Data Act – Vernetzte Produkte müssen Produktdaten zugänglich machen

Der Data Act ist eine Art kleine DSGVO für nicht-personenbezogene Daten: für die Nutzung von Produktdaten und verbundener Dienste ist demnächst ein Datennutzungsvertrag erforderlich und Produkte dürfen nur noch in den Verkehr gebracht werden, wenn die Produktdaten für Nutzer zugänglich sind.

Inverkehrbringen setzt Nutzerzugang zu Produktdaten voraus

Nach dem Data Act dürfen vernetzte Produkte nur noch in den Verkehr gebracht werden, wenn die Produktdaten und die verbundenen Dienstdaten mitsamt bestimmter Metadaten für Nutzer u. a. unentgeltlich und maschinenlesbar direkt zugänglich sind. Dies ergibt sich aus Art. 3 Data Act (DA):

„Vernetzte Produkte werden so konzipiert und hergestellt und verbundene Dienste werden so konzipiert und erbracht, dass die Produktdaten und verbundenen Dienstdaten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.“

Die Regelung wird auch als „Access by Design“ bezeichnet.

Diese Regelung gilt ab dem 12.09.2026 und damit sehr zeitnah, wenn in den Blick genommen wird, dass die eigenen Produkte und Dienste bis dahin angepasst sein müssen. Verschiedene sonstige Regelungen des Data Acts gelten bereits ab dem 12.09.2025.

Betrachtet man beispielsweise IoT-Geräte, müssen ggf. ganz neue Möglichkeiten geschaffen werden, um die Produktdaten und die verbundenen Dienstdaten zugänglich zu machen, beispielsweise eine Online-Plattform eingerichtet werden oder eine Begleit-App zur Verfügung gestellt werden. Zugunsten von KMU gelten erfreulicherweise gewisse Ausnahmen.

Übergabe an Wettbewerber auf Nutzerwunsch

Mit dem Data Act sollen zudem Lock-in-Effekte vermieden werden. Daher ist vorgesehen, dass Nutzer den „Umzug“ ihrer Daten zu Dritten, einschließlich von Wettbewerbern, verlangen können. Dies unterstreicht den Parallelcharakter des Data Acts zur DSGVO, in der ein Datenportabilitätsanspruch bereits seit einiger Zeit geregelt ist. Während sich der Anspruch in der DSGVO jedoch nur auf personenbezogene Daten bezieht, ist er im Rahmen des Data Acts auch auf nicht-personenbezogene Daten gerichtet.

Nutzung von Daten nur noch mit Datennutzungsvertrag

Im Data Act sind zahlreiche Verbote hinsichtlich der Nutzung von Daten vorgesehen. Auch insoweit besteht eine Parallele zur DSGVO, bei der eine Nutzung von Daten im Grundsatz verboten ist, soweit nicht eine Rechtsgrundlage eingreift. Im Rahmen des Data Acts ist dies nun ähnlich ausgestaltet, jedoch in Bezug auf nicht-personenbezogene Daten. Für die Nutzung von nicht-personenbezogenen Daten wird damit ab dem 12.09.2025 ein Datennutzungsvertrag erforderlich.

Die Datenverarbeitung über Produkte und verbundene Dienste betrifft zumeist beides: personenbezogene Daten und nicht-personenbezogene Daten. In Zukunft ist nun für beide Bereiche eine Rechtsgrundlage erforderlich:

  • personenbezogene Daten => berechtigtes Interesse, Einwilligung etc. gemäß DSGVO

  • nicht-personenbezogene Daten => Datennutzungsvertrag gemäß Data Act

In der Praxis hat dies eine erhebliche Relevanz. Denn bislang war die Verarbeitung nicht-personenbezogene Daten nicht nennenswert beschränkt. Sobald daher eine Gemengelage aus personenbezogenen Daten und nicht-personenbezogenen Daten vorlag, konnte man ohne große Differenzierung auf die Rechtsgrundlage nach der DSGVO verweisen. In Zukunft wird es wesentlich relevanter auszudifferenzieren, welche Daten personenbezogenen sind und welche Daten nicht-personenbezogen sind. Die genaue Abgrenzung hat bereits bislang erhebliche Schwierigkeiten bereitet.

Änderung von AGB und weitere Anforderungen

Der Data Act enthält viele weitere Regelungen, die demnächst zu beachten und umzusetzen sind. Vorstehend wurden lediglich einzelne Aspekte aufgezeigt. Erforderlich kann insbesondere die Überarbeitung der eigenen AGB sein, da der Data Act Verbote für Regelungen in AGB enthält. Zudem werden neue Informationspflichten eingeführt, nach denen vor dem Abschluss eines Vertrags über das Produkt bestimmte Informationen zu erteilen sind. Weiter sind Regelungen zum sog. „Cloud Switching“ vorhanden, also Regelungen dazu, wie Nutzer „ihre“ Daten zum Konkurrenzangebot überführen können und welche Hilfestellungen des Anbieters hierzu verpflichtend sind.

Umsetzung durch Product Compliance

Der Data Act stellt Unternehmen vor neue Herausforderungen, insbesondere in Bezug auf die Handhabung von Daten und die Einhaltung gesetzlicher Vorgaben. Es ist entscheidend, die Produkte und Dienstleistungen zeitnah zu überprüfen und anzupassen, sodass die Anforderungen des Data Acts ab September 2025 bzw. September 2026 erfüllt werden.

In diesem Zuge können zugleich andere Anforderungen beachtet und umgesetzt werden, z. B. mit Blick auf den kommenden Cyber Resilience Act. Derart können Mehraufwände aufgrund mehrfacher Anpassungen des Produkts vermieden werden. Im Rahmen unserer Leistungen zu einer umfassenden Product Compliance können wir die konkreten Anforderungen bei Bedarf gerne für Sie ermitteln.

 

Date: 17. Feb 2025