Der EU Data Act erläutert: Rechte, Pflichten und Herausforderungen für Dateninhaber und Hersteller
Agenda
Was regelt der EU Data Act?
Das EU Data Act verfolgt unter anderem das Ziel, besseren Zugang zu IoT Daten zu ermöglichen und “Fairness” in B2B Vertragsbeziehungen über Daten zu stärken. Er befasst sich mit der Harmonisierung der Regelungen über Zugang zu, und der Nutzung von IoT Daten innerhalb der Europäischen Union, indem es eine Reihe umfassender Regeln und einen Rahmen für den Datenaustausch bereitstellt. Dieser Rahmen, einschließlich der Umsetzung verschiedener Data-Sharing-Konzepte, wirkt sich sowohl auf Einzelpersonen als auch auf Organisationen aus. Dies geschieht im Einklang mit dem Ziel, Innovation sowie fairen Datenzugang zu fördern, und gleichzeitig die Privatsphäre zu schützen und weiterhin einen fairen Wettbewerb im Binnenmarkt der Europäischen Union zu gewährleisten.
Das Gesetz definiert, welche von Nutzern generierten Daten mit Unternehmen und Behörden oder Einrichtungen des öffentlichen Sektors geteilt werden können oder müssen, wodurch die Aufrechterhaltung der Kontrolle des Nutzers über durch Nutzung generierte Daten gefördert und die Interoperabilität der Daten erhöht wird. Das Gesetz regelt den Datenzugriff und die Datenübermittlung, indem es Richtlinien bereitstellt, an die sich Datenvermittler, Plattformen und andere relevante Interessengruppen halten müssen. Darüber hinaus werden klare Verantwortlichkeiten in Bezug auf Datenverarbeitung, Transparenz und Rechenschaftspflicht festgelegt und gleichzeitig Mechanismen zur Beilegung von Streitigkeiten und zur Durchsetzung der Einhaltung festgelegt.
Welche Produkte sind betroffen und was sind die Herausforderungen für Hersteller?
Laut Artikel 2 Nr. 5 EU Data Act ist ein „vernetztes Produkt“
einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist
Einige Beispiele sind Verbraucherprodukte wie vernetzte Autos, Geräte zur Gesundheitsüberwachung, oder Smart-Home-Geräte sowie Industrieprodukte wie Flugzeuge, Roboter oder Industriemaschinen. Der Anwendungsbereich ist breit, und im Zweifel gelten als “vernetzte Produkte” alle verbundenen Geräte, welche Daten während der Nutzung durch den User generieren. Darunter fallen möglicherweise auch Produktkategorien, die in früheren Stadien der Entstehungsgeschichte des EU Data Act zunächst aus dessen Anwendungsbereich ausgenommen wurden (z.B. PCs oder Smartphones), die Endfassung enthält allerdings die Ausnahmen nicht mehr. Das Konzept der IoT-Geräte ist somit weit gefasst.
Vernetzte Produkte (auch “Internet of Things” (IoT) Devices genannt), generieren eine große Menge von Daten. Laut EU Data Act sollen Nutzer solcher Produkte mehr Kontrolle über die durch Nutzung generierten Daten erhalten. Zudem soll die Ausleitung der Daten an Datenempfänger vereinfacht werden.
Welche Herausforderungen haben die Dateninhaber?
Welche Daten sollen geteilt werden?
Die Begriffsbestimmung der durch den EU Data Act erfassten Daten lässt einige Fragen offen, z.B., ob Stammdaten, Produktdaten oder andere statische Daten, etwa über technische Merkmale des IoT Produkts, vom EU Data Act abgedeckt sind. Muss der Dateninhaber nur dynamische Rohdaten liefern, auch wenn diese ohne ergänzende, statische Daten nicht brauchbar oder zweckmäßig sind? Auch wenn mehrere Nutzer die verschiedenen Aspekte eines Produktes benutzen, hat jeder Nutzer Anspruch nur auf die “eigenen” Daten aber nicht auf Daten, die durch die Nutzung anderer generiert wurden. Wie die Daten dynamisch segmentiert und geteilt werden könnte bleibt eine große Herausforderung.
Welche Daten sollen/können nicht geteilt werden?
Der Schutz vom geistigen Eigentum und von Geschäftsgeheimnissen bliebt wichtig und er wird im EU Data Act berücksichtigt. Gleiches gilt für den Datenschutz. Ein Kompromiss mit dem Zweck und der Ausführung des Datenteilens musste gefunden werden. Datenschutz, der Schutz des geistigen Eigentums oder Geschäftsgeheimnisse könnten die Pflicht des Datenteilens eischränken, diesem weitere Vorrausetzungen vorschreiben oder gar als Grund für die Verweigerung des Datentransfers dienen. In der Praxis wird es besonderes herausfordernd sein, technisch und organisatorische Mechanismen zu etablieren, die Compliance mit dem EU Data Act einerseits, und Datenschutz, IP und Geschäftsgeheimisse andererseits, konsolidiert.
Wie soll der Zugriff des Nutzers auf die Daten gewährleistet werden?
Laut Art 3 Abs. 1 EU Data Act müssen vernetzte Produkte “so konzipiert und hergestellt ... werden..., dass die Produktdaten ... standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.” Es bleibt unklar, wie im Einzelfall eine direkte Bereitstellung der Daten technisch aussehen kann oder muss (ausführlicher hierzu unten unter III).
Wie soll der Zugriff des Datenempfängers auf die Daten gewährleistet werden?
Wenn der Datenempfänger die Daten auf Wünsch (mit Einwilligung) des Nutzers erhalten möchte, darf er die Daten unter FRAND Bedingungen erhalten. Der Dateninhaber darf eine Gebühr dafür verlangen, er darf aber die Datenempfänger nicht diskriminieren und keine missbräuchliche Vertragsklauseln auferlegen. Wie diese Bedingungen interpretiert, und wie die Einwilligungsflüsse geprüft werden, bleibt noch zu sehen.
Was umfasst die Informationspflicht des Dateninhabers?
Hersteller von vernetzten Produkten müssen die Nutzer mit umfassenden und detaillierten Informationen über Produktdatenfähigkeiten versorgen. Diese Informationen müssen auch verständlich und klar präsentiert sein, was im Gegenteil zu umfassend und detailliert steht. Wie ein Kompromiss zwischen die zwei Prinzipen gefunden sein kann, ist noch abzusehen.
Wer sind die verschiedenen Beteiligten des EU Data Acts?
Wie oben beschrieben, liegt der Schwerpunkt des EU Data Acts bei Datenzugangsrechten zu den Produktdaten eines IoT Produkts. Die hierdurch geschaffenen Zugangsrechte betreffen jedoch nicht nur Nutzer von IoT Produkten, sondern richten sich insbesondere auch an Hersteller von vernetzten Produkten und Anbieter von verbundenen Diensten sowie Dateninhaber und öffentliche Stellen.
Für die verschiedenen jeweiligen Beteiligten ergeben sich somit verschiedene Besonderheiten und Verpflichtungen. Die Verpflichtungen, die sich durch den EU Data Acts ergeben, sind bereits bei der Herstellung von IoT Produkten zu beachten. Die Produkte müssen demnach bereits so hergestellt werden, dass die Produktdaten standardmäßig einfach, sicher, unentgeltlich und in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können.
Im Rahmen des EU Data Acts sollten daher sowohl Hersteller als auch Dateninhaber (sofern sie nicht ein und dieselbe Person sind) ihre technischen Bereitstellungsmöglichkeiten prüfen, da Hersteller und Dateninhaber auf Verlangen des Nutzers die verfügbaren Daten unter den vorgenannten Voraussetzungen bereitstellen müssen. Sofern eine solche technische Bereitstellungsmöglichkeit noch nicht vorliegt, sollten Unternehmen eine solche zeitig einführen.
Wie bereits erwähnt, beschränkt sich die Die Bereitstellung der Daten jedoch nicht nur auf den Nutzer selbst. Sofern der Nutzer die Weitergabe seiner Daten an Drittparteien verlangt, erhält die Drittpartei diese Daten im Auftrag des Nutzers. Im Rahmen dessen besteht jedoch für die Drittpartei weiterhin die Pflicht, sich an die entsprechenden Auflagen innerhalb des EU Data Acts zu halten.
Im Falle, in welchem neben nicht personenbezogenen Daten auch personenbezogene Daten verarbeitet werden, ist weiterhin grundsätzlich ebenfalls die DSGVO zu beachten, da die DSGVO neben dem EU Data Act weiterhin uneingeschränkte Anwendbarkeit findet.
Wie oben schon erwähnt, bildet u.a. der Schutz von Geschäftsgeheimnissen möglicherweise eine Ausnahme zum umfangreichen Datenzugangsrecht. Soweit die entsprechenden Daten Geschäftsgeheimnisse verkörpern, fallen diese unter die Geschäftsgeheimnis-Richtlinie und können einem Anspruch auf Bereitstellung der Daten an den Nutzer oder an Dritte entgegenstehen bzw. einschränken. Eine solche Verweigerung bzw. Ablehnung müssten die Dateninhaber jedoch im Einzelfall erneut gesondert betrachten und prüfen, da das Vorliegen eines Geschäftsgeheimnisses dargelegt und bewiesen werden müsste.
Konsequenzen für Automotive-Branche
Der EU Data Act wird erhebliche Auswirkungen auf die Automobilindustrie haben - insbesondere im Hinblick auf vernetzte Fahrzeuge. Für den Mobilitätsmarkt ergeben sich durch den EU Data Act zahlreiche neue Möglichkeiten für Geschäftsmodelle, die unter anderem auf dem Austausch von Daten in Ökosystemen basieren. Allerdings gibt es im Bereich Mobilität eine Vielzahl unterschiedlicher Akteure, deren unterschiedliche Interessenschwerpunkte sowie insbesondere die Vielfalt und Heterogenität von Mobilitätsdaten, zu zahlreichen Herausforderungen führen können, die im Folgenden näher erläutert werden.
In Zukunft soll der Autobesitzer das Recht haben, seine Daten selbst zu nutzen oder sie an jemand anders weiterzugeben, etwa an eine freie Werkstatt oder Versicherung. Hierfür müssen die Hersteller ihre Produkte und Services so gestalten, dass sie technisch den Zugang zu den verarbeiteten Daten ermöglichen („Datenzugang by Design“), denn die Kunden haben bisher nur eingeschränkten Zugriff auf diese Daten (beispielsweise über das Auskunftsrecht aus Art. 15 DSGVO). Zudem sind die Kunden bereits vor dem Fahrzeugkauf bzw. vor Inanspruchnahme der (Mobilitäts-)Leistung zu informieren, welche IoT-Daten zu welchem Zweck gesammelt werden (vorvertragliche Informationspflichten).
Es fehlt aber noch der Rechtsrahmen, der konkretisiert, auf welche technische Weise die Daten aus dem Fahrzeug für alle Marktteilnehmer nutzbar gemacht werden können. Problematisch ist dabei, dass der EU Data Act alle vernetzten Geräte erfasst: Vom Fernseher mit Internetzugang über Smartphones bis zum intelligenten Kühlschrank - auch moderne Pkw fallen darunter. Dieser Ansatz ist zu weit und unspezifisch, weil sich die Anforderungen an die verschiedenen Produkte unterscheiden. Was für einen smarten Kühlschrank ausreicht, genügt für ein Fahrzeug bei Weitem nicht. Sektorspezifische Regelungen für Auto-Daten sind angeblich geplant, sie wurden allerdings durch die EU-Kommission bis dato (Juni 2024) noch nicht veröffentlicht.
Rechtlich treffen die Automobilhersteller unter anderem Transparenz- und Informationspflichten. Gleichzeitig müssen sie die datenschutzrechtlichen Regelungen für personenbezogene Daten einhalten und ihre Geschäftsgeheimnisse schützen. Auch hat der EU Data Act Einfluss auf verschiedenste Vertragsdokumente in der Beziehung zwischen Dateninhaber und Nutzer. Kauf-/ Miet-/ Leasingbedingungen sind etwa ebenso anzupassen wie Nutzungsbedingungen.
Auch organisatorisch stellen sich einige Herausforderungen. Datengeber und Datennehmer müssen zusammengeführt, Zugriffsrechte verteilt und Kontrollen durchgesetzt werden. Es braucht Governance-Grundsätze für den Datenaustausch, für die IT- und Cyber-Sicherheit, und es bedarf einer Einigung dazu, wer die Kundenschnittstelle innehat, sie verantwortet bzw. den Zugang zu den (personenbezogenen) Daten der Nutzer kontrolliert.
Bei Automobilherstellern gibt es zudem die Sorge, dass sich Dritte an ihren technischen Entwicklungen bereichern, wenn sie die Daten unbeschränkt mit diesen teilen sollen. Eine häufige Sorge der Industrie ist, dass das Wissen um technische Entwicklungen und Geschäftsgeheimnisse an die Konkurrenz gelangen könnten. Die Versicherer fordern hingegen einen neutralen Datentreuhänder, da sie die Befürchtung haben, dass die Automobilhersteller das potenziell lukrative Datengeschäft zum eigenen Nutzen beanspruchen wollen. Nach Einschätzung der Allianz-Versicherung könnten Versicherer und andere Unternehmen mit Fahrzeugdaten neue beziehungsweise bessere Dienstleistungen anbieten, z.B. risikogerechtere Versicherungsangebote.
Die EU-Kommission sollte den EU Data Act zum Anlass nehmen, bestehende Unsicherheiten für die Automobilindustrie insbesondere mit Blick auf wettbewerbs- und datenschutzrechtliche Fragestellungen zu klären.
Auf privatwirtschaftlicher Ebene schließen Unternehmen untereinander Datenpartnerschaften und Datenkooperationen ab, um einen sicheren, innovationsfördernden Zugang zu Daten zu gewährleisten. Um eine Kooperation zu fördern, sollte der Gesetzgeber durch klarstellende Regelungen im Kartellrecht größere Rechtssicherheit für Kooperationen zum Datenaustausch zwischen Wettbewerbern schaffen.
Wann tritt der EU Data Act in Kraft und ab wann sind die Plichten anwendbar?
Der EU Data Act sieht eine zeitlich gestaffelte Frist der jeweiligen Regelungen vor, welche insbesondere in Kapitel 3 und 4 beschrieben werden.
Nach Inkrafttreten am 11. Januar 2024 wird für Dateninhaber mit einer grundsätzlichen Übergangsfrist von 20 Monaten der EU Data Act ab dem 12. September 2025 europaweit anwendbares Recht sein. Etwaige Ausnahme wären jedoch zu beachten (siehe Art. 50 EU Data Act).
Fazit und Vorschläge zur Vorbereitung
Für die Automobilindustrie sowie für alle kommerziellen Akteure, die im Automotive- Ökosystem agieren und Normenadressaten des Data-Act sind, ist es jetzt an der Zeit, mit einem strategischen Compliance-Projekt zu beginnen. Auch wenn die Vorgaben vorherrschend erst ab Ende 2025/2026 greifen, müssen unter Beachtung verschiedenster unternehmensinterner Entwicklungszyklen bereits jetzt erste Vorkehrungen getroffen werden. Dazu gehört unter anderem die Erstellung, Überprüfung und Anpassung von B2C und B2B Verträgen einschließlich der Allgemeinen Geschäftsbedingungen (AGB) für die Bereitstellung und Nutzung von Daten gemäß den Anforderungen des EU Data Act. Es ist nicht zu früh, ein Gesamtkonzept für Compliance mit dem EU Data Act zu entwickeln. Dies soll mindestens die folgenden Aspekte umfassen:
- Technische Schnittstellen für die Überleitung der Daten an Nutzer und Empfänger
- UX und Backend Anpassungen
- Alle B2B und B2C Verträge müssen neu geprüft und ggf. angepasst werden
- Data Governance Konzept und Workflow / Genehmigungsschemata von Daten-Anfrage bis zur Freischaltung des Zugriffs auf die Daten.
- Evtl. Mechanismus für Compliance mit B2G Daten-Anfragen.
Es handelt sich nämlich um die Entwicklung eines umfassenden, vielschichtigen und funktionsübergreifenden Compliance-Mechanismus, der voraussichtlich eine beträchtliche Investition und langsichtige Planung erfordert. Dessen Rahmen können hier nur kurz skizziert werden.
-
Um den Anforderungen des EU Data-Act gerecht zu werden, ist es für jeden Automobilhersteller bzw. Dateninhaber von entscheidender Bedeutung, die Zusammenarbeit zwischen diversen Abteilungen in diesem Kontext sicherzustellen. Zumindest erfordert das Projekt Maßnahmen und Zusammenarbeit zwischen IT und Produkt, Rechtsabteilung, Geschäftsentwicklung, Betrieb, Verkauf und verbraucherorientierten Dienstleistungen.
-
Es empfiehlt sich, bestehende und geplante Anwendungsfälle zu überprüfen, um sicherzustellen, dass das Unternehmen den Verpflichtungen des Data-Act entspricht. Im Falle von vernetzten Autos/OEMs handelt es sich mit hoher Wahrscheinlichkeit um 'Dateninhaber', die verpflichtet sind, unter bestimmten Voraussetzungen Daten mit Nutzern, Dritten und staatlichen Stellen zu teilen.
-
Sobald die Anwendungsfälle identifiziert sind und die Rolle des Unternehmens für jeden Anwendungsfall bestimmt ist, müssen im nächsten Schritt die Front- und Backend-Komponenten von Produkten und Diensten so angepasst werden, dass ein reibungsloser und EU Data Act-konformer Datentransfer möglich ist. Wenn der Nutzer eine Anfrage auslöst, soll das technische Verfahren unter Berücksichtigung der sich aus der Rolle ergebenden Verpflichtungen und Standards erfolgen.
-
Die Einhaltung des EU Data-Act soll bereits in einem frühen Stadium in die Produktentwicklungsprotokolle integriert werden („Accessibility-by-Design“). Technische Anpassungen wie beispielsweise Systemschnittstellen (API) mit Drittanbietern oder die Schaffung einer Funktion, die es dem Nutzer ermöglicht, Daten in einem bestimmten Format anzufordern, gehen Hand in Hand mit der Schaffung einer Compliance- und Governance-Struktur. Das heißt: Bevor Daten an externe Parteien weitergegeben werden, durchlaufen sie einen standardisierten Überprüfungsprozess für Datenanfragen, der unter bestimmten Aspekten einer datenschutzrechtlichen Prüfung und Dokumentation ähnelt.
-
In diesem Prozess wird vor der Ausführung entschieden, ob eine bestimmte Daten-Anfrage genehmigt wird, und wenn ja, in welchem Umfang. Zudem soll bestimmt werden, welche technische Modalitäten für die Durchführung der Anfrage gelten. Im Rahmen der Data-Governance-Mechanismen legen die Dateninhaber neben Prozessen auch die Funktion und Verantwortungsbereiche innerhalb der Organisation fest, einschließlich der Rolle des Datenverwalters. Rechtliche Fragen, die mit einer bestimmten Anfrage verbunden sein könnten, wie beispielsweise Datenschutz-Compliance im Fall von personenbezogenen Daten oder die Vertraulichkeit der Informationen im Fall von Geschäftsgeheimnissen, müssen vorab geklärt werden.
-
Eine wichtige Säule des Compliance-Mechanismus ist die Überprüfung und Anpassung der Verträge, die der OEM mit den Nutzern und anderen Parteien abschließt. Die B2C Verträge müssen unter anderem die Nutzung der co-generierten Daten durch den OEM umfassend abdecken. Detaillierte B2B Verträge mit Dritten (Datenempfänger) über die Übertragung der Daten und über Datennutzung sind gleichermaßen essenziell.
-
Darüber hinaus sollen OEMs neue Geschäftsmodelle prüfen, bei denen der Datentransfer neue Einnahmequellen schaffen kann. Es wäre zudem sinnvoll zu überprüfen, inwiefern der OEM von den Vorteilen eines Datenempfängers profitieren kann. Dies wäre denkbar etwa im Falle, wenn Nutzer andere Unternehmen anweisen, Daten an den OEM zu übermitteln. Diese Daten können eventuell für die Anreichung des eigenen Produkt- und Dienstleistungsportfolios des OEMs und zu einer erheblichen Steigerung der Wettbewerbsfähigkeit führen. Berücksichtig muss dabei immer das Verbot, mit solchen Daten konkurrierende Produkte/Dienste zu entwickeln.