Von Fitnessarmbändern über smarte Haushaltsgeräte und Autos bis hin zu industriellen Fertigungsanlagen - sie alle sammeln oder generieren Nutzungs- und Umgebungsdaten, die sie weiter übermitteln. Oftmals sind die Daten den Herstellern dieser vernetzten Geräte vorbehalten, und laut Information der Europäischen Kommission werden 80 Prozent der Industriedaten nie genutzt. Dabei könnte das Heben dieses riesigen Datenschatzes beispielsweise für das Training von künstlicher Intelligenz (KI), innovative Entwicklungen oder eine optimierte Produktwartung von großem Wert sein. Der Abbau von rechtlichen, wirtschaftlichen und technischen Hindernissen, die der gemeinsamen Nutzung solcher Daten im Wege stehen, ist daher auch ein Kernanliegen der europäischen Datenstrategie.
Der hierfür auf den Weg gebrachte Data Act (DA), die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datenverordnung)“, wurde am 22. Dezember 2023 im EU-Amtsblatt veröffentlicht. Die DA-Vorgaben werden im Wesentlichen ab dem 12. September 2025 gelten. Hersteller vernetzter Produkte und Anbieter der damit verbundenen Software sollten diese Zeit unbedingt zur Vorbereitung auf die neue Rechtslage nutzen.
Wesentliche Inhalte
Der Data Act gibt Verbraucher:innen und Unternehmen, die ein vernetztes Produkt kaufen, mieten oder leasen, die Möglichkeit, sicheren Zugriff auf die Daten zu erhalten, die von dem Produkt bzw. den damit verbundenen Diensten generiert oder gesammelt werden. Dies geht deutlich über das aus der EU-Datenschutz-Grundverordnung (DSGVO) bekannte Recht auf Kopie hinaus. Denn einerseits umfasst der Anwendungsbereich des Data Acts neben personenbezogenen auch nicht-personenbezogene Daten. Andererseits soll der (Roh-)Datenzugriff in Echtzeit und gegebenenfalls kontinuierlich für Nutzende und auf deren Wunsch auch für Dritte möglich sein. Neue vernetzte Produkte und damit verbundene Dienste müssen zukünftig sogar bereits so konzipiert und entwickelt werden, dass die Daten für die Nutzenden einfach und direkt zugänglich sind („Access by Design“). Nennenswerte Erleichterungen gibt es grundsätzlich nur für kleine und Kleinstunternehmen.
Barbara Scheben
Partner, Head of Forensic, Head of Data Protection
KPMG AG Wirtschaftsprüfungsgesellschaft
Den Herstellern werden zudem bestimmte Transparenz- und Informationspflichten auferlegt, beispielsweise über den Umfang und die Art der generierten Daten und darüber, wie Nutzende darauf zugreifen und sie Dritten zugänglich machen können. Darüber hinaus enthält der Data Act zahlreiche Vorgaben für die Ausgestaltung diesbezüglicher Vertragsklauseln. Zukünftig wird die Kommission auch entsprechende Mustervertragsklauseln bereitstellen.
Soweit es sich um personenbezogene Daten handelt, tritt der Data Act neben die Datenschutzbestimmungen der DSGVO, lässt diese unberührt und schafft insbesondere keine neue Rechtsgrundlage für die Verarbeitung. Die konkreten Datenbereitstellungspflichten des Data Acts hängen daher unter anderem von der Frage ab, inwiefern die Daten auf bestimmte Personen bezogen sind. Beim Schutz von Geschäftsgeheimnissen sieht der Data Act ein abgestuftes System von technischen, vertraglichen und organisatorischen Schutzmaßnahmen vor. Eine Verweigerung der Datenherausgabe zwecks Geschäftsgeheimnisschutz wird jedoch nur ausnahmsweise und nur nach Meldung an die zuständige Behörde zulässig sein.
Daneben enthält der Data Act auch neue technische, organisatorische und vertragsbezogene Vorgaben für Datenverarbeitungsanbieter (insbesondere Cloud- oder Edge-Dienste), die vor allem einen einfachen Anbieterwechsel ermöglichen und nicht-personenbezogene Daten vor einem Zugriff durch Drittstaaten-Behörden schützen sollen.
Ausblick
Der Data Act wird ab dem 12. September 2025 unmittelbar in allen EU-Mitgliedsstaaten anwendbar sein, ohne dass es noch einer Umsetzung in nationales Recht bedarf. Grundsätzlich werden die Vorgaben auch für Alt-Produkte und Alt-Datenbestände gelten. Ähnlich wie die DSGVO gilt er unter bestimmten Umständen auch für nicht europäische Unternehmen (Marktortprinzip) und sieht für Verstöße Bußgelder von bis zu 4 Prozent des weltweiten (Konzern-)Jahresumsatzes vor.
Zur Einhaltung der neuen Vorgaben sollten sich betroffene Unternehmen auf teils sehr umfangreiche Vorarbeiten einstellen, etwa in Bezug auf die genaue Erfassung und Klassifizierung der betroffenen Daten, technische und organisatorische Fragen der Datenbereitstellung, Daten- und Geschäftsgeheimnisschutz, Sicherheitskonzepte, Vertragsgestaltung und Transparenzpflichten. Auch wenn hierbei teilweise auf Maßnahmen zur Umsetzung anderer Gesetze, wie der DSGVO oder des Geschäftsgeheimnisgesetzes, aufgebaut werden kann, ist die Übergangsfrist angesichts des zu erwartenden Umsetzungsaufwands recht knapp bemessen. Deshalb sollten betroffene Unternehmen hier keine Zeit verlieren.
Die Expert:innen von KPMG stehen Ihnen bei Fragen hierzu gern zur Verfügung.
¹ In engen Grenzen ist darüber hinaus auch ein Zugriffsrecht für öffentliche Stellen vorgesehen, jedoch nur unter außergewöhnlichen Umständen, wie etwa im Falle von Naturkatastrophen (vgl. Art. 14 ff. DA).
² Vgl. Art. 15 Abs. 3 DSGVO.
³ Das heißt für Unternehmen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz bzw. Jahresbilanz 10 Mio. Euro nicht übersteigt (die Ausnahme gilt jedoch nicht, wenn das betreffende Unternehmen ein Partnerunternehmen oder ein verbundenes Unternehmen hat, das nicht als Klein- oder Kleinstunternehmen gilt, oder wenn das betreffende Unternehmen mit der Herstellung oder Entwicklung der relevanten Produkte bzw. Erbringung der relevanten Dienste unterbeauftragt wurde), Art. 7 Abs. 1 S. 1, Art. 2 Nr. 25 und 26 DA i. V. m. Art. 2 Anhang zur Empfehlung 2003/361/EG. Für mittlere Unternehmen (weniger als 250 beschäftigte Personen und ein Jahresumsatz von unter 50 Mio. Euro bzw. eine Jahresbilanz von unter 43 Mio. Euro) gelten entsprechende Erleichterungen nur dann, wenn sie die Qualifikationsschwelle zum mittleren Unternehmen erst vor weniger als einem Jahr überschritten haben oder wenn das betreffende Produkt eines mittleren Unternehmens seit weniger als einem Jahr auf dem Markt ist, Art. 7 Abs. 1 S. 2 DA i. V. m. Art. 2 Anhang zur Empfehlung 2003/361/EG.
⁴ Eine Ausnahme besteht für die „Access by Design“-Verpflichtung: diese gilt erst für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht wurden, Art. 50 DA.