Der Data Act birgt viele Unklarheiten. Wir haben die häufigsten Fragen zum Data Act aus Vorträgen und Mandatsarbeit gesammelt und beantwortet.
Ist Ihre Frage nicht dabei? Dann nehmen Sie gerne mit uns Kontakt auf!
1. Was regelt der Data Act alles?
Die Datenverordnung regelt:
- die Datenweitergabe von Unternehmen an Verbraucher (B2C) und zwischen Unternehmen (B2B) (Art. 2 ff.),
- die Bedingungen hierfür (Art. 8 ff.),
- die Kontrolle von diesbezüglichen Verträgen zwischen Unternehmen (B2B) (Art. 13),
- die Bereitstellung von Daten für öffentliche Stellen (B2A) (Art. 14 ff.),
- den Wechsel zwischen Datenverarbeitungsdiensten (Art. 23 ff.),
- die internationale Übermittlung nicht-personenbezogener Daten (Art. 32) und die Interoperabilität (Art. 33 ff.),
- und enthält schließlich Vorgaben zur Anwendung und Durchsetzung (Art. 37 ff.).
2. Gilt der Data Act auch für personenbezogene Daten?
Ja. Im Grundsatz findet die Verordnung auf alle Daten Anwendung. Allerdings unterscheidet der Data Act an entscheidenden Stellen zwischen Daten mit und ohne Personenbezug. Die DSGVO, die ausschließlich für personenbezogene Daten gilt, soll zudem unberührt bleiben und im Zweifel vorgehen.
3. Werde ich als Hersteller oder Anbieter zur Speicherung von Daten verpflichtet?
Nein, der Data Act sollte nicht dahingehend ausgelegt werden, als das Hersteller vernetzter Produkte oder Anbieter verbundener Dienste verpflichtet werden, Daten zu speichern, die sie zuvor nicht gespeichert haben. Der Data Act findet nur auf die Daten Anwendung, die von Seiten des Herstellers oder Anbieters bereits gespeichert werden.
4. Wie kann ich mich als Nutzer auf den EU Data Act vorbereiten, für den Fall, dass Hersteller die Datenverwendungsvereinbarungen verhandeln wollen?
Zunächst solltest du dir bewusst machen, dass dir ein umfassendes Zugangsrecht an den Daten zusteht, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden. Das bedeutet, dass du nicht vorschnell auf eine Datenlizenzvereinbarung eingehen solltest, die deine Rechte möglicherweise einschränkt.
Gleichzeitig solltest du dir aber auch im Klaren sein, dass du nicht zwangsläufig alle generierten Daten benötigst. Es kann sinnvoll sein, sich auf die Daten zu konzentrieren, die für deine spezifischen Zwecke wirklich relevant sind, um die Verhandlungsposition klar zu definieren. Vermeide es, eine Fülle von Daten anzufordern, die möglicherweise nicht nützlich sind, da dies Verhandlungen unnötig erschweren könnte.
5. Was ist mit dem „Standardformat“ im Sinne des Data Act gemeint?
Ein Standardformat im Kontext des Data Act bedeutet, dass Daten in allgemein verwendeten und anerkannten Formaten zur Verfügung gestellt werden müssen, um ihre Interoperabilität zu gewährleisten. Die Nutzung anderer, weniger gebräuchlicher Formate bei bereits etablierten Standards wird schwer zu rechtfertigen sein, da dies den Datenzugang unnötig erschweren könnte. Wenn es für bestimmte Daten einen Standard gibt, sollte dieser auch eingehalten werden, um sicherzustellen, dass die Daten problemlos von anderen Systemen oder Dritten genutzt werden können. Liegt noch kein Standard vor, oder wird dieser nicht eingehalten, wird das Standardformat sonst spätestens vom EuGH bestimmt werden.
6. Sind Anbieter von Betriebsführungssystemen und Datenanalyseanbieter als Dateninhaber oder externe Datenempfänger zu betrachten?
Ob Anbieter von Betriebsführungssystemen und Datenanalyseanbieter als Dateninhaber oder externe Datenempfänger gelten, hängt vom Einzelfall ab. In der Regel werden sie als externe Datenempfänger betrachtet, da sie die Daten im Auftrag des Nutzers erhalten und verarbeiten. Eine Ausnahme besteht jedoch, wenn diese Anbieter die Daten bereits ohne aktives Zutun des Nutzers erhalten. In solchen Fällen könnten sie als Dateninhaber eingestuft werden, da sie direkten Zugang zu den generierten Daten haben, ohne dass der Nutzer den Zugriff aktiv freigeben muss.
7. Habe ich als Kleinunternehmen ein Datenzugangsrecht?
Ja, auch als Kleinunternehmen hast du ein volles Recht auf Datenzugang gemäß dem Data Act. Der Data Act sieht darüber hinaus in Art. 7 Abs. 1 eine Privilegierung für KMUs vor:
- Kleine Unternehmen und Kleinstunternehmen sind von dem Anwendungsbereich des Data Act befreit. Das 2. Kapitel des Data Acts findet auf diese keine Anwendung.
- Mittlere Unternehmen sind generell von dem Anwendungsbereich des Data Act befreit, soweit sie den Schwellenwert „Mittleres Unternehmen“ seit weniger als einem Jahr erfüllen. Ist ein Produkt eines mittleren Unternehmens betroffen, so ist dieses Produkt von dem Anwendungsbereich des 2. Kapitels befreit, soweit das Produkt vor weniger als einem Jahr in den Verkehr gebracht wurde. Neue vernetzte Produkte länger bestehender mittlerer Unternehmen unterliegen mithin einer Schonfrist.
8. Wie finde ich heraus, welche Daten an den Hersteller übersandt werden?
Der Hersteller ist gegenüber Kunden verpflichtet, vor Abschluss eines Vertrages über den Kauf, die Miete oder das Leasing eines vernetzten Produktes oder einer verbundenen Dienstleistung darüber zu informieren, welche nicht-personenbezogenen Daten an ihn übermittelt werden. Diese Informationspflicht soll sicherstellen, dass du als Nutzer genau weißt, welche Daten gesammelt werden, zu welchem Zweck diese verwendet werden und wie du auf diese Daten zugreifen kannst.
9. Wie ist damit umzugehen, wenn der Hersteller zugleich als Servicedienstleister agiert?
Servicedienstleistungen können als Teil eines Kauf-, Miet- oder Leasingvertrags angeboten werden. In solchen Fällen muss genau aufgeschlüsselt werden, welche Rolle der Hersteller in Bezug auf die Daten übernimmt.
Unter Umständen stellt diese Servicedienstleistung einen verbundenen Dienst dar. Hierfür muss sich der Dienst auf den Betrieb des vernetzten Produkts auswirken und Daten oder Befehle des Diensteanbieters an das vernetzte Produkt übermittelt werden. Dies ist unter Umständen bei zusätzlichen Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßigen Reparatur- und Wartungsdiensten nicht der Fall.
Je nachdem, wie die Servicedienstleistung zu klassifizieren ist, ergeben sich für den Nutzer auch hier Rechte und (weitere) Pflichten für den Hersteller.
10. Wie ist der Data Act mit Vorschriften anderer Verordnungen in Einklang zu bringen, wenn es um die Datenbereitstellung geht?
Ein generelles Problem bei der EU-Gesetzgebung ist die Koordination verschiedener Rechtsvorschriften. Hersteller müssen sich nicht nur an den Data Act halten, sondern auch an andere relevante EU-Rechtsakte.
Grundsätzlich sind alle geltenden Vorschriften gleichzeitig einzuhalten, und der Data Act darf nicht dazu führen, dass andere, vorrangige Rechtsvorschriften umgangen werden.
Wenn beispielsweise eine anderweitige EU-Verordnung zwingend vorschreibt, dass bestimmte Daten verfügbar gemacht werden müssen, dann setzt der Data Act diese Verpflichtungen nicht außer Kraft. Vielmehr muss der Data Act in solchen Fällen mit den bereits bestehenden Vorschriften in Einklang gebracht werden, um sicherzustellen, dass alle gesetzlichen Anforderungen beachtet werden.
11. Muss der Hersteller Rohdaten (z.B. CMS-Daten), die in der Regel nur mit Spezialsoftware gelesen werden können, so bereitstellen, dass der Nutzer die mit gängiger Software lesen kann? Muss der Hersteller Spezialsoftware kostenfrei bereitstellen?
Der Data Act sieht vor, dass Daten in einem gängigen, üblichen Format bereitgestellt werden müssen. Das bedeutet, dass Rohdaten, die nur mit spezieller Software gelesen werden können, entweder in einem allgemein verwendbaren Format (wie strukturierten Dateien) bereitgestellt werden oder die konkreten Bedingungen zur Datenbereitstellung zwischen Nutzer und Hersteller am Verhandlungstisch festgelegt werden.
Eine Verpflichtung zur kostenfreien Bereitstellung von Spezialsoftware durch den Hersteller ist jedoch nicht vorgesehen. Nutzer dürfen also nicht erwarten, dass der Hersteller spezialisierte Programme kostenfrei zur Verfügung stellt.
12. Vollumfängliche Daten des vernetzten Produkts (z.B. einer Windenergieanlage) erlauben unter Umständen tiefgehende Einblicke in die Technologie der Anlage und ihrer Steuerung, und sind deshalb in der Regel vertraulich. Darf ich sie trotzdem an Dritte weitergeben?
Der Data Act berücksichtigt den Schutz von Geschäftsgeheimnissen, einschließlich vertraulicher Informationen, die tiefgehende Einblicke in die Technologie einer Anlage wie einer Windenergieanlage bieten. Eine Weitergabe dieser Daten ist grundsätzlich möglich, muss jedoch unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen (TOMs) erfolgen, um die Vertraulichkeit und Sicherheit der sensiblen Daten zu gewährleisten. Dies bedeutet, dass die Daten nur unter strengen Sicherheitsvorkehrungen und klaren Vereinbarungen mit Dritten weitergegeben werden dürfen, um die geschäftlichen Interessen des Herstellers zu schützen.
13. Was passiert, wenn ein Hersteller nicht mehr existiert und ein Drittunternehmen den Datenbestand übernimmt?
Der Data Act macht keinen Unterschied zwischen dem ursprünglichen Hersteller, der Dateninhaber war, und dem Drittunternehmen, der neuer Dateninhaber geworden ist. Wenn ein Drittunternehmen den Datenbestand eines Herstellers übernimmt, wird dieses Unternehmen der neue Dateninhaber und übernimmt damit die Verpflichtungen, die dem ursprünglichen Hersteller in seiner Rolle als Dateninhaber auferlegt wurden. Das Drittunternehmen muss nun als neuer Dateninhaber den Zugang zu den Daten der Nutzer ermöglichen und darf die Daten nur im Einklang mit den Bestimmungen des Data Act verwenden.