Das müssen Sie zum Data Act wissen

Die EU will den Zugang und den Austausch von Industriedaten fördern. Dafür soll ein einheitlicher Rechtsrahmen geschaffen werden, der sogenannte Data Act. Die EU hat sich nun auf den Data Act verständigt.

×

Daten sind die Basis für zahlreiche neue digitale Produkte und Dienstleistungen. Immer größere Bereiche unserer Lebens- und Arbeitswelt sind geprägt durch die Vernetzung von Menschen und Maschinen mittels Daten. Und die Nutzung vernetzter Objekte (Internet der Dinge) erzeugt immer mehr Daten. "Zum Ökosystem Smart Phone gesellen sich Smart Car, Smart Home und Smart Factory. Eine Grenze für die intelligente Vernetzung scheint nicht in Sicht", schreibt Springer-Autor Markus Pertlwieser im Kapitel Technologie: Neue Schlüsseltechnologien als Rückgrat einer neuen Infrastruktur (Seite 25) des Buchs Das Richtige digitalisieren. 

Doch während die Datenmenge kontinuierlich zunimmt, wird ihr Potenzial nicht ausgeschöpft. Laut Angaben der Europäischen Kommission würden rund 80 % aller anfallenden Industriedaten niemals genutzt. Für eine "datenagile Wirtschaft" müsse, so die EU-Kommission, dieses schlummernde Potenzial aber gehoben werden. Künftig soll daher eine neue Verordnung die europäische Datenwirtschaft ankurbeln, und zwar der sogenannte Data Act. Das Datengesetz nimmt derzeit konkrete Gestalt an und soll regeln, wer unter welchen Bedingungen Daten von vernetzten Geräten und Produkten wirtschaftlich verwerten darf. Die wichtigsten Fragen + Antworten zum Data Act im Überblick. 

Was soll der Data Act regeln?

Der Data Act ist ein Gesetzesvorschlag, der die Hindernisse für die Verbreitung von Industriedaten beseitigen will. "Der Data Act soll zum einen die gemeinsame Datennutzung im B2B-Bereich fördern und den Zugang zu industriellen Daten erleichtern. Zum anderen sollen insbesondere Nutzer*innen vernetzter Produkte oder digitaler Dienstleistungen des Internet of Things Zugang zu den Daten erhalten, welche bei der Nutzung dieser Dienste oder Produkte entstehen", so Springer-Autorin Angelina Zier im Kapitel Jüngste Entwicklungen in Rechtsprechung und Gesetzgebung der Europäischen Union (Seite 293f) des Buchs Investitionsschutz für Maschinendaten. Dazu würden mit dem Data Act umfangreiche Regelungen zum Data-Sharing geschaffen, mit dem Ziel, eine gerechtere Verteilung der mit maschinengenerierten Daten verbundenen Wertschöpfung zu erreichen. Die Regelungen sollen laut Zier sektorübergreifend für alle Branchen und Wirtschaftsbereiche gelten. 

Der Data Act knüpft an den Data Governance Act an und ergänzt diesen. Durch das Zusammenspiel dieser beiden Verordnungen soll ein einheitlicher europäischer Datenraum geschaffen werden.

Wie ist der aktuelle Stand der Umsetzung? 

Die Europäische Kommission hat zur Umsetzung der europäischen Datenstrategie am 23. Februar 2022 den Vorschlag für einen Data Act veröffentlicht. Das Europäische Parlament hat am 14. März 2023 mit großer Mehrheit seine Position zum Entwurf der EU-Kommission beschlossen. Auch der EU-Ministerrat hat sich kürzlich auf eine gemeinsame Position zum Data Act geeinigt. Damit können die Verhandlungen über die endgültige Fassung der Verordnung nun starten. In der Nacht zum 28. Juni 2023 haben die EU-Staaten und das EU-Parlament eine Einigung auf das Datengesetz verkündet. Diese muss nun noch formell vom EU-Parlament und vom Rat der Mitgliedstaaten bestätigt werden. Mit einem Inkrafttreten des Data Act wäre dann Ende 2024 zu rechnen. Sobald die EU das Gesetz verabschiedet, muss es in den Mitgliedstaaten durchgesetzt werden.

Wer ist vom Data Act betroffen?

Vom Data Act betroffen sind insbesondere Hersteller, Dateninhaber und Nutzer von vernetzen Geräten, wie etwa Haushaltsgeräte, Industriemaschinen oder auch vernetzte Fahrzeuge. Zudem kommen auch auf Anbieter von Datenverarbeitungsdiensten, etwa Cloud-Anbieter, neue Pflichten zu. Darüber hinaus werden Rechte Dritter gestärkt. Für kleine und mittlere Unternehmen (KMU) bestehen Ausnahmen. 

Der Data Act enthält Regelungen für die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und Behörden (B2G).

Welche Maßnahmen beinhaltet der Data Act?

• Allein die Nutzer vernetzter Geräte entscheiden darüber, wie mit Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben. Nutzer können dabei Unternehmen wie auch Verbraucher sein. Der Data Act soll es den Nutzern ermöglichen, diese Daten auszuwerten und unter bestimmten Bedingungen an Dritte weiterzugeben.
• Hersteller müssen ihre Produkte und Dienstleistungen technisch so gestalten, dass ein Datenzugang stattfinden kann. Für kleine Unternehmen gelten Erleichterungen.
• Für Nutzer soll es einfacher werden, ihren Anbieter von Datenverarbeitungsdiensten zu wechseln.
• Ein Dateninhaber muss einer öffentlichen Einrichtung auf Antrag Daten zur Verfügung stellen, wenn ein "außergewöhnlichen Bedarf" an der Nutzung der Daten besteht, etwa in einem öffentlichen Notfall wie Überschwemmungen und Waldbränden. Eine Ausnahme besteht für KMU.

Die Mitgliedsstaaten tragen den von der EU-Kommission vorgelegten Entwurf grundsätzlich mit, machen sich aber für einige Nachbesserungen stark. Die wichtigsten Änderungen gegenüber dem Kommissionsvorschlag sind: 

• eine klarere Definition des Anwendungsbereichs der Verordnung, insbesondere im Hinblick auf Daten aus dem Internet der Dinge (IoT), bei denen der Schwerpunkt von den Produkten selbst hin auf die Funktionen der von den vernetzten Produkten erhobenen Daten verlagert wurde
• einige Klarstellungen zum Zusammenspiel zwischen dem Datengesetz und Rechtsvorschriften, wie dem Daten-Governance-Gesetz und der Datenschutz-Grundverordnung (DSGVO)
• Schutz von Geschäftsgeheimnissen und Rechten des geistigen Eigentums, ergänzt durch geeignete Schutzmaßnahmen gegen missbräuchliches Verhalten
• zusätzliche Leitlinien in Bezug auf eine angemessene Entschädigung für die Bereitstellung der Daten und Streitbeilegungsmechanismen
• einige Feinabstimmungen bei Anträgen öffentlicher Stellen auf gemeinsame Datennutzung aufgrund außergewöhnlicher Notwendigkeiten
• klarere und allgemeiner anwendbare Bestimmungen in Bezug auf einen wirksamen Wechsel zwischen Datenverarbeitungsdiensten.

Das EU-Parlament hat seinen Kurs mit ähnlichen Änderungsanträgen abgesteckt. Wichtige Änderungen betreffen die Definition zentraler Begriffe, eine weitere Stärkung der Position des Nutzers, den Umfang des Rechts auf Datenzugang und die Kontrolle der Hersteller über die Daten. Darüber hinaus wollen die Abgeordneten den Schutz von Geschäftsgeheimnissen stärken, höhere Anforderungen für Datenzugangsansprüche seitens öffentlicher Stellen und zusätzliche Sicherheitsmaßnahmen gegen unrechtmäßige internationale Datentransfers durch Anbieter von Cloud-Diensten.

"Rat und Parlament liegen in vielen Punkten nicht weit auseinander. Tiefe Risse sind nicht erkennbar. Die Chancen stehen gut, dass die Verhandlungen schnell verlaufen und der Data Act noch in diesem Jahr in Kraft tritt", kommentiert Philippe Heinzke, Rechtsanwalt und Partner bei der internationalen Wirtschaftskanzlei CMS Deutschland. Laut CMS sollen in den weiteren Verhandlungen insbesondere um folgende Punkte gehen: Anwendungsbereich, Schutz von Geschäftsgeheimnissen, Gatekeeper, Vergütung für Datenzugang, Rolle des Nutzers, missbräuchliche Vertragsklauseln, Wechsel des Cloud-Anbieters und internationale Datentransfers.

Inwiefern ist der Data Act für die Automobilbranche relevant?

Aufgrund der riesigen Menge an unterschiedlichsten Daten, die generiert werden und in verschiedensten Anwendungen genutzt werden können, ist der Mobilitätssektor besonders betroffen. "Das für die Verkehrswende erforderliche Zusammenspiel zwischen den verschiedenen Mobilitätsarten, der hierfür erforderlichen Infrastruktur sowie privaten und staatlichen Beteiligten kann nur durch den Einsatz datengetriebener Technologien und KI-Anwendungen gelingen", so Dr. Michael Kraus, Fachanwalt für Informationstechnologierecht und Partner bei CMS Deutschland.

Der ADAC begrüßt zwar den "Data Act", gehe ihm aber nicht weit genug. Für Fahrzeuge bräuchte es spezifischere Regelungen, so der Automobilclub. Nötig sei eine zusätzliche "sektorspezifische" Regelung, also eine Ausgestaltung, die sich speziell und damit noch besser für Fahrzeuge eigne. Im Automobilsektor bräuchten Dienstleister neben Autoherstellern auch den Zugang zu den Funktionen und Ressourcen des Fahrzeugs, wenn sie zum Beispiel im Fahrzeugdisplay eigene Apps darstellen wollen. Nur dann würden Anbieter in die Entwicklung digitaler und innovativer Dienste für Verbraucher investieren.

Welche Kritik wird am Data Act geäußert?

Kritik kommt von Verbraucherschützern und der Industrie. Während Verbrauchschützer den stark verankerten Schutz von Geschäftsgeheimnissen kritisieren und für Verbraucherdatenhoheit plädieren, sperrt sich die Wirtschaft gegen zu viel Offenheit. 

Wie der europäische Verbraucherschutzverband BEUC bemängelt, könnten etwa Hersteller selbst entscheiden, welche Daten sie zum Teilen freigeben. Der Dateninhaber könne den Zugang Dritter zu den Daten verweigern mit dem Argument, dass die fraglichen Daten mit "komplexen geschützten Algorithmen" verarbeitet wurden oder dass die Weitergabe der Daten die Sicherheit des Produkts beeinträchtigen würde.

Der Verbraucherzentrale Bundesverband (vzbv) kritisiert, dass Verträge über die Datennutzung Verbraucher überfordern könnten, denn sie seien in Vertragssituationen nicht auf Augenhöhe mit Unternehmen und hätten daher ein besonderes Schutzbedürfnis. 

Aus der Wirtschaft kommen hingegen gegenteilige Signale. Für den Digitalverband Bitkom müssen geschäftskritische Daten auch künftig vor dem Zugriff von Wettbewerbern geschützt werden können. So sieht es auch Rechtsanwalt Heinzke: "Damit das Gesetz die Datenwirtschaft fördert, müssten Geheimnisinhaber ein echtes Verweigerungsrecht erhalten". Besonders kritisch sei auch, so Bitkom, dass der Data Act derzeit wichtige Begriffe wie Daten oder Produkte sehr breit definiere, sodass der Anwendungsbereich nahezu unbegrenzt groß sei. Für dringend verbesserungswürdig hält Bitkom zudem Regelungen, die in den Wettbewerb und die Vertragsfreiheit der Unternehmen beim sogenannten Cloud Switching eingreifen.