Der European Data Act ist eine europäische Verordnung, die am 11.01.2024 in Kraft getreten ist und nach Ablauf ihrer aktuell laufenden Umsetzungsfrist für die im persönlichen Anwendungsbereich der Verordnung fallenden Wirtschaftsakteure ab dem 12.09.2025 ihre Wirksamkeit entfaltet.
Geleitet von der Erkenntnis, dass Daten eine entscheidende Ressource in der digitalisierten Welt sind, hat der Europäische Gesetzgeber Daten als ein wichtiges Wirtschaftsgut anerkannt, das nur durch umfassenden Zugang effektiv genutzt werden kann. Dieser Grundgedanke liegt dem European Data Act zugrunde, der bestimmt, welche Akteure auf dem Wirtschaftsmarkt aus Daten einen Wert schaffen können, und der harmonisierte Regeln für den fairen Zugang zu Daten und deren Nutzung im wirtschaftlichen Sinne vorsieht.
Inhaltsübersicht
Ziele des Europäischen Data Acts
Förderung des Datenzugangs und der Datennutzung
Er soll sicherstellen, dass mehr Daten zur Verfügung stehen, sowohl für private als auch für öffentliche Akteure, um Innovation und Wettbewerb zu fördern.
Rechtsklarheit und Vertrauen schaffen
Der European Data Act soll klare Regeln für den Zugang und die Nutzung von Daten festlegen, um Unsicherheiten zu beseitigen und das Vertrauen der Unternehmen und Verbraucher in die Datenwirtschaft zu stärken.
Förderung von Fairness und Wettbewerb
Durch den Abbau von Hindernissen für den Datenzugang und die Datennutzung soll der European Data Act eine gerechtere Wettbewerbslandschaft schaffen, insbesondere für kleine und mittelständische Unternehmen (KMU).
Ziel der Europäischen Kommission ist es auch, die Hindernisse für einen wirksamen Wechsel zwischen Datenverarbeitungsdiensten zu senken. Die Erleichterung des Datenübergangs soll den Wettbewerb zwischen Anbietern steigern und neue Marktteilnehmer ermöglichen.
Die Verordnung ist in diesem Bereich sehr umfassend ausgestaltet und soll alle SaaS-, Iaas-, Paas-Anbieter erfassen. Datenverarbeitungsdienstleister wird es in Zukunft untersagt für den Wechsel zu einem anderen Dienstleister ein Wechselentgelt zu verlangen.
Ferner haben sie eine Informationspflicht über das Wechselverfahren und die Datenerhebung gegenüber dem Nutzer. Im Vertrag mit dem Kunden ist eine verpflichtende Klausel einzubauen zu den Rechten des Kunden und Pflichten des Anbieters von Datenverarbeitungsdiensten. So soll eine lückenlose Information des Nutzers gewährleistet werden.
Interoperabilität und Datenaustausch erleichtern
Der European Data Act zielt darauf ab, technische Standards und Protokolle zu fördern, die den Austausch und die Nutzung von Daten über verschiedene Systeme und Sektoren hinweg erleichtern.
Datensouveränität gewährleisten
Es sollen Mechanismen geschaffen werden, die sicherstellen, dass Nutzer die Kontrolle über ihre Daten behalten und bestimmen können, wie diese verwendet werden.
Innovation und Wirtschaftswachstum fördern
Durch den verbesserten Zugang zu Daten und die Förderung neuer datengetriebener Geschäftsmodelle soll der European Data Act das Wirtschaftswachstum und die Innovationskraft der EU stärken.
Hauptziele der Europäischen Kommission sind die Förderung des Datenzugangs und der Datennutzung, Erleichterung des Datenübergangs sowie Hindernisse für einen wirksamen Wechsel zwischen Datenverarbeitungsdiensten zu senken.
Die Erleichterung des Datenübergangs soll den Wettbewerb zwischen Anbietern steigern und neue Marktteilnehmer ermöglichen.
Anwendungsbereich
In persönlicher Hinsicht richtet sich die neue Datenverordnung an Hersteller und Händler von vernetzten Produkten, an Anbieter von verbundenen Diensten sowie an Datenverarbeitungsdienste.
Ausgenommen vom persönlichen Anwendungsbereich der Datenverordnung sind lediglich die sog. Klein- und Kleinstunternehmen. Dabei ist ein kleines Unternehmen ein Unternehmen, das weniger als 50 Mitarbeiter und einen Jahresumsatz oder eine Jahresbilanz von maximal 10 Millionen € hat, und ein Kleinstunternehmen ein Unternehmen, das weniger als 10 Mitarbeiter und einen Jahresumsatz oder eine Jahresbilanz von maximal 2 Millionen € hat.
Für die mittelgroßen Unternehmen (Unternehmen mit weniger als 250 Mitarbeitern und entweder ein Jahresumsatz von nicht mehr als 50 Millionen € oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen €) und bei Produkten, die vor weniger als einem Jahr in den Verkehr gebracht wurden, gewährt der European Data Act eine Karenzzeit von einem Jahr.
Sachlich reguliert der European Data Act sowohl den Zugang auf personenbezogene als auch auf nicht-personenbezogene Daten, die durch die Nutzung von einem vernetzten Produkt generiert werden. Im Sinne von Art. 2 Nr. 1 DA ist dabei unter Daten jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material zu verstehen.
Ein vernetztes Produkt ist ein körperlicher Gegenstand, der Daten über seine Verwendung oder Umgebung sammelt, erzeugt oder erhält und in der Lage ist, die Produktdaten
- über eine physische Verbindung,
- über einen On-device Zugang oder
- über einen elektronischen Kommunikationsdienst zu übermitteln
Die Hauptfunktion des Produktes darf dabei nicht die Speicherung, Verarbeitung oder Übermittlung von Daten im Auftrag einer anderen Partei als des Nutzers sein. Darunter fallen unter anderem die folgenden Produkte:
- Fahrzeuge, Schiffe, Flugzeuge
- Haushaltsgeräte und Konsumgüter
- Medizinische Geräte und Lifestyle-Geräte
Datenzugangsberechtigte nach dem European Data Act und ihre Rechte
Der European Data Act verleiht dem sog. „Nutzer“ eine Reihe von Rechten, um den Zugang zu und die Kontrolle über die Daten zu verbessern. Der Begriff des Nutzers ist in Art. 2 Nr. 12 DA legal definiert. Demnach sind Nutzer alle natürlichen oder juristischen Personen, die ein sogenanntes „vernetztes Produkt“ besitzen, denen vertraglich Nutzungsrechte übertragen wurden oder die einen „verbundenen Dienst“ in Anspruch nehmen.
Recht auf Zugang zu Daten
Nutzer haben das Recht, Zugang zu den Daten zu erhalten, die von Geräten erzeugt werden, die sie besitzen, leasen oder mieten. Dies schließt sowohl persönliche als auch nicht-personenbezogene Daten ein.
Recht auf Datenübertragbarkeit
Nutzer können ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten und diese Daten ohne Behinderung von einem Anbieter an einen anderen übertragen.
Recht auf faire Vertragsbedingungen
Der European Data Act soll sicherstellen, dass Verträge über den Zugang zu und die Nutzung von Daten fair und transparent sind, insbesondere für kleine und mittelständische Unternehmen (KMU).
Recht auf Datenweitergabe
Nutzer haben das Recht, Daten mit Dritten zu teilen, um Dienstleistungen und Innovationen zu fördern, unter der Voraussetzung, dass die Privatsphäre und Vertraulichkeit gewahrt bleiben.
Recht auf Kontrolle über Datenverwendung
Nutzer können bestimmen, wie ihre Daten verwendet werden, einschließlich der Möglichkeit, der Nutzung ihrer Daten für bestimmte Zwecke zu widersprechen.
Recht auf Schutz vor unlauterem Wettbewerb
Der European Data Act enthält weiterhin auch Maßnahmen, die verhindern sollen, dass dominante Marktakteure den Zugang zu Daten missbrauchen und dadurch unlauteren Wettbewerb fördern.
Verpflichtete aus dem European Data Act
Im Rahmen des Data Acts gibt es verschiedene Gruppen von Verpflichteten, die unterschiedlichen Pflichten unterliegen. Diese Verpflichtungen sollen sicherstellen, dass der Zugang zu Daten fair, transparent und sicher erfolgt, und gleichzeitig die Interessen der Nutzer und die Wettbewerbsfähigkeit der Wirtschaft gefördert werden. Vor diesem Hintergrund wird der European Data Act die betroffenen Akteure vor neuartige Herausforderungen stellen, wodurch eine proaktive und frühzeitige Information über die bevorstehenden Verpflichtungen von entscheidender Bedeutung ist.
Dateninhaber (Datenverantwortliche)
Dateninhaber, auch als Datenverantwortliche bekannt, sind verpflichtet, die von ihren Geräten erzeugten Daten den Nutzern zugänglich zu machen. Dies bedeutet, dass sie sicherstellen müssen, dass Nutzer einfach und direkt Zugang zu den Daten haben, die während der Nutzung der Geräte gesammelt werden.
Darüber hinaus sind sie verpflichtet, transparente und faire Vertragsbedingungen zu schaffen, die den Zugang und die Nutzung dieser Daten regeln. Dies schließt ein, dass keine missbräuchlichen Bedingungen auferlegt werden, die den Zugang zu den Daten einschränken oder unangemessene Hürden für die Nutzung dieser Daten schaffen. Der European Data Act zielt darauf ab, einen fairen und offenen Datenmarkt zu fördern, indem er sicherstellt, dass Dateninhaber den Zugang zu wertvollen Datenquellen nicht unrechtmäßig kontrollieren oder beschränken.
Dateninhaber dürfen nur leicht verfügbare, nicht personenbezogene Daten verwenden, die von ihren Geräten auf der Grundlage eines Lizenzvertrags mit dem Nutzer generiert werden (Art. 4 Abs. 13 DA). Ein Dateninhaber darf diese Daten nicht dazu verwenden, um Erkenntnisse über die wirtschaftlichen Verhältnisse, die Vermögenswerte und die Produktionsmethoden des Nutzers oder die Nutzung durch den Nutzer in einer anderen Weise zu gewinnen, die die wirtschaftliche Stellung dieses Nutzers auf den Märkten, auf denen er tätig ist, beeinträchtigen könnte.
Hersteller von vernetzten Geräten
Hersteller von vernetzten Geräten tragen die Verantwortung dafür, dass die Nutzer Zugang zu den von ihren Geräten erzeugten Daten erhalten. Diese Pflicht umfasst die kostenlose Bereitstellung der Daten in einem Format, das interoperabel ist und somit leicht von verschiedenen Systemen und Anwendungen genutzt werden kann. Dies soll sicherstellen, dass die Nutzer die Möglichkeit haben, ihre Daten für verschiedene Zwecke zu verwenden und von verschiedenen Dienstleistern profitieren zu können.
Durch die Förderung der Interoperabilität trägt der European Data Act dazu bei, einen offenen und wettbewerbsfähigen Markt für datengetriebene Dienste und Innovationen zu schaffen, bei dem die Nutzer nicht durch proprietäre Systeme eingeschränkt werden. Für die Datenbereitstellungspflicht der Hersteller ist es irrelevant, ob es sich um Daten im B2C oder B2B Bereich handelt. Daraus entsteht jedoch eine größere Herausforderung für die Hersteller im B2B Bereich. Denn durch den European Data Act wird nun eindeutig geregelt, dass die generierten Daten dem Nutzer des Produkts gehören. Dementsprechend kann ein Produkthersteller sich nicht durch AGB die gewonnenen Daten zu eigen machen. Dies bedarf nun einer separaten vertraglichen Gestaltung. Eine Einwilligung des Nutzers ist für die Arbeit mit Daten in Zukunft zwingend nötig.
Händler von vernetzten Geräten
Die Händler von vernetzten Geräten treffen eine Informationspflicht gegenüber dem Nutzer über die Art und Weise der Datenerhebung und darüber, welche Daten erhoben werden.
Diese Pflicht ist bereits vor dem Abschluss eines Kauf-/ Miet- oder Leasingvertrages zu erfüllen, sodass der künftige Nutzer eine fundierte Kaufentscheidung treffen kann. Die Informationspflichten über die Daten sind sehr weitreichend und sehr präzise darzustellen, u.a. Zugriffs- und Einflussnahmemöglichkeiten, Datenformat.
Die Information zur Geltendmachung des Datenzugangsrechts ist ähnlich einer Datenschutzerklärung auszugestalten. So tiefgreifende Informationen werden lediglich die Hersteller der Produkte liefern können.
Eine frühzeitige Zusammenarbeit mit dem Hersteller ist für den Händler demnach unerlässlich. Insbesondere ist zu beachten, dass auch vernetzte Produkte, die zwar älter sind, aber immer noch in den Verkehr gebracht werden, von dieser Informationspflicht umfasst sind.
Der Händler hat sich damit auseinanderzusetzen, welche Produkte in seinem Sortiment betroffen sein könnten. Beispielsweise ist hier an Smart Home-Produkte zu denken.
Datenempfänger (Dritte)
Datenempfänger, d.h. Dritte, die zu Zwecken, die mit ihrem Handel, Geschäft, Handwerk oder Beruf zusammenhängen, Zugang zu Daten erhalten, die nicht der Nutzer eines damit verbundenen Produkts oder einer damit verbundenen Dienstleistung sind, unterliegen strengen Datenschutz- und Datensicherheitsverpflichtungen. Sie müssen sicherstellen, dass die erhaltenen Daten ausschließlich für die vereinbarten Zwecke verwendet werden und dass die Privatsphäre und Vertraulichkeit der Daten gewahrt bleiben. Dies bedeutet, dass Datenempfänger klare und transparente Richtlinien und Prozesse implementieren müssen, um den verantwortungsvollen Umgang mit den Daten zu gewährleisten. Darüber hinaus müssen sie hohe Sicherheitsstandards einhalten, um den Schutz der Daten vor unbefugtem Zugriff und Missbrauch sicherzustellen. Diese Verpflichtungen sollen das Vertrauen in die Datenwirtschaft stärken und die Rechte der Nutzer schützen.
Öffentliche Stellen
Öffentliche Stellen haben im Rahmen des European Data Act das Recht, den Zugang zu Daten zu verlangen, wenn dies im öffentlichen Interesse liegt, beispielsweise zur Gewährleistung der öffentlichen Sicherheit oder Gesundheit.
Allerdings sind sie verpflichtet, sicherzustellen, dass die angeforderten Daten nur im erforderlichen Umfang und unter strenger Beachtung des Datenschutzes und der Vertraulichkeit genutzt werden.
Diese Verpflichtung soll verhindern, dass sensible Informationen unangemessen offengelegt oder verwendet werden.
Durch diese Regelungen wird ein Gleichgewicht zwischen dem öffentlichen Interesse und dem Schutz der Privatsphäre und der Rechte der Dateninhaber geschaffen.
Datenintermediäre (Datenvermittler)
Datenintermediäre, die eine Vermittlerrolle im Datenverkehr einnehmen, sind verpflichtet, neutral und transparent zu agieren.
Dies bedeutet, dass sie keine einseitigen Vorteile aus ihrer Position ziehen und allen Beteiligten gleiche Chancen beim Zugang zu und der Nutzung von Daten bieten müssen. Sie müssen transparente Bedingungen für die Vermittlung von Daten schaffen und hohe Sicherheitsstandards einhalten, um den Schutz der Daten zu gewährleisten.
Diese Maßnahmen sollen sicherstellen, dass Datenintermediäre als vertrauenswürdige Akteure im Datenökosystem fungieren und dazu beitragen, einen offenen und fairen Markt für den Datenverkehr zu fördern.
Konsequenzen und Sanktionen bei Nichteinhaltung des European Data Acts
Für eine fehlerhafte Umsetzung können die Beteiligten im Sinne des European Data Acts in Verantwortung genommen werden. Die Aufsichtsbehörden, die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 zuständig sind, können bei Verstößen gegen die Pflichten aus dem Kapitel II, III, V des Data Acts Geldbußen im Einklang mit Art. 83 DSGVO verhängen.
Bei Verstößen gegen Kapitel V des Data Acts kann der europäische Datenschutzbeauftragte Geldbußen im Einklang mit Art. 66 der Verordnung (EU) 2018/1725 verhängen.
Durch die Bundesrepublik Deutschland wurde zwar noch keine Sanktion ausgearbeitet, die Möglichkeit ist aber in Art. 40 I DA enthalten. Es ist davon auszugehen, dass dies bis zur Wirksamkeit der Verordnung noch geschehen wird.
Generell ist es auch ohne staatliche Sanktionen denkbar, dass ein Fehlen von Informationen oder eine fehlerhafte Bereitstellung zu Mängelgewährleistungsansprüchen des Endkunden führen kann und eine Rückabwicklung des Vertrages auslösen könnte. Des Weiteren besteht die Möglichkeit eines UWG-Verstoßes bei Nichtbeachtung des Art. 3, 4 der Verordnung.
Schlusswort
Die Wirtschaftsakteure, die vom European Data Act betroffen oder verpflichtet werden, müssen diesen ohne jegliche Verzögerung berücksichtigen und umsetzen, um die rechtlichen Anforderungen daraus zu erfüllen und die Vorteile der Datennutzung voll auszuschöpfen. Der Data Act fördert Transparenz, Datenzugänglichkeit und den freien Datenfluss innerhalb der EU, dies steigert die Wettbewerbsfähigkeit und Innovation. Durch die Einhaltung des Data Acts können Unternehmen Vertrauen bei ihren Kunden und Partnern aufbauen und rechtliche Konsequenzen vermeiden. Daher ist die Umsetzung des Data Act nicht nur eine gesetzliche Pflicht, sondern auch eine strategische Entscheidung zur Stärkung der eigenen Marktposition.