Data Act

Der Data Act: Worum geht es?

Mit dem Data Act, einem Verordnungsvorschlag der Europäischen Union, wird ein umfassender Rechtsrahmen für die gemeinsame Nutzung von – personenbezogenen und nicht-personenbezogenen – Daten geschaffen, die durch die Nutzung von Produkten und verbundenen Diensten generiert werden (z.B. Fahrzeuge, Haushaltsgeräte, Konsumgüter, Medizin- und Gesundheitsprodukte). Insbesondere regelt der Data Act das Verhältnis zwischen Dateninhaber (zumeist Produkthersteller), Nutzer der Produkte und Datenempfängern (Dritten). Weitere Ziele des Data Acts sind die Vereinfachung des Wechsels von Datenverarbeitungsdiensten sowie die bessere Interoperabilität von Daten.

Zentrales Element des Data Act ist die Pflicht des Dateninhabers, generierte Daten dem Nutzer, einem von diesem benannten Dritten oder öffentlichen Stellen zur Verfügung zu stellen. Flankiert wird dies mit der Pflicht, Produkte bereits so zu konzipieren und herzustellen, dass die bei ihrer Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher und direkt zugänglich sind, und Nutzer vor Abschluss eines Vertrages über Art und Umfang der Daten, die mit dem Produkt voraussichtlich generiert werden, und den Zugriff auf die Daten zu informieren.

Besonders praxisrelevant ist das Zusammenspiel zwischen der Pflicht zur Schaffung von Datenzugängen für Nutzer und Dritte und deren Begrenzung aufgrund des Datenschutzes sowie des Schutzes von Geschäftsgeheimnissen und geistiger Eigentumsrechte.

Aktueller Stand und Zeitplan

Das Europäische Parlament und der Rat der Europäischen Union haben sich am 28.06.2023 auf eine gemeinsame Position zum Data Act verständigt. Die Verordnung trat am 11. Januar 2024 in Kraft und wird im September 2025 anwendbar sein.

Wer ist betroffen?

Der Data Act betrifft insbesondere Hersteller sog. vernetzter Produkte als Adressat der wesentlichen Pflichten, zum anderen aber alle Unternehmen, die solche Produkte nutzen und nun Anspruch auf Zugang zu den durch die Produkte generierten Daten haben. Vor allem in der Industrie, beispielsweise in der Automobilbranche, sowie im Medizin- und Gesundheitswesen zeichnen sich bedeutende Auswirkungen ab.

Welche Herausforderungen gibt es?

Unternehmen stehen vor einer Reihe von Herausforderungen, die insbesondere für KMUs schwer zu bewältigen sein könnten:

Prüfung der Betroffenheit durch den Data Act: Unternehmen müssen prüfen, ob sie in den sachlichen und persönlichen Anwendungsbereich des Data Acts fallen oder ob mit Verweis auf Geschäftsgeheimnisse und/oder geistige Eigentumsrechte eine Ausnahme zur Pflicht zur Schaffung von Datenzugängen begründet werden kann.
Anforderungen an das Produktdesign/Informationspflichten: Betroffene Unternehmen müssen bereits bei der Konzeption und Erstellung ihrer Produkte die Anforderungen des Data Acts beachten. Im Rahmen des Vertriebs sind zukünftig zusätzliche Informationspflichten hinsichtlich der durch die Produkte generierbaren Daten und den Zugriff darauf zu erfüllen.
Erstellung zusätzlicher Vertragsbedingungen/Datenlizenzverträgen: Für die Regelung des Datenzugangs sind Vertragsbedingungen zu erstellen, die den Anforderungen von FRAND (Fair, Reasonable and Non-Discriminatory) entsprechen müssen. Zudem darf die Nutzung der generierten nicht-personenbezogenen Daten durch den Dateninhaber (Hersteller) selbst nur auf Grundlage eines abzuschließenden Datenlizenzvertrages erfolgen.
Prüfung und Geltendmachung von Datenzugangsansprüchen: Die Implementierung neuer Technologien und Tools zur Gewährleistung des Datenschutzes kann erforderlich sein.
Zusammenarbeit mit Aufsichtsbehörden: Ein engerer Dialog mit den Aufsichtsbehörden ist erforderlich, um sicherzustellen, dass alle Anforderungen des Data Acts (beispielsweise auch hinsichtlich der Umsetzung des Beschwerderechts der Verbraucher und Unternehmern) erfüllt sind.

Unsere Expertise für Ihren Erfolg

SKW Schwarz unterstützt Sie bei der Navigation durch die komplexe Landschaft des Data Acts und bietet eine Reihe von Beratungsleistungen an:

Compliance-Management: Wir unterstützen Sie bei der Entwicklung und Umsetzung von Compliance-Programmen, die auf die Anforderungen des Data Acts zugeschnitten sind.
Umgang mit Verstößen gegen den Data Act: Wir beraten Sie bei der Handhabung von Verstößen gegen den Data Act und der Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
Vertragsgestaltung: Unsere Anwältinnen und Anwälte stellen sicher, dass die Vertragsbedingungen für die Regelung der Datenzugänge sowie erforderliche Datenlizenzverträge den Anforderungen des Data Act (etwa hinsichtlich der Missbrauchskontrolle) entsprechen.
Schulungen: Wir schulen Ihre Mitarbeitenden, um sicherzustellen, dass sie die Anforderungen des Data Acts verstehen und darauf reagieren können.
Rechtsstreitigkeiten: Wir vertreten Ihr Unternehmen bei Rechtsstreitigkeiten im Zusammenhang mit Ansprüchen aus dem Data Act.