Die Datenzugangsansprüche nach dem Data Act und deren Einschränkungen sind umfangreich – wir geben einen Überblick.
Der europäische Gesetzgeber hat Daten als wesentliche Ressource für das Gelingen des digitalen Wandels und als Wirtschaftsgut erkannt, welches nur verwertet werden kann, wenn ein umfangreicher Zugang zu Daten besteht. Als wichtiger Teil der europäischen Digitalstrategie ist der Data Act (DA) am 11. Januar 2024 in Kraft getreten und wird nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 unionsweit anwendbar sein. Zusammen mit dem Data Governance Act (DGA) verfolgt der DA die Ziele, einen Daten-Binnenmarkt zu schaffen und Europa zu einer weltweit führenden Stellung in der Datenwirtschaft zu verhelfen.
Ansprüche auf Datenzugang und -weitergabe
Um diese Ziele zu erreichen, enthält der DA neue Ansprüche auf Datenzugang und -weitergabe zugunsten derjenigen, die Daten durch die Nutzung von vernetzten Geräten erzeugen. Schon in Erwägungsgrund 6 weist der DA darauf hin, dass auch die Nutzer* und nicht nur Hersteller Akteure der Datengenerierung sind. Die Ergebnisse der Datengenerierung sollen nicht mehr allein dem Hersteller zugutekommen, sondern im Sinne der Ziele der europäischen Digitalstrategie eingesetzt werden können. Über die vor diesem Hintergrund geschaffenen Datenzugangsansprüche geben wir mit diesem Blog-Beitrag einen Überblick.
Personen, die Daten durch die Nutzung von vernetzten Geräten erzeugen, können entweder verlangen, dass sie selbst Zugang zu diesen Daten erhalten oder dass die Weitergabe der Daten an Dritte erfolgen soll. Der Anspruch auf Zugang oder Weitergabe kommt dem Nutzer zu. Doch wer ist Datennutzer und damit Zugangsberechtigter im Sinne des DA?
Datenzugangsberechtigte: Nutzer vernetzter Produkte oder verbundener Dienste
Ob jemand Nutzer ist, hängt maßgeblich von der rechtlichen Beziehung der Person zu dem Produkt bzw. Dienst und den Eigenschaften des Produkts bzw. Dienstes ab. Nutzer im Sinne des Art. 2 Nr. 12 DA sind natürliche oder juristische Personen, die ein sogenanntes „vernetztes Produkt“ besitzen, denen vertraglich Nutzungsrechte übertragen wurden oder die einen „verbundenen Dienst“ in Anspruch nehmen. Für die Begriffe der „vernetzten Produkte“ und der „verbundenen Dienste“ hält der DA ebenfalls Definitionen und in seinen Erwägungsgründen auch Beispiele bereit.
„Vernetzte Produkte“ sind gemäß Art. 2 Nr. 5 DA Geräte, die Daten über ihre Nutzung oder Umgebung generieren und Daten mittels einer Schnittstelle übertragen können, z.B. Geräte des Internets der Dinge bzw. Internet of Things (IoT-Geräte):
„vernetztes Produkt“ [bezeichnet] einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
Art. 2 Nr. 6 DA definiert die „verbundenen Dienste“ und meint die per Schnittstelle mit dem vernetzten Produkt verknüpfte Steuerungssoftware, die zur Steuerung der Funktionalität des Produkts dient:
„verbundener Dienst“ [bezeichnet] einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Auch Dritte können Datenzugang erhalten
Der Nutzer kann Zugang zu den Daten für sich oder – da der Nutzer oftmals nicht selbst über die Mittel verfügt, die generierten Daten weiter zu verwerten – zugunsten eines Dritten verlangen, der nicht zugleich Anspruchsinhaber ist. Dies soll die Wettbewerbsfähigkeit und Innovationen mithilfe verfügbarer Daten auf Sekundärmärkten steigern. Wer „Dritter“ sein kann, lässt der DA weitgehend offen, definiert aber den „Datenempfänger“ in Art. 2 Nr. 14 DA als:
eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschließlich eines Dritten, dem der Dateninhaber auf Verlangen des Nutzers oder im Einklang mit einer rechtlichen Verpflichtung aus anderem Unionsrecht oder aus nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, Daten bereitstellt.
Damit ist klar: Der Datenempfänger ist selbst nicht Nutzer und wird nicht zu privaten Zwecken tätig. Zudem schließt der DA bestimmte Dritte ausdrücklich aus: Den sogenannten nicht zugelassenen Dritten im Sinne des Art. 5 Abs. 3 DA wird der Datenzugang verwehrt. Hierbei handelt es sich um die durch die EU-Kommission nach dem Digital Markets Act (DMA) als sogenannte „Gatekeeper“ eingeordneten großen Digitalunternehmen. Dem liegt die Annahme zugrunde, dass diese bereits über große Datenmengen verfügen würden und ein Datenzugangsanspruch zu deren Gunsten unverhältnismäßig sei (vgl. Erwägungsgrund 40 des DA).
Der Anspruch des Nutzers auf Datenzugang für sich selbst oder zugunsten eines Dritten richtet sich gegen den Inhaber der Daten. Auch diesen Begriff wollen wir uns näher ansehen.
Datenzugangsverpflichteter: Der Dateninhaber
Der Dateninhaber ist gemäß Art 2 Nr. 13 DA
eine natürliche oder juristische Person, die nach [dem DA], nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.
Faktisch müsste wohl jedenfalls eine Kontrolle über die Generierung von Daten mittels eines vernetzten Produktes oder verbundenen Dienstes vorliegen, um Dateninhaber im Sinne des DA zu sein (vgl. Art. 4 Abs. 1 und Art. 5 Abs. 1 DA).
Da die Erfüllung der Zugangsansprüche einen erheblichen Aufwand auslösen kann, der insb. kleine Unternehmen und Start-ups überfordern dürfte, gilt gemäß Art. 7 Abs. 1 DA eine Ausnahme für Kleinst- und Kleinunternehmen, die IoT-Geräte anbieten oder verbundene Dienste erbringen und nicht unter die Pflichten fallen sollen (vgl. Erwägungsgrund 41 des DA).
Das Wirtschaftsgut „Daten“ als Objekt der Zugangsansprüche des DA
Daten stehen als Wirtschaftsgut im Mittelpunkt der neuen Zugangsrechte des DA. Der Begriff „Daten“ ist hierbei weiter zu fassen als z.B. jener im Sinne der EU Datenschutz-Grundverordnung (DSGVO) und differenziert beispielsweise nicht nach dem Personenbezug. Daten im Sinne des Art. 2 Nr. 1 DA meint
jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material,
wobei die Zugangsansprüche des II. Kapitels des DA gemäß Art. 1 Abs. 2 lit. a) DA nur für die Daten gelten, die durch vernetzte Produkte und verbundene Dienste generiert werden:
Daten, mit Ausnahme von Inhalten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen.
Die Erwägungsgründe 15 und 16 zum DA geben weiteren Aufschluss, nennen Beispiele für vom DA umfasste Daten (z.B. Daten in Rohform (Quell- oder Primärdaten), Daten über die Umgebung, Interaktionen des vernetzten Produkts,automatisch Sensoren-generierte Daten, von eingebetteten Anwendungen aufgezeichnete Daten inkl. Anwendungen, die Hardwarestatus oder Funktionsstörungen angeben) und nicht umfasste Daten (z.B. abgeleitete und aggregierte Daten).
Ausgestaltung der Datenzugangsansprüche: Vom direkten Zugang des Nutzers bis zur Weitergabe an Dritte
Nutzer haben nach dem DA das Recht auf Zugang zu ihren und den von ihnen erzeugten Daten. Sofern Nutzer dies ausdrücklich verlangen, muss auch den o.g. Dritten der Zugang zu den Daten des Nutzers gestattet werden.
Accessibility by design und by default: Der direkte Datenzugang des Nutzers gemäß Art. 3 DA
Art. 3 Abs. 1 DA verlangt, dass vernetzte Produkte und verbundene Dienste so konzipiert, hergestellt oder erbracht werden, dass die Produktdaten und verbundenen Dienstdaten „standardmäßig“ für den Nutzer
einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format
zugänglich sind – soweit dies relevant und technisch durchführbar ist. Der Nutzer muss also einen direkten Datenzugang erhalten. Hierdurch soll z.B. die Verfügbarkeit von IoT-Daten gesteigert werden.
Die Pflicht aus Art. 3 Abs. 1 DA trifft v.a. die Entwickler und Hersteller. Offen lässt der DA allerdings, was genau mit „standardmäßig“ gemeint ist, auf welche konkrete Weise der Zugang technisch gewährt werden soll und unter welchen Umständen Relevanz oder technische Durchführbarkeit vorliegen. Hierdurch bleibt der DA zwar technikoffen, überlässt aber dem Verpflichteten die konkrete Umsetzung bzw. den Gerichten die Entscheidung über den Umfang des Anspruchs und damit darüber, in welchen Fällen der Anspruch erfüllt wurde. Erwägungsgrund 22 gibt allerdings einige Beispiele an die Hand.
Besondere Informationspflichten ergeben sich aus Art. 3 Abs. 2 DA gegenüber dem Nutzer vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt, wonach die Vertragspartner des Nutzers, also insb. Verkäufer, Vermieter und Leasinggeber, verpflichtet werden, den Nutzer über bestimmte Aspekte der Datenverarbeitung zu informieren, z.B. ob das vernetzte Produkt Daten kontinuierlich und in Echtzeit generieren kann (Art. 3 Abs. 2 lit. b) DA). Verkäufer, Vermieter und Leasinggeber sind nicht unbedingt mit dem Entwickler und Hersteller identisch, sodass sie sich in diesem Fall die Informationen beschaffen müssen.
Ersatz für den direkten Datenzugang: Der Zugangsanspruch des Nutzers gegen den Dateninhaber gemäß Art. 4 DA
Wenn der Nutzer nicht direkt vom vernetzten Produkt oder vom verbundenen Dienst auf die Produktdaten zugreifen kann, hat er gegen den Dateninhaber gemäß Art. 4 Abs. 1 S. 1 DA einen Anspruch auf kostenlosen Datenzugang, der in seiner Ausgestaltung dem o.g. Anspruch aus Art. 3 Abs. 1 DA entspricht. Soweit technisch durchführbar, verlangt Art. 4 Abs. 1 S. 2 DA, dass der Datenzugang auf einfaches Verlangen des Nutzers und auf elektronischem Wege gewährt wird.
Während der Nutzer bei dem direkten Datenzugang nach Art. 3 DA mittels der vom Dateninhaber geschaffenen Schnittstelle faktischen Zugang zu den Daten und damit volle Verfügungsgewalt erhält, erfolgt der Datenzugang gemäß Art. 4 DA auf Basis eines Anspruchs des Nutzers gegenüber dem Dateninhaber. Dieser wird vor Anspruchserfüllung zunächst prüfen, ob der Anspruchsteller überhaupt Nutzer ist. Für diese Authentifizierung darf der Dateninhaber gemäß Art. 4 Abs. 5 S. 1 DA allerdings nur Mindestangaben verlangen, die auf das erforderliche Maß beschränkt sind. Zugleich darf der Dateninhaber keine Informationen über den Zugang des Nutzers zu den Daten aufbewahren, die über das für die ordnungsgemäße Ausführung des Zugangsverlangens und die Sicherheit sowie Pflege der Dateninfrastruktur Erforderliche hinausgehen (Art. 4 Abs. 5 S. 2 DA). Allerdings gibt es Grenzen des Anspruchs auf Datenzugang.
Die Datenzugangsansprüche können bestimmten Einschränkungen unterliegen
Der Datenzugangsanspruch unterliegt bestimmten Einschränkungen, sodass der Dateninhaber den Datenzugang unter bestimmten Voraussetzungen verweigern oder begrenzen kann. Zugleich stellt der DA weitere Verwendungsbeschränkungen auf. Nach Art. 4 Abs. 2 DA besteht ein Leistungsverweigerungsrecht des Dateninhabers: Dieser und der Nutzer können den Zugang, die Nutzung sowie die Weitergabe von Daten vertraglich beschränken, wenn die Beeinträchtigung von Sicherheitsanforderungen, z.B. eines IoT-Produkts, zu schwerwiegenden negativen Auswirkungen auf die Gesundheit oder Sicherheit von Personen führen könnte.
Der Schutz von Geschäftsgeheimnissen bei der Erfüllung von Zugangsansprüchen
Da die im Rahmen der Erfüllung von Zugangsansprüchen offenzulegenden Daten auch Geschäftsgeheimnisse beinhalten können, war insb. der Geschäftsgeheimnisschutz im Gesetzgebungsverfahren um den DA besonders umstritten. Nun können sich Einschränkungen des Datenzugangs aus dem Geschäftsgeheimnisschutz ergeben, allerdings nicht in der Form dass der Datenzugang vollumfänglich mit Verweis auf den Geschäftsgeheimnisschutz verweigert werden könnte (vgl. Erwägungsgrund 31 des DA). Vielmehr sieht der DA in Art. 4 Abs. 6, 7 und 8 DA einige Schutzmechanismen vor. Dies können beispielsweise erforderliche und angemessene technische und organisatorische Maßnahmen (TOM) zur Wahrung der Vertraulichkeit, z.B. NDAs und strenge Zugangskontrollen, sein (mehr zum Verhältnis des DA zum Geschäftsgeheimnisschutz erfahren Sie hier in unserem Beitrag „Datenzugang und Geheimnisschutz“).
Keine Weitergabe personenbezogener Daten ohne Rechtsgrundlage im Sinne der DSGVO
Auch das Datenschutzrecht kann Datenzugangsansprüchen entgegenstehen, wenn die geforderten Daten Personenbezug zu einem Betroffenen neben dem Nutzer aufweisen und keine Rechtsgrundlage im Sinne von Art. 6 DSGVO vorliegt. Das Stützen auf eine Rechtsgrundlage nach Art. 6 DSGVO ist auch bei gemischten Datenbeständen (also einem Mix aus Industrie- und personenbezogenen Daten) erforderlich. Der DA selbst hält keine solchen Rechtsgrundlagen im Sinne der DSGVO bereit, vgl. Art. 6 Abs. 12 DA (weitere Informationen zum Verhältnis des DA zur DSGVO erhalten Sie hier in unserem Blog: Disharmonie zwischen Data Act und DSGVO (cmshs-bloggt.de).
Datenweitergaben nach dem DA und die Grenzen durch das Kartellrecht
Des Weiteren sind kartellrechtliche Grenzen zu beachten: Erwägungsgrund 116 des DA weist ausdrücklich darauf hin, dass die Regelungen des DA nicht dazu verwendet werden dürfen, den Wettbewerb entgegen des Vertrag über die Arbeitsweise der Europäischen Union (AEUV) einzuschränken, sodass der DA keine Rechtfertigung für einen etwaigen wettbewerbswidrigen Informationsaustausch darstellt. Datenzugangsansprüche können daher unter Umständen mit Verweis auf das Kartellrecht abgewiesen werden.
Die Verwendungsverbote des DA: Erlangte Daten dürfen nicht vollumfänglich verwendet werden
Der DA versucht den Spagat zwischen Innovationsförderung, umfangreicher Datennutzung und gleichzeitigem Schutz von Innovation und Informationen. Hat der Nutzer die angeforderten Daten nach Art. 4 Abs. 1 DA erhalten, unterliegt er bei ihrer Verwendung bestimmten Beschränkungen zum Schutz des Dateninhabers: So sieht Art. 4 Abs. 10 DA beispielsweise ein Wettbewerbsverbot für die Entwicklung konkurrierender Produkte sowie ein Verbot des Ausspähens der wirtschaftlichen Lage, der Vermögenswerte oder der Produktionsmethoden des Herstellers eines IoT-Produkts oder des Dateninhabers vor. Ein ähnliches Verbot gilt aber wiederum auch zum Schutz des Nutzers nach Art. 4 Abs. 13 DA zulasten des Dateninhabers.
Zugang durch Dritte: Weitergabe von Daten auf Verlangen des Nutzers an Dritte
In Art. 5 DA finden sich Regelungen des Rechts des Nutzers auf Weitergabe der Daten, die aufgrund von Art. 4 Abs. 1 DA auch dem Nutzer selbst zur Verfügung gestellt werden müssten, an Dritte. Dies setzt nach Art. 5 Abs. 1 DA ein Verlangen des Nutzers voraus und hat für diesen unentgeltlich zu erfolgen, wobei die Regelungen von Art. 5 DA sowie die darauf aufbauenden Pflichten des Dritten nach Art. 6 DA grundsätzlich den soeben beschriebenen Regelungen des Art. 4 DA entsprechen, z.B. hinsichtlich des Vorbehalts einer DSGVO-Rechtsgrundlage bei personenbezogenen Daten (Art. 5 Abs. 7, Abs. 8 DA) und Geschäftsgeheimnissen (Art. 5 Abs. 9–11 DA), den Wettbewerbs- und Ausspähungsverboten (Art. 6 Abs. 2 lit. e) DA) sowie Beschränkungen durch das Kartellrecht. Allerdings bestehen auch Unterschiede: Für die Beziehung des Dateninhabers zum Dritten gelten beispielsweise die allgemeinen Regelungen der Art. 8 und Art. 9 DA – wohl inkl. der Kostenregelungen.
Der Dritte darf die ihm nach Art. 5 DA bereitgestellten Daten nur zu den Zwecken und unter den Bedingungen verarbeiten, die er und der Nutzer, auf dessen Verlangen der Dritte die Daten erhält, vereinbart haben (Art. 6 Abs. 1 DA). Hier greift wieder eine Einschränkung zulasten von „Gatekeepern“ im Sinne des DMA: Diese dürfen die Daten auch nicht über einen Umweg über einen Dritten als Datenempfänger erhalten, d.h. der Dritte darf die nach Art. 5 DA erlangten Daten keinesfalls an „Gatekeeper“ weitergeben (Art. 6 Abs. 2 lit. d) DA).
Unternehmen sollten jetzt ihre Datenstrategie vor dem Hintergrund des DA überprüfen
Der DA sieht für seine umfangreichen Zugangsansprüche zahlreiche Schranken, Rückausnahmen, Pflichten der Dateninhaber und -empfänger sowie Verbote hinsichtlich der erlangten Daten vor und versucht so, die Ziele der europäischen Digitalstrategie, einen Binnenmarkt für Daten in der EU zu schaffen, Innovationen zu fördern und die EU als Vorreiter der Datenökonomie zu etablieren, mit dem Daten- und Geschäftsgeheimnisschutz sowie weiteren Interessen und bestehenden Rechtsvorschriften in Einklang zu bringen. Ob dies gelingt und ob die Erfüllung der Pflichten für Dateninhaber und -empfänger einen erheblichen Aufwand für die Wirtschaft nach sich zieht oder ob Kosten und Nutzen hier in einem angemessenen Verhältnis stehen, wird die Zeit zeigen.
Klar ist jedoch: Der DA wird im Wesentlichen ab dem 12. September 2025 anzuwenden sein. Bis dahin müssen die notwendigen Umsetzungsmaßnahmen erfolgen (z.B. bzgl. der Erfüllung etwaiger Datenzugangsansprüche).
Mit unserer CMS Blog-Serie „#CMSdatalaw″ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“.
Die Gesetzestexte zum Digital Services Act (DSA) und dem Data Governance Act (DGA) finden Sie für die Praxis kompakt aufbereitet bei CMS DigitalLaws.
This article is also available in English.
* Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.