dritten (Artikel 5 Absatz 10) über TOMs erzielt werden kann oder die TOMs nicht umgesetzt werden, kann die Datenweitergabe verweigert oder ausgesetzt werden (Begründung erforderlich)
- Aber: Dateninhaber und Nutzer bzw. Dritte vereinbaren angemessene technische und organisatorische Schutzmaßnahmen (TOM)
|
| Gibt es Ausnahmen? Ja |
Handbremse: TOMs
- Wenn keine Einigung mit Nutzern (Artikel 4 Absatz 7) bzw. Dritten (Artikel 5 Absatz 10) über TOMs erzielt werden kann oder die TOMs nicht umgesetzt werden, kann die Datenweitergabe verweigert oder ausgesetzt werden (Begründung erforderlich)
Handbremse: Schwerer wirtschaftlicher Schaden
- Wenn der Dateninhaber nachweisen kann, dass dieser trotz der vereinbarten TOMs mit dem Nutzer (Artikel 4 Absatz 8) bzw. Dritten (Artikel 5 Absatz 11) mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden durch die Offenlegung von Geschäftsgeheimnissen erleiden würde (Begründung erforderlich)
|
Müssen sicherheitsrelevante Daten herausgegeben werden?
Der Data Act sieht unter bestimmten Voraussetzungen vor, dass sicherheitsrelevante Daten vom Dateninhaber zurückgehalten werden können. Die „Sicherheits-Handbremse“ gibt vor, dass Nutzer und Dateninhaber vereinbaren können, die Weitergabe von Daten einzuschränken oder zu verweigern, wenn die Gefahr besteht, dass die Sicherheitsanforderungen des vernetzten Produkts beeinträchtigt werden, was zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder die Sicherheit von natürlichen Personen führen könnte.
Die entsprechenden Sicherheitsanforderungen müssen im EU-Recht oder im nationalen Recht verankert sein. Sektorale Fachbehörden können den Nutzern und Dateninhabern technisches Fachwissen zur Verfügung stellen, um bewerten zu können, ob Beschränkungen notwendig oder gerechtfertigt sind. Beabsichtigt der Dateninhaber die „Sicherheits-Handbremse“ zu nutzen, muss er dies der zuständigen Behörde mitteilen. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, soll vorbehaltlich der Entscheidung des Gesetzgebers die Bundesnetzagentur als zuständige Behörde festgelegt werden. Nutzer/Dritte werden dann das Recht haben, eine Beschwerde bei der zuständigen Behörde oder einer zugelassenen Streitbeilegungsstelle einzureichen.
Müssen personenbezogene Daten herausgegeben werden?
Die Datenzugangsansprüche des Data Act gelten gleichermaßen für nicht-personenbezogene Daten und für personenbezogene Daten. Die Verarbeitung personenbezogener Daten unterliegt dabei den bekannten Vorschriften der Datenschutz-Grundverordnung. Sofern personenbezogene Daten betroffen sind, muss also beispielsweise im Zuge eines Herausgabeverlangen eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO für die Verarbeitung personenbezogener Daten vorliegen. Der Data Act selbst stellt keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch den Dateninhaber dar.
Welche Rechte und Pflichten gelten hinsichtlich Datenzugang, Datenweitergabe und Datennutzung zwischen Unternehmen?
Mit dem Data Act werden verbindliche Vorgaben eingeführt für Fälle, in denen ein Unternehmen („Dateninhaber“) nach EU-Recht oder nationalem Recht gesetzlich dazu verpflichtet ist, Daten einem anderen Unternehmen („Datenempfänger“) zur Verfügung zu stellen. Dies gilt insbesondere im Zusammenhang mit Daten aus vernetzten Produkten und verbundenen Diensten.
Für alle beteiligten Akteure gelten Rechte und Pflichten hinsichtlich Datenzugang, Datenweitergabe und Datennutzung, unter anderem:
- Dateninhaber müssen – sofern eine Verpflichtung zur Datenbereitstellung besteht – mit Datenempfängern eine faire, angemessene und nicht-diskriminierende sowie transparente Ausgestaltung der Datenbereitstellung vereinbaren (sogenannte FRAND-Bedingungen).
- Es besteht ein Verbot der Anwendung missbräuchlicher Vertragsklauseln.
- Dateninhaber, die zur Weitergabe von Daten verpflichtet sind, dürfen von Datenempfängern eine „angemessene Entschädigung“ verlangen.
Was bedeutet „angemessene Gegenleistung“?
Dateninhaber können eine angemessene Gegenleistung für die Bereitstellung der Daten an einen Datenempfänger verlangen.
- Jede Gegenleistung muss diskriminierungsfrei und angemessen sein und darf eine Marge enthalten.
- Bei der Bestimmung der Gegenleistung sind die angefallenen Kosten für Bereitstellung der Daten (einschließlich der Kosten für Formatierung, Verbreitung und Speicherung) zu berücksichtigen sowie gegebenenfalls Investitionen in die Erhebung und Generierung der Daten.
- Kleinstunternehmen, KMU und gemeinnützigen Forschungseinrichtungen dürfen jedoch nicht mehr als die Kosten für die Bereitstellung der Daten in Rechnung gestellt werden.
- Dateninhaber müssen die Berechnung der Gegenleistung gegenüber Datenempfängern transparent machen.
Die Europäische Kommission beabsichtigt, Leitlinien zur Berechnung der angemessenen Gegenleistung zu veröffentlichen. Diese werden hier verlinkt, sobald sie verfügbar sind.
Was kann ich machen, wenn es Probleme gibt?
Auf welchen Wegen kann ich mich beschweren, wenn ich der Ansicht bin, dass meine Rechte nach Data Act verletzt werden?
Zunächst sollte der Kontakt zu den relevanten Akteuren gesucht werden, um die Frage oder das Problem zu lösen. Wenn dies nicht gelingt, kann - sobald der Bundesnetzagentur vom Gesetzgeber die Zuständigkeit für die Anwendung und Durchsetzung des Data Act übertragen wird - eine Beschwerde bei der Bundesnetzagentur eingereicht werden, eine Streitbeilegungsstelle aufgesucht oder der Zivilrechtsweg beschritten werden. Streitbeilegungsstellen können von der Bundesnetzagentur ebenfalls erst zugelassen werden, wenn ihr die Zuständigkeit für die Anwendung und Durchsetzung des Data Act übertragen wurde.
