Digital Datenverordnung Die wichtigsten Bestimmungen des Data Act

Die wichtigsten Bestimmungen des Data Act

Welche konkreten Änderungen gibt es?

Der Data Act führt neue Rechte und Pflichten in Bezug auf den Datenzugang und die Datennutzung ein. Diese Bestimmungen wurden entwickelt, um die Datenwirtschaft gerechter, wettbewerbsfähiger und innovativer zu machen.

Im Folgenden erläutern wir die wichtigsten Elemente.

IoT-Datenaustausch (Kapitel II)

  • Was? Der Data Act stellt sicher, dass Nutzer eines vernetzten Produkts oder eines verbundenen Dienstes in der EU Zugang zu den Daten haben, die durch die Nutzung dieses vernetzten Produkts oder verbundenen Dienstes generiert werden, und dass diese Nutzer die Daten verwenden können, einschließlich der Weitergabe an Dritte (Datenempfänger) ihrer Wahl. Kapitel II gilt für personenbezogene und nicht personenbezogene Daten, mit Ausnahme des Inhalts, in Bezug auf Leistung, Nutzung und Umwelt vernetzter Produkte und verbundener Diensten (IoT - von intelligenten Fahrzeugen und Thermostaten bis hin zu industriellen Robotern und landwirtschaftlichen Maschinen, usw.).
     
  • Wie? Grundsätzlich müssen vernetzte Produkte und verbundene Diensten so konzipiert, hergestellt und erbracht werden („data access by design and by default“), dass die Produktdaten und Dienstdaten,– einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer zugänglich sind. Der Nutzer muss leicht, einfach, sicher, für den Nutzer unentgeltlich, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format Zugang zu diese Daten haben (oder, wenn relevant und technisch möglich, direkt Zugang haben). Der Dateninhaber ist auch verpflichtet, die Daten einem Dritten (Datenempfänger) auf Verlangen des Nutzers zur Verfügung zu stellen und kann in diesem Fall vom Dritten eine angemessene Gegenleistung verlangen.
     
  • Was sind die Hauptbeschränkungen für die Datenzugangrechte? 
    • Es ist Nutzern und/oder Dritten verboten, ein vernetztes Produkt zu entwickeln, das mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht. 
    • Es ist verboten, die Daten zu verwenden, um Informationen über die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden zwischen dem Nutzer und dem Inhaber sowie zwischen dem Dritten und dem Inhaber zu erhalten.
    • Für KMU sind spezifische Vorschriften oder Ausnahmen vorgesehen (siehe unten). 
    • Unternehmen, die gemäß Artikel 3 der Verordnung (EU) 2022/1925 (die sogennante „Digital Markets Act“ - „DMA“) als Torwächter („gatekeepers“) bezeichnet werden, sind keine berechtigten Dritten für die Datenzugang. 
    • Wenn der Nutzer nicht die betroffene Person, deren personenbezogene Daten angefordert werden, so werden die personenbezogenen Daten dem Nutzer und/oder dem Dritten vom Dateninhaber nur dann bereitgestellt, wenn eine gültige Rechtsgrundlage für die Verarbeitung gemäß Art. 6 der DSGVO (Verordnung (EU) 2016/679) und gegebenenfalls, wenn die in Art. 9 der DSGVO und Artikel 5 § 3 der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/CE) genannten Bedingungen erfüllt sind (z. B. durch die betroffene Person). 
    • Der Nutzer und der Dritte dürfen keine Zwangsmittel einsetzen oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur eines Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen. 
    • Für Nutzer und Dateninhaber besteht die Möglichkeit, den Zugang zu sowie die Nutzung oder die Weitergabe von Daten aus Sicherheitsgründen des vernetzten Produkts vertraglich zu beschränken („safety and security handbrake“). 
    • Es sind Maßnahmen zum Schutz der Vertraulichkeit der Geschäftsgeheimnisse (der Mechanismus von „trade secrets handbrake“) zu beachten.

Verpflichtungen in Situationen von Weitergabe zwischen Unternehmen (Kapitel III)

  • Was? Im Falle der Datenweitergabe zwischen Unternehmen, d. h. wenn ein Dateninhaber (Unternehmen) eine gesetzliche Verpflichtung hat, Daten einem Datenempfänger (Unternehmen) bereitzustellen, schreibt der Data Act die Einhaltung bestimmter Regeln vor. Kapitel III gilt für alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen. Dies eröffnet die Möglichkeit für konkurrierende Diensten von Dritten (z.B. unabhängige Reparaturbetriebe, Vergleichsanbieter, Versicherer oder innovative App-Entwickler).
     
  • Welche Bedingungen? Im Falle der Datenweitergabe zwischen Unternehmen, d. h. wenn ein Dateninhaber (Unternehmen) eine gesetzliche Verpflichtung hat, Daten einem Datenempfänger (Unternehmen) bereitzustellen, sind insbesondere folgende Regeln zu beachten: 
    • Die Bedingungen für die Datenweitergabe müssen fair, angemessen, nichtdiskriminierend und transparent sein. 
    • Die Dateninhaber, die zur Weitergabe verpflichtet sind, können mit dem Datenempfänger eine angemessene, diskriminierungsfreie und mit einer möglichen Marge verbundene Kompensation (die insbesondere die angefallene Kosten für die Bereitstellung der Daten und die Investitionen in die Erhebung und Generierung von Daten berücksichtigt) vereinbaren. Bei Datenempfängern, die KMU oder gemeinnützige Forschungseinrichtungen sind, ist die Gegenleistung auf die angefallene Kosten für die Bereitstellung der Daten beschränkt.
       
  • Schutz vor unbefugter Nutzung oder Offenlegung von Daten: Die Dateninhaber können technische Schutzmaßnahmen (intelligenter Verträge und Verschlüsselung) anwenden, um eine unbefugte Nutzung oder Offenlegung von Daten zu verhindern. Der Data Act listet auch Fälle unbefugter Nutzung oder Offenlegung auf (z.B. wenn der Datenempfänger einem Dateninhaber falsche Informationen gegeben hat, um die Daten zu erhalten, die Daten zur Entwicklung eines konkurrierenden Produkts verwendet hat, die Daten unrechtmäßig an eine andere Partei weitergegeben hat, die vom Dateninhaber angewandten technischen Schutzmaßnahmen ohne deren Zustimmung aufgehoben hat), woraufhin der Dritte/Empfänger auf Verlangen des Inhabers oder Nutzers handeln muss (z. B. die Daten löschen, den Nutzer informieren, die geschädigte Partei entschädigen). 

Missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen (Kapitel IV)

  • Was? Um zu verhindern, dass vertragliche Ungleichgewichte zwischen Unternehmen den fairen Datenzugang und die faire Datennutzung behindern, sieht der Data Act vor, dass Vertragsklauseln, die ein Unternehmen einseitig einem anderen Unternehmen auferlegt (unabhängig von der Größe), für das Unternehmen nicht bindend sind, wenn sie missbräuchlich sind. Kapitel IV gilt für alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden.
     
  • Welche Bedingungen? Gemeint sind missbräuchliche Klauseln, die folgende Bedingungen erfüllen: 
    • Sie werden von einem Unternehmen einseitig einem anderen Unternehmen auferlegt („take-it-or-leave-it“) ; 
    • Sie betreffen den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten; und
    • Sie beziehen sich auf Klauseln, deren Anwendung eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung darstellt oder gegen das Gebot von Treu und Glauben verstößt.
       
  • Beispiele: Der Data Act enthält eine „schwarze“ Liste von Klauseln, die in jedem Fall als missbräuchlich gelten (z.B. Klausel, die den Ausschluss oder die Beschränkung der Haftung für vorsätzliche oder grob fahrlässige Handlungen bezweckt oder bewirkt) und eine „graue“ Liste von Klauseln, die mutmaßlich missbräuchlich sind (z. B. Klausel, die die Hinderung der Partei bezweckt oder bewirkt, der die Klausel einseitig auferlegt wurde, daran, die von ihr während der Vertragslaufzeit bereitgestellten oder generierten Daten zu nutzen und/oder die Vereinbarung innerhalb einer angemessenen Frist zu kündigen).
     
  • Was sind die Folgen? Missbräuchliche Klauseln sind nichtig und werden aus dem Vertrag gestrichen. Die anderen Vertragsklauseln bleiben bindend, wenn die missbräuchliche Klausel von diesen anderen Klauseln getrennt werden kann.

Datenzugang durch öffentliche Stellen wegen außergewöhnlicher Notwendigkeit (B2G - Kapitel V)

In besonderen und außergewöhnlichen Situationen können die öffentlichen Stellen der Mitgliedstaaten und die EU-Organe die Bereitstellung von Daten verlangen. Dieses Kapitel gilt für alle Daten des privaten Sektors mit Schwerpunkt auf nicht-personenbezogenen Daten in Fällen außerhalb von Notfällen (Erfüllung einer bestimmten Aufgabe von öffentlichem Interesse).
 

  • Wann? 
    • Öffentliche Notständen Zum Beispiel Naturkatastrophen, Pandemien oder andere großflächige Katastrophen, bei denen Daten erforderlich sind, um angemessen zu reagieren (z. B. Geolokalisierungsdaten zur Eindämmung einer Pandemie).
    • Nicht dringende Situationen: Wenn eine öffentliche Stelle Daten benötigt, um eine bestimmte im öffentlichem Interesse ausgeübte Aufgabe zu erfüllen, die rechtlich ausdrücklich vorgesehen ist und diese Daten nicht anderweitig, schnell und wirksam beschaffen kann (z. B. Verkehrsdaten für die Stadtverkehrsplanung).
       
  • Bedingungen: Diese Anträge sind an strenge Bedingungen und Garantien geknüpft. Der Antrag muss verhältnismäßig sein, die Daten müssen erforderlich sein und die berechtigten Interessen des Unternehmens, insbesondere die Geschäftsgeheimnisse, berücksichtigt werden.
     
  • Gegenleistung: Grundsätzlich haben Unternehmen Anspruch auf eine faire Gegenleistung, der die technischen und organisatorischen Kosten deckt, die durch die Erfüllung des Verlangens entstehen, gegebenenfalls einschließlich der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge, außer im Falle eines Antrags zur Reaktion auf einen öffentlichen Notstand. Im letzteren Fall ist die Datenbereitstellung kostenlos, mit Ausnahme von Dateninhabern, die Kleinst- oder Kleinunternehmen sind, die auch im Falle eines Antrags auf Reaktion auf eine Notsituation einen faire Gegenleistung erhalten.
     
  • Ausnahme: Diese Verpflichtung gilt nicht für Kleinst- und Kleinunternehmen, außer in Notfällen.

Ermöglichung des Wechsels zwischen Cloud-Diensten und anderen Datenverarbeitungsdiensten (Kapitel VI)

Der Data Act zielt darauf ab, Bindungen an bestimmte Anbieter bei Cloud-Diensten und anderen Datenverarbeitungsdiensten zu bekämpfen und den Wettbewerb zu fördern.

 

  • Wechsel („Switching“) ermöglichen:
    • Was? Anbieter von Datenverarbeitungsdiensten (wie IaaS, PaaS, SaaS) müssen es ihren Kunden (Unternehmen und Verbraucher) sowohl auf technischer als auch auf vertraglicher Ebene ermöglichen, ihre Daten und Anwendungen an einen anderen Anbieter oder an ihre alten Systeme (vor Ort) zu übertragen.
    • Abschaffung von Wechselentgelten: Eventuelle Entgelten, die Kunden für den Wechsel zahlen müssen, müssen innerhalb einer festgelegten Frist (maximal drei Jahre nach Inkrafttreten des Data Act) vollständig abgeschafft werden. Nur Kosten, die direkt während der Wechselsperiode anfallen, können noch angerechnet werden.
    • Vertragliche Klarheit: Die Verträge müssen klare Informationen über den Wechselprozess und den verfügbaren Unterstützung enthalten.
       
  • Interoperabilität:
    • Anbieter müssen bestimmte offene Interoperabilitätsspezifikationen und europäische Normen erfüllen, um die Übertragbarkeit von Daten und Anwendungen zwischen verschiedenen Diensten zu verbessern.

Staatlicher Zugang und staatliche Übermittlung nicht-personenbezogener Daten (Kapitel VII)

Mit dem Data Act werden Garantien eingeführt, um zu verhindern, dass in der EU gespeicherte nicht personenbezogene Daten auf unrechtmäßige Weise in Drittländer übertragen oder aus ihnen zugänglich gemacht werden, und zwar in ähnlicher Weise wie der durch die DSGVO gewährte Schutz in Bezug auf personenbezogene Daten.

 

  • Was? Die Datenverarbeitungsdienstleister müssen alle angemessenen technischen, organisatorischen und rechtlichen Maßnahmen ergreifen, um einen solchen unrechtmäßigen Zugang oder eine solche unrechtmäßige Übermittlung zu verhindern.
  • Transparenz: Es muss Transparenz darüber geben, wo die Daten verarbeitet werden.
  • Ausnahmen: Die Übermittlung ist möglich, wenn eine internationale Übereinkunft (z. B. Angemessenheitsentscheidung) oder wenn geeignete Garantien angeboten werden.

Förderung der Interoperabilität (Kapitel VIII)

Um den Datenfluss innerhalb der EU zu optimieren und die Entwicklung sektoraler Datenräume zu unterstützen, enthält der Data Act Bestimmungen zur Interoperabilität.
 

  • Wesentliche Anforderungen: Die Europäische Kommission kann wesentliche Anforderungen an die Interoperabilität von Daten, von Mechanismen und Diensten für die Datenweitergabe, sowie von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie intelligenten Verträgen festlegen.
  • Normung: Die Entwicklung europäischer Normen, die diese Interoperabilität unterstützen, wird gefördert.

Nach oben