Seit dem 12.09.2025 gilt der Data Act [1] - mit Ausnahme von Art. 3, Absatz 1 -, aber was genau beinhaltet der Data Act und inwiefern betrifft er Bürger, Unternehmen und Hersteller in der EU?
Der Data Act schafft einen Rechtsrahmen für den fairen Zugang zu und die faire Nutzung von gesammelten Daten, die durch vernetzte Produkte und zugehörige Dienste erzeugt werden.
Des Weiteren enthält er Informationspflichten über die Art generierter Daten und soll u.a. einen erleichterten Anbieterwechsel, z.B. zwischen Cloud-Anbietern, ermöglichen.
Der Data Act ist keine CE-kennzeichnungspflichtige Verordnung, er enthält hauptsächlich prozessuale Anforderungen.
Die einzige indirekte Produktanforderung ist in Artikel 3, Absatz 1 zu finden und gilt erst ab 12.09.2026:
„Vernetzte Produkte werden so konzipiert und hergestellt und verbundene Dienste werden so konzipiert und erbracht, dass die Produktdaten und verbundenen Dienstdaten […] standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format […] direkt zugänglich sind.“
Daneben fordert Artikel 4, Absatz 1, dass „Dateninhaber dem Nutzer ohne Weiteres verfügbare Daten […] unverzüglich, einfach, sicher, unentgeltlich, in einem […] gängigen und maschinenlesbaren Format und […] in der gleichen Qualität“ bereitstellen.
Diese Anforderungen gelten bereits seit dem 12.09.2025.
Daraus leitet sich für Hersteller vor allem eine softwareseitige Pflicht ab, gesammelte Daten dem Nutzer zur Verfügung zu stellen. Die Pflicht beinhaltet nach Formulierung des Data Acts ausschließlich, einen Zugang zur Verfügung zu stellen; gesammelte Daten müssen nicht proaktiv an den Nutzer übermittelt werden. Dieser hat lediglich Anspruch auf einen Zugang zu den Daten und Metadaten. Mögliche Umsetzungen könnten z.B. eine HTTP-API (Application Programming Interface) oder ein Download-Link sein.
Des Weiteren gilt, wenn keine Daten gespeichert werden, der Data Act keine Forderung einführt, dass Daten auf einmal gesammelt, gespeichert und zugänglich gemacht werden müssen, auch wenn es sich um ein vernetztes Produkt handelt, wie ein Bluetooth-Headset.
Artikel 4, Absatz 4 betont noch einmal, dass Dateninhaber die Rechte der Nutzer nicht unangemessen durch „die Struktur, die Gestaltung, die Funktion oder die Funktionsweise einer digitalen Benutzerschnittstelle“ erschweren dürfen.
Artikel 3, Absatz 2 und Absatz 3 beinhalten diverse Informationspflichten dem Nutzer gegenüber. So müssen „die Art, das Format und der geschätzte Umfang der Produktdaten“, ob es sich um Echtzeitdaten handelt, ob Daten auf dem Gerät selbst oder auf Servern gespeichert werden und wie auf diese Daten zugegriffen werden kann dem Nutzer vor Abschluss eines u.a. Kaufvertrages mitgeteilt werden.
Ähnliches wird gefordert, wenn es sich um die Nutzung eines verbundenen Dienstes wie einer App, eines Clouddienstes oder zusätzlicher Software handelt.
Es müssen Informationen über
- „die Art, de[n] geschätzte[n] Umfang und die Häufigkeit der Erhebung der Produktdaten“,
- „die Art und de[n] geschätzte[n] Umfang der zu generierenden verbundenen Dienstdaten“,
- ob der Dateninhaber die Daten selbst verwendet,
- „die Identität des potenziellen Dateninhabers“,
- die Kontaktmöglichkeiten zum Dateninhaber,
- wie der Nutzer die Daten Dritten verfügbar machen kann und
- die „Dauer des Vertrages“
kenntlich gemacht werden.
Außerdem werden neue und dringend benötigte Definitionen für Begriffe wie „vernetzte Produkte“, „verbundener Dienst“, „Dateninhaber“ oder „Datenverarbeitungsdienste“ erklärt.
Der Data Act enthält des Weiteren eine Überholung, wie im europäischen Raum über das Nutzungsrecht generierter Daten überhaupt gedacht wird.
So besagt Artikel 4, Absatz 13, dass Dateninhaber verfügbare Daten ohne Weiteres nur auf Grundlage eines Vertrages mit dem Nutzer nutzen dürfen. Das steht im klaren Widerspruch zu der vorherigen Handhabung von gesammelten Daten, die in vielen Fällen – u.a. bei der Clouddienstnutzung von manchen IoT-Anbietern – oft nicht einmal dem Nutzer selbst zur Verfügung standen.
Der Data Act begrenzt diese Rechte auch nicht auf natürliche Personen, sodass daraus indirekt hervorgeht, dass Selbiges für industrielle Daten gilt, also Daten, die von juristischen Personen wie Unternehmen generiert werden.
Damit ergibt sich ein Handlungsbedarf, der zuallererst ein Umdenken zur Datenhandhabung von Dateninhabern erfordert. Dazu gehört auch, sich bewusst zu werden, wer denn alles ein Dateninhaber und wer ein Nutzer ist.
Danach sollte klar sein, dass der Informationspflicht aus Artikel 4 nachzukommen ist. Diese Informationen sollten klar verständlich vor dem Kauf eines Produkts kommuniziert werden, z.B. über die Webseite des Herstellers oder Dienstanbieters. Sie sollten nicht versteckt in einem weiteren Absatz der AGB untergehen.
Als nächstes sollte eine Schnittstelle implementiert werden, sodass Nutzer auf ihre Daten zugreifen können. Der Data Act macht hierbei keine technischen Vorschriften, wie eine solche Schnittstelle umzusetzen ist. So würde eine HTTP(S)-API für eine begrenzte Menge an zu übermittelnden Daten ausreichend sein. Es gibt auch keine konkrete Forderung zum Datenformat – es muss lediglich strukturiert, gängig und maschinenlesbar sein. JSON würde sich für viele Datensätze anbieten, soll hier aber nur als Beispiel für ein mögliches Datenformat dienen.
Welche Auswirkungen der Data Act auf die Verwendung industriellen Daten haben wird, bleibt abzuwarten. Zumindest beinhaltet er nach Kritik Klauseln zu Geschäftsgeheimnissen und untersagt es dem Nutzer aufgrund der gesammelten Daten ein Konkurrenzprodukt auf den Markt zu bringen.
Abzusehen ist, dass der Data Act sich zumindest für Forschungszwecke gut eignen sollte.
Sanktionen sind Ländersache. Bisher sind keine konkreten Zahlen aus nationalen Umsetzungen bekannt, es soll sich jedoch hauptsächlich um Geldbußen handeln. Bei Verstoß gegen das Datenschutzrecht sollen die Sanktionen der DSGVO – bis zu 20.000.000 € - gelten.
Gleichzeitig beinhaltet der Data Act Ausnahmen für die Anwendung für KMUs und andere kleine bis mittlere Unternehmen in Artikel 7. Für einige Dateninhaber könnte sich ein Blick in die genaue Abgrenzung lohnen.
Damit ist der Data Act mit 50 Artikeln und 131 Seiten zwar ein umfangreicher Rechtsakt, jedoch bleibt abzuwarten, wie groß die Wellen sein werden, die er schlägt und wer von ihm Gebrauch machen wird und in welcher Form.
Wenn Sie Fragen zur praktischen Umsetzung des Data Acts haben, schreiben Sie uns gerne eine E-Mail oder nutzen Sie unser Kontaktformular.
Autorin
Anne Barsuhn
Junior Consultant Cybersecurity
BEGRIFFE UND ABKÜRZUNGEN
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die die Verarbeitung personenbezogener Daten für nahezu alle öffentlichen und privaten Stellen innerhalb der Europäischen Union einheitlich regelt. Ihr Ziel ist es, den Schutz personenbezogener Daten in der EU zu gewährleisten und zugleich den freien Datenverkehr im europäischen Binnenmarkt zu ermöglichen.
