Her mit den Daten! Was der Data Act verlangt

Der Anwendungsbereich ist weit. Erfasst sind unter anderem:

• Konsolenhersteller und Spieleanbieter
• Car-Sharing Unternehmen
• Anbieter von Navigationsgeräten und -diensten
• Hersteller industrieller und landwirtschaftlicher Maschinen
• Hersteller von Fitness-Trackern
• Hersteller von Smart-Home Geräten

Kleine Unternehmen und Kleinstunternehmen sind von dem Anwendungsbereich des Data Act befreit. Das 2. Kapitel des Data Acts findet auf diese keine Anwendung.

Mittlere Unternehmen sind generell von dem Anwendungsbereich des Data Act befreit, soweit sie den Schwellenwert „Mittleres Unternehmen“ seit weniger als einem Jahr erfüllen. Ist ein Produkt eines mittleren Unternehmens betroffen, so ist dieses Produkt von dem Anwendungsbereich des 2. Kapitles befreit, soweit das Produkt vor weniger als einem Jahr in den Verkehr gebracht wurde. Neue Produkte länger bestehender mittlerer Unternehmen unterliegen mithin einer Schonfrist.

• Ein kleines Unternehmen hat weniger als 50 Mitarbeiter und einen Jahresumsatz oder eine Jahresbilanz von maximal 10 Millionen €
• Ein Kleinstunternehmen hat weniger als 10 Mitarbeiter und einen Jahresumsatz oder eine Jahresbilanz von maximal 2 Millionen €

• Ein mittleres Unternehmen hat weniger als 250 Mitarbeiter und entweder ein Jahresumsatz von nicht mehr als 50 Millionen € oder eine Jahresbilanzsumme von nicht mehr als 43 Millionen €

Ein vernetztes Produkt ist ein

• körperlicher Gegenstand, der Daten über seine Verwendung oder Umgebung sammelt, erzeugt oder erhält und in der Lage ist, die Produktdaten
  • über eine physische Verbindung,
  • über einen On-device Zugang oder
  • über einen elektronischen Kommunikationsdienst zu übermitteln
• Die Hauptfunktion des Produktes darf dabei nicht die Speicherung, Verarbeitung oder Übermittlung von Daten im Auftrag einer anderen Partei als des Nutzers sein
• erfasst sind unter anderem die folgenden Produkte:
  • Fahrzeuge, Schiffe, Flugzeuge
  • Haushaltsgeräte und Konsumgüter
  • Medizinische Geräte und Lifestyle-Geräte

• Kein elektronischer Kommunikationsdienst
• Software und deren Updates mitumfasst
• Zum Zeitpunkt des Kaufs, der Miete, des Leasings mit einem Produkt derart verbunden, dass dessen Abwesenheit das Produkt daran hindern würde, eine seiner Funktionen auszuführen oder
• Im Anschluss von dem Hersteller oder einem Dritten dem Produkt angefügt, um Funktionen des vernetzten Produkts zu erweitern, aktualisieren oder abzuändern.

• Wer? Hersteller von vernetzten Produkten und Anbieter von verbunden Diensten
• Wie? Durch Anpassungen in der Herstellung von vernetzten Produkten und der Erbringung von verbundenen Diensten:
  • Produktdaten müssen standardmäßig 
    • einfach,
    • sicher,
    • kostenlos &
    • in einem umfassenden, strukturierten allgemein verwendeten und maschinenlesbaren Format einsehbar sein
  • Dies betrifft auch zur Interpretation der Daten notwendige Metadaten.
  • Soweit relevant und technisch umsetzbar:
    • müssen Daten für den Nutzer direkt über das Produkt oder den Dienst zugänglich sein.
    • Ist das nicht möglich, müssen Dateninhaber diese jederzeit zur Verfügung stellen können.
  • Die bloße Anzeige der Daten (bspw. über einen Bildschirm) ohne Zugriff auf diese Daten zu haben, ist nicht ausreichend.
• Bis wann? Die Datenbereitstellungspflicht gilt für vernetzte Produkte und verbunde Dienste die 32 Monate nach Inkraftreten des Data Acts auf den Markt gebracht werden (ca. September 2026).

• Wann? Vor Abschluss eines Vertrages über den Kauf, die Miete oder das Leasing eines Vernetzten Produktes oder verbundenen Dienstleistung
• Wer? Verkäufer, Vermieter oder Verpächter (der auch Hersteller sein kann)
• Worüber? Dem Nutzer müssen folgende Informationen in verständlicher und klarer Form zur Verfügung gestellt werden:
  • Art, Format und das geschätzte Volumen der Produktdaten, die das vernetzte Produkt erzeugen kann
  • Information darüber, ob das vernetzte Produkt in der Lage ist,
    • kontinuierlich und in Echtzeit Daten zu erzeugen
    • Daten auf dem Gerät oder auf einem Server zu speichern, inkl. Dauer der beabsichtigten Speicherung
  • Natur und Volumen der durch die Nutzung generierten Daten
  • die Art und Weise, wie der Nutzer auf diese Daten zugreifen kann inklusive Informationen, ob der Nutzer diese löschen kann, einschließlich technischer Mittel hierfür
  • Identität des Dateninhabers, wie Firma und Firmenadresse
  • Angaben dazu, ob der Dateninhaber die Daten für eigene Zwecke verwenden möchte oder einem Dritten die Nutzungsmöglichkeit einräumen möchte und den Verwendungszweck nennen
  • Kontaktinformationen des Dateninhabers
  • Art und Weise wie der Nutzer das Teilen der Daten mit einem Dritten anfordern kann
  • Beschwerderecht.

• Daten die
  • durch die Nutzung Ihrer vernetzten Produkte oder verbundenen Dienste erzeugt oder generiert werden und
  • vom Hersteller des Produkts als abrufbar konzipiert wurden über:
    • Eine physische Verbindung
    • on-device Zugang
    • einen elektronischen Kommunikationsdienst
• Es können Daten aus verschiedensten Bereichen betroffen sein:
  • Erhobene und generierte Daten durch Smart-Home Geräte
  • Daten, die während der Nutzung eines E-Autos generiert werden
  • Bei Navigationssystemen: Informationen zu Reiserouten, Verkehrsmuster und Durchschnittsgeschwindigkeiten
  • Informationen zum Einkaufsverhalten bei Kundenkarten oder eines Treueprogramme
  • Schrittzahlen, App-Nutzungen, Geo-Daten, Schlafmuster u.v.m. bei Smartphones und Fitness-Trackern
• Nicht umfasst sind Daten, die
  • Ergebnis von Verarbeitungen sind, die die Daten wesentlich verändern
  • Bei der Nutzung des Produkts zur Nutzung von Softwareanwendungen, die nicht zu der zugehörigen Dienstleistung gehören, aufgezeichnet wurden
  • Bei der Aufzeichnung, Übertragung oder Wiedergabe von Inhalten generiert wurden sowie der Inhalt selbst

• Als Dateninhaber dürfen Sie ohne weiteres verfügbare Daten gemäß Art. 4 Abs. 13 DA nur auf der Grundlage eines Vertrages mit dem Nutzer verwenden
  • Ohne weiteres verfügbare Daten sind gemäß Art. 2 Nr. 17 DA:
    • Produktdaten und verbundene Dienstdaten,
    • die ein Dateninhaber ohne unverhältnismäßigen Aufwand
    • von dem vernetzten Produkt oder der verbunden Dienstleistung erhält oder erhalten kann
  • Sollen die generierten Daten weiterhin verwendet werden ist der Abschluss eines Datenlizenzvertrages notwendig

• Berechtigte sind:
  • Nutzer des Produkts oder des verbundenen Dienstes
  • berechtigte Dritte im Auftrag des Nutzers
• Nicht berechtigt sind:
  • Gatekeeper im Sinne des Digital Markets Act
    • dürfen grundsätzlich gegenüber Dateninhabern keine Anfragen stellen
  • Personen, die weder Nutzer noch berechtigter Dritter sind^

• Nur Daten erheben, die für die Identifikation des Anfragenden als Nutzer oder berechtigter Dritter notwendig sind
  • Abfrage weitergehender Daten ist nicht erlaubt (Art. 4 II, 5 III, 8 V DA-E)
• Der Zugang zu den Daten (und die damit verbundene Ausübung der Rechte der Nutzer) darf nicht unnötig erschwert werden
  • Die Autonomie, Entscheidungsfindung und Wahlmöglichkeiten dürfen nicht beeinträchtigt oder untergraben werden durch:
    • die Struktur,
    • das Design,
    • die Funktion oder
    • die Betriebsweise der Benutzeroberfläche oder Teile hiervon.
• Das Ergreifen technischer Schutzmaßnahmen ist erlaubt!
  • Zielrichtung: unbefugten Zugriff auf die Daten verhindern und die Einhaltung von Datenschutzbestimmungen sicherstellen
  • Die Schutzmaßnahmen dürfen weder Diskriminierung noch Beeinträchtigung der Rechte von Nutzern oder Dritten verursachen
  • Die Schutzbestimmungen dürfen nur mit Zustimmung des Dateninhabers geändert oder entfernt werden

• Anfragen dürfen abgelehnt werden, sofern im Einzelfall schwere wirtschaftliche Schäden durch die Offenlegung zu befürchten sind.
  • Die bloße Bewahrung von Geschäftsgeheimnissen ist kein ausreichender Grund
    • Kann in der Regel durch eine Geheimhaltungsvereinbarung und vereinbarte technisch organisatorische Maßnahmen gewährleistet werden.
• Anfragen eines Gatekeepers im Sinne des Digital Markets Act dürfen ohne weitere Prüfung abgelehnt werden.
• Sind Personendaten von der Anfrage betroffen, die nicht der anfragenden Person entsprechen?
  • Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO prüfen!

• Unter Umständen ist Nutzern auch Zugang zu Geschäftsgeheimnissen zu gewähren
  • Ergreifen Sie und der Nutzer notwendige Maßnahmen, um den Schutz ihrer Geschäftsgeheimnisse, vorallem in Bezug auf Dritte, zu gewährleisten
• Ersichtlich, dass das bloße Ergreifen von Maßnahmen nicht ausreichend ist?
  • Sofern Sie dies belegen können: Einigen Sie sich mit dem Nutzer auf zusätzliche notwendige Maßnahmen
    • Beispielsweise: verbindliche technisch organisatorische Maßnahmen.
  • Vergessen Sie nicht relevante Daten inkl. zur Interpretation notwendige Metadaten, welche vom Geschäftsgeheimnis geschützt sind, zu kennzeichnen!

• Dem Nutzern der Produkte und verbundenen Dienste sind die Daten kostenlos zur Verfügung zu stellen
• Von Dritten, die im Auftrag des Nutzers die Daten übertragen bekommen, dürfen Sie eine angemessene Vergütung fordern
  • Die Höhe der Kosten richtet sich nach den Kosten und Investitionen, die für die Bereitstellung der Daten erforderlich sind, insbesondere:
    • Kosten für die Formatierung der Daten
    • die Verbreitung auf elektronischem Wege
    • die Speicherung
  • Sofern es sich bei dem Datenempfänger nicht um ein KMU handelt, darf die Vergütung eine Marge beinhalten.
    • Die Höhe der Vergütung muss sich dennoch in einem angemessenen Rahmen bewegen.

• Werden die Daten unberechtigt verwendet oder wird sich Zugang zu den Daten verschafft, ohne berechtigt zu sein, haben Sie ein Recht auf eine angemessene Entschädigung
• In den folgenden Szenarien dürfen Sie eine Entschädigung fordern:
  • Der Datenempfänger hat falsche oder unzureichende Informationen erteilt, oder anderweitige verwerfliche Mittel eingesetzt um Zugang zu den Daten zu erhalten
  • Der Datempfänger hat eine Sicherheitslücke ausgenutzt
  • Der Datenempfänger hat die Daten für unbefugte Zwecke verwendet, wie der Entwicklung eines konkurrierenden Produktes
  • Der Datenempfänger hat die Daten an Dritte weitergegeben ohne die Erlaubnis des Dateninhabers
  • Die vereinbarten technischen und organisatorischen Maßnahmen zum Schutz von Geschäftsgeheimnissen wurden vom Datenempfänger nicht eingehalten
  • Schutzmaßnahmen wurde entfernt oder verändert ohne die Erlaubnis des Dateninhabers
• In den gleichen Fällen dürfen Sie den Datenempfänger auch Auffordern die Daten zu löschen und die oben genannten Tätigkeiten zu unterlassen

• Die DSGVO sowie die E-Privacy Richtlinie finden uneingeschränkte Anwendung
  • Sie werden in ihrer Wirkung durch den Data Act nicht beschränkt
  • Es werden keine eigenen Erlaubnis-Tatbestände geschaffen
    • Bei der Handhabung von personenbezogenen Daten wird die Frage der Rechtmäßigkeit von der DSGVO beantwortet!
    • Der Art. 20 DSGVO, der die Datenportabilität betrifft wird lediglich vom Data Act ergänzt.
• Wichtig: Auch maschinengenerierte Daten können einen Personenbezug aufweisen!

Wird gegen einer der durch den DA auferlegten Pflichten verstoßen, kann dem Unternehmen ein Bußgeld auferlegt werden.

Die Festlegung der Bußgeldvorschriften obliegt dabei den Mitgliedstaaten.

Die Höhe des Bußgeldes sollte sich nach Vorgabe des Art. 40 Abs. 3 DA nach den folgenden Faktoren bestimmen:

• Art, Schwere, Umfang und Dauer des Verstoßes,
• ergriffene Maßnahmen zur Minderung oder Behebung des durch den Verstoß bedingten Schadens,
• frühere Verstöße,
• durch den Verstoß bedingte finanzielle Gewinne oder Verluste und
• sonstige erschwerende oder mildernde Umstände des Einzelfalls

Wie bereits erwähnt findet die DSGVO uneingeschränkte Anwendung. Verstöße in diesem Kontext können daher auch auf Basis der DSGVO geahndet werden.