Das EU-Datengesetz (Data Act): Relevanz für Unternehmen – Internet der Dinge und darüber hinaus

Die EU-Institutionen haben am 27.6.2023 eine politische Einigung über das Datengesetz (sog. Data Act) getroffen, das als EU-Verordnung in allen EU-Staaten direkt anwendbar ist und harmonisierte Regeln für den "fairen Zugang zu und die Nutzung von Daten" vorsieht.

Schon jetzt ist klar, dass das Gesetz weit über die Regulierung des "Internet der Dinge" (IoT) hinausgehen wird. Es betrifft insbesondere so genannte "connected products" und Cloud-Dienste.

Nachfolgend geben wir einen ersten Überblick auf Basis der politischen Einigung, deren Text allerdings bisher nur auf Englisch vorliegt. Daher verwenden wir im Folgenden auch die englischen Begriffe aus dem Data Act.

Data Sharing (Gemeinsame Nutzung von Daten): Sogenannten data holdern (Dateninhabern) werden weitreichende Pflichten auferlegt, insbesondere Bereitstellungs- und Zugangspflichten in Bezug auf Nutzerdaten.

Daten von connected products (vernetzten Produkten) oder related services (verbundenen Diensten) müssen unter Umständen mit dem Nutzer oder einem Dritten (Datenempfänger) geteilt werden. Damit sollen die Rechte der Nutzer im Verhältnis zum data holder gestärkt werden. Zudem sollen Anreize für neue Akteure geschaffen werden, in die Datenwirtschaft zu investieren.

connected products und related services müssen anhand der Vorgaben aus dem Data Act gestaltet werden ("Access by Design"). Das Gesetz verlangt von den data holdern außerdem, dass sie Daten aus connected products oder related services unentgeltlich und gegebenenfalls kontinuierlich in Echtzeit zugänglich machen.

Bislang sind viele connected products und related services nicht in diesem Sinne konzipiert, weshalb der Data Act und seine Pflichten künftig von Anfang an in der Produktentwicklung mitgedacht werden müssen.

Umgekehrt dürfen data holder nicht-personenbezogene Daten nicht mehr völlig frei mit anderen Akteuren – etwa zu Werbezwecken – teilen. Insoweit wird das Recht zur Datenweitergabe grundsätzlich auf das zur Erfüllung des Nutzervertrags erforderliche Maß eingeschränkt. Eine darüber hinausgehende Weitergabe von nicht-personenbezogenen Daten kann künftig einen Datenlizenzvertrag erfordern. Dies betrifft voraussichtlich auch Alt-Datenbestände.

Kleine und mittelständische Unternehmen sind in der Regel von den Verpflichtungen zur gemeinsamen Nutzung von Daten befreit (weniger als 50 Beschäftigte oder 10 Mio. EUR Jahresumsatz).

• Missbräuchliche Vertragsklauseln: Die Vorschriften gegen missbräuchliche Vertragsklauseln (Kapitel IV) sollen den Missbrauch von vertraglichen Ungleichgewichten verhindern. Dabei führt das Gesetz ein Verbot missbräuchlicher Klauseln in B2B-Verträgen ein und orientiert sich in der Regelungstechnik am AGB-Recht. Neben einer Generalklausel sind im Data Act auch (nicht abschließende) Regelbeispiele für missbräuchliche Klauseln enthalten. Darunter fallen z.B. Regelungen, die die Haftung für die Qualität der zur Verfügung gestellten Daten einschränken. Darüber hinaus können ausschließliche Nutzungsrechte an Daten, die einseitig auferlegt werden, problematisch sein. Unterstützend sollen in diesem Rahmen von der Europäischen Kommission Mustervertragsklauseln veröffentlicht werden, an denen sich Unternehmen orientieren können.
• Daten für den öffentlichen Sektor: in Notlagen, z.B. bei Naturkatastrophen, müssen öffentlichen Stellen (public sector bodies) Daten, die zur Bewältigung der Notlage erforderlich sind, bereitgestellt werden.
• Regulierung von Datenverarbeitungsdiensten, insbesondere von Cloud-Diensten: Der Data Act will den Wechsel zwischen gleichartigen "data processing services" erleichtern (Kapitel VI). Unter den generischen Begriff "data processing services" fallen u.a. Software as a Service (SaaS), Infrastructure as a Service (IaaS) und Platform as a Service (PaaS). Diese Vorschriften sollen den EU-Cloud-Markt aufbrechen und die Portabilität von Daten zwischen Cloudanbietern erleichtern. Geregelt werden sehr detailliert vor allem technische und organisatorische Maßnahmen, aber auch vertragliche Details. So ist z.B. eine Höchstgrenze für Kündigungsfristen vorgesehen. Weiter müssen Schnittstellen zur Datenübertragung beim Export von Daten zwischen verschiedenen Anbietern von Cloud-Diensten geschaffen werden. Ausnahmen gelten für "custom-built" data processing services.
• Internationale Datenübermittlung und Interoperabilität: Auch der internationale Datentransfer wird eigens geregelt, um den unrechtmäßigen Zugriff ausländischer staatlicher Stellen auf nicht-personenbezogenen Daten zu verhindern (Kapitel VII). Die Vorgaben sind aber nicht mit den Bestimmungen der DSGVO zu Datenübermittlungen an Drittländer identisch. Daneben sind Regelungen zur Interoperabilität vorgesehen (Kapitel VIII).

Last-Minute Änderungen von Definitionen

Der Gesetzgebungsprozess für das Gesetz begann Anfang 2022. Es gab buchstäblich bis zur letzten Minute wesentliche Änderungen, sogar bei Bestimmungen wie den Definitionen von "connected product" und "related services". Diese sind aber elementar für den Anw...