Welche Arten von Daten regelt der Data Act?
Mit dem Inkrafttreten des Data Act am 11. Januar 2024 hat die EU einen neuen rechtlichen Rahmen geschaffen, der den Zugang zu und die Nutzung von Daten in Europa grundlegend neu regelt. Für Unternehmen stellt sich die zentrale Frage: Welche Daten sind davon betroffen? In diesem Artikel beleuchte ich, welche Arten von Daten der Data Act erfasst und was das für die Praxis bedeutet.
Der umfassende Begriff „Daten“ im Data Act
Im Kern regelt der Data Act nicht-personenbezogene Daten. Dabei handelt es sich um alle Arten von Daten, die keine Rückschlüsse auf natürliche Personen zulassen. Diese Daten können unternehmensintern oder zwischen Unternehmen geteilt und genutzt werden, ohne dass datenschutzrechtliche Bestimmungen, wie sie etwa in der Datenschutz-Grundverordnung (DSGVO) festgelegt sind, zur Anwendung kommen. Dazu gehören insbesondere Daten, die durch den Betrieb von vernetzten Geräten im Internet der Dinge (IoT) generiert werden. Diese Daten umfassen sowohl Rohdaten als auch vorverarbeitete Daten, die direkt oder indirekt durch den Betrieb der Geräte erzeugt werden, auch im Stand-by-Modus. Der Data Act schafft hierbei die rechtliche Grundlage, um die Nutzung und den Austausch dieser Daten zu erleichtern.
Zusätzlich reguliert der Data Act den Zugang zu bestimmten personenbezogenen Daten, wenn sie im Kontext von nicht-personenbezogenen Datensätzen verarbeitet werden. Bei diesen gemischten Datensätzen, in denen sowohl personen- als auch nicht-personenbezogene Daten enthalten sind, unterliegt der Datenschutz weiterhin der DSGVO. Der Data Act regelt dabei den Zugriff auf solche Datensätze in spezifischen Situationen, wie etwa durch Drittanbieter.
IoT-Daten im Fokus
Besonderes Augenmerk legt der Data Act auf Daten, die im Rahmen von vernetzten Produkten und verbundenen Diensten erzeugt werden. Diese Produkte umfassen ein breites Spektrum – von Maschinen in der industriellen Fertigung bis hin zu intelligenten Haushaltsgeräten und Fahrzeugen. Sobald ein solches Produkt Daten generiert, zum Beispiel über Sensoren, stellt sich die Frage, wer diese Daten nutzen darf. Hier definiert der Data Act den rechtlichen Rahmen, um den Datenaustausch zwischen den beteiligten Parteien – Herstellern, Nutzern und Dritten – zu erleichtern.
Ein Beispiel hierfür sind intelligente Fahrzeuge, die Informationen über den Zustand des Motors, den Reifenverschleiß oder die Fahrgewohnheiten erfassen. Diese Daten sind wertvoll für verschiedene Akteure – vom Fahrzeughalter über den Hersteller bis hin zu Werkstätten oder Versicherungen. Der Data Act gibt klare Vorgaben, wie solche Daten zugänglich gemacht werden können und unter welchen Bedingungen Dritte darauf zugreifen dürfen.
Kategorien der durch den Data Act erfassten Daten
Die erfassten Daten lassen sich in folgenden Kategorien zusammenfassen:
Daten aus vernetzten Geräten: Informationen, die durch Maschinen, Fahrzeuge oder IoT-Geräte gesammelt werden und Aufschluss über deren Nutzung oder Zustand geben.
Daten aus verbundenen Diensten: Daten, die durch Dienste erfasst werden, die mit vernetzten Produkten interagieren, etwa für Wartungs- oder Optimierungsprozesse.
Maschinell erzeugte Daten: Diese umfassen vor allem Daten aus Produktionsprozessen, die zur Effizienzsteigerung und besseren Zusammenarbeit entlang der Wertschöpfungskette genutzt werden können.
Der Data Act stellt sicher, dass der Zugang zu diesen Daten für Nutzer und Dritte fair und transparent geregelt ist.
Datenzugang und -nutzung: Die neuen Spielregeln
Einer der Kernaspekte des Data Act ist die Schaffung von Regelungen zum Datenzugang. Er fordert faire und nicht-diskriminierende Bedingungen, besonders im Umgang mit KMUs, um ihnen den Zugang zu den Daten zu erleichtern. Unternehmen, die IoT-Produkte vertreiben, müssen sicherstellen, dass Nutzer und berechtigte Dritte Zugang zu den durch diese Produkte generierten Daten haben. Das bedeutet, dass ein Eigentümer eines vernetzten Produkts – etwa eines intelligenten Kühlschranks – das Recht haben muss, die Daten aus diesem Gerät zu nutzen oder einem Dritten, etwa einem Reparaturdienst, Zugang dazu zu gewähren. Der Data Act stellt damit sicher, dass Nutzer nicht von den Herstellern dieser Produkte abhängig sind, wenn es um den Zugang zu den erzeugten Daten geht.
Gleichzeitig schafft der Data Act Regelungen, die Fairness und Transparenz im Umgang mit Daten sicherstellen sollen. Unternehmen dürfen keine unangemessenen Hürden für den Datenzugang errichten oder unfaire Vertragsbedingungen diktieren. Stattdessen müssen Verträge über die Nutzung und den Austausch von Daten klare, verständliche und faire Bestimmungen enthalten.
Datenintermediäre: Neue Akteure in der Datenökonomie
Ein weiterer zentraler Bestandteil des Data Act ist die Einführung von Datenintermediären. Diese Akteure fungieren als neutrale Vermittler zwischen den Dateninhabern und den Nutzern, die an den Daten interessiert sind. Ihr Ziel ist es, den Datenaustausch zu erleichtern und gleichzeitig die Rechte und Interessen aller Beteiligten zu wahren.
Datenintermediäre spielen eine Schlüsselrolle, insbesondere in Szenarien, in denen der direkte Austausch zwischen den Parteien kompliziert oder mit hohen Transaktionskosten verbunden ist. Ein solcher Intermediär kann beispielsweise sicherstellen, dass die Daten unter Einhaltung aller rechtlichen Anforderungen und unter Berücksichtigung der Interessen der jeweiligen Parteien ausgetauscht werden. Datenintermediäre unterliegen strengen Neutralitätsanforderungen, um sicherzustellen, dass sie unabhängig und transparent agieren.
Herausforderungen für Unternehmen
Für Unternehmen ergeben sich aus dem Data Act sowohl Chancen als auch Herausforderungen. Der vereinfachte Zugang zu Daten kann neue Geschäftsmodelle ermöglichen und die Zusammenarbeit entlang der Wertschöpfungskette fördern. Gleichzeitig erfordert die Einhaltung der Regelungen des Data Act eine Anpassung der Vertragsdokumente und Datennutzungspraktiken.
Unternehmen müssen sicherstellen, dass ihre Verträge mit den Vorgaben des Data Act konform sind. Dies betrifft insbesondere Verträge über den Kauf, die Miete oder das Leasing von IoT-Geräten sowie Verträge über verbundene Dienste und den Datenzugang. Um die rechtlichen Risiken zu minimieren, sollten Unternehmen ihre Vertragspraktiken anpassen und sicherstellen, dass der Zugang zu und die Nutzung von Daten fair und transparent geregelt sind. Wir unterstützen Sie dabei, die Anforderungen des Data Act zu identifizieren und vertraglich zu regeln.
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de