Auf einen Blick: Gesetz für fairen Datenmarkt

Als EU-Verordnung gilt der Data Act unmittelbar und in all seinen Teilen in den Mitgliedstaaten. Er regelt den Zugang zu Daten, deren Nutzung, sowie faire Vertragsbedingungen und betrifft alle Hersteller von vernetzten Produkten – wie IoT-Geräte und Smart Devices –, Anbieter verbundener Dienste (also digitale Dienste, die direkt mit einem vernetzten Produkt zusammenhängen, etwa ein Daten-auslesendes Telematik-Service für Autos) sowie Cloud-Provider – vorausgesetzt, die Produkte oder Services werden innerhalb der EU angeboten.

Welche Daten müssen geteilt werden?
Unternehmen sind verpflichtet, Nutzern Zugang zu jenen Daten zu gewähren, die durch die Nutzung ihrer Produkte oder Dienste entstehen. Der Datenbegriff ist dabei weit gefasst und umfasst alle Arten von Informationen – von audiovisuellen Inhalten über Textdaten bis hin zu Metadaten.

Wer darf die Daten weiterverwenden?
Ab dem 12. September dürfen Unternehmen die durch ihre Produkte oder Dienste erzeugten Daten nur noch mit Zustimmung der Nutzer verwenden. Steiner erklärt: »Wirtschaftlich werden die Daten damit den Nutzern zugerechnet.« Vor dem Kauf müssen Unternehmen zudem transparent über die vorgesehene Datennutzung informieren. Nutzer haben das Recht, ihre Daten selbst zu verwenden oder aber Dritten (»Data Recipients«) - im Falle des Autos etwa der Werkstatt des Vertrauens - kostenlos bereitzustellen. Für die Weitergabe an Dritte ist ein Vertrag über die Datennutzung erforderlich. Eine (monetäre) Gegenleistung ist zulässig, allerdings unterliegt sie wie auch der Datennutzungs-Vertrag regulatorischen Beschränkungen.

Dritten ist es untersagt, die erhaltenen Daten für die Entwicklung konkurrierender vernetzter Produkte einzusetzen. Es handelt sich dabei jedoch um eine Einschränkung, die laut dem Wortlaut des Gesetzes nicht ausdrücklich für verbundene Dienste gilt.

Sind Geschäftsgeheimnisse überhaupt noch geschützt?
Von Produkten bzw. Diensten erzeugte Daten können grundsätzlich Geschäftsgeheimnisse darstellen. Zwar bleibt deren Schutz weiterhin gewahrt, dennoch kann eine Weitergabe der Daten an Dritte erforderlich sein. »Dritte« sind jedoch verpflichtet, angemessene technische und organisatorische Schutzmaßnahmen umzusetzen und ein sog. »non-disclosure agreement (NDA) abzuschließen. Eine Verweigerung der Datenweitergabe ist nur möglich, wenn trotz Schutz-Maßnahmen ein erheblicher wirtschaftlicher Schaden durch die Offenlegung droht – was in der Praxis meist schwer nachzuweisen sein wird, sofern es sich beim Dritten nicht um einen direkten Wettbewerber handelt.

Wie verhält sich der Data Act zur DSGVO?
Sobald personenbezogene Daten betroffen sind, gilt weiterhin vorrangig die DSGVO. Entscheidend bleibt stets die Frage, ob es sich bei den erzeugten Daten um personenbezogene Informationen handelt. Hier ist Vorsicht geboten, denn eine fehlerhafte Einstufung – etwa, wenn Daten fälschlicherweise als »nicht-personenbezogen« betrachtet werden – kann erhebliche Haftungsrisiken nach sich ziehen.

Welche Sanktionen drohen bei Verstößen?
Der Data Act selbst enthält keine konkreten Strafbestimmungen, sondern überlässt deren Ausgestaltung den Mitgliedstaaten. In Österreich liegt bislang noch kein Entwurf zur Höhe möglicher Strafen vor. Werden jedoch Verstöße im Zusammenhang mit personenbezogenen Daten begangen, greifen die Sanktionsregelungen der DSGVO.

Was ändert sich für Cloud-Services?
Cloud-Anbieter sind verpflichtet, ihre AGB und Nutzungsbedingungen anzupassen und die Portabilität ihrer Dienste sicherzustellen. Ein Wechsel zu einem anderen Anbieter muss innerhalb von 30 Tagen möglich sein. Ab dem Jahr 2027 dürfen für einen Anbieterwechsel zudem keine Gebühren mehr erhoben werden.

Was sollten betroffene Unternehmen rasch umsetzen?
Unternehmen sollten spätestens jetzt ihre Prozesse anpassen, da mit einer Flut an Zugangsanfragen für die Daten zu rechnen ist. Zudem sollten die Unternehmen dringendst die Zustimmung ihrer Kunden respektive Nutzer für die Verwendung der generierten Daten einholen. Seit dem 12. September ist deren Verwendung ohne Zustimmung unrechtmäßig. Und auch die Verkaufsmodalitäten – also Verträge und Informationspflichten – sollten angepasst und eingehalten werden.

Über den Autor

Erik Steiner ist Senior Associate bei Taylor Wessing und Mitglied der IT/IP Practice Group in Wien. Seine Expertise erstreckt sich über mehrere Bereiche, einschließlich Open Source Software, Datenschutz, Softwarelizenzierung, Cybersicherheit, IT-Outsourcing, Gaming sowie die schnell wachsenden Bereiche KI und Web3. Das Unternehmen ist eine der führenden internationalen Wirtschaftssozietäten mit insgesamt 1.250 Anwält*innen an 17 Standorten und 27 Büros weltweit.

Hintergrund: EU Data Act – die drei wichtigsten Punkte

1. Weitergabe
Unternehmen müssen Daten aus vernetzten Geräten (IoT) und dazugehörigen Diensten zugänglich machen – nicht nur für sich selbst, sondern auch für Kunden und Drittanbieter. Nutzer, also Privatpersonen oder andere Unternehmen, erhalten das Recht, ihre Daten einfach zu übertragen. Beispiel: Ein Hersteller von Landmaschinen muss Sensordaten der Maschinen auch dem Landwirt oder einem externen Wartungsservice zur Verfügung stellen – nicht nur dem eigenen Serviceteam.

2. Fairness
Der Datenaustausch muss unter fairen, transparenten und diskriminierungsfreien Bedingungen erfolgen. Geschäftsgeheimnisse dürfen nicht missbraucht werden. Unternehmen können Schutzmaßnahmen verlangen, bevor sensible Daten geteilt werden. Unfaire Vertragsklauseln, zum Beispiel in B2B-Datenverträgen, werden ausdrücklich verboten. Beispiel: Ein großer Plattformbetreiber darf kleine Unternehmen nicht dazu zwingen, alle ihre Daten kostenlos abzugeben.

3. Interoperabilität
Der Datenaustausch muss unter fairen, transparenten und diskriminierungsfreien Bedingungen erfolgen. Geschäftsgeheimnisse dürfen nicht missbraucht werden. Unternehmen können Schutzmaßnahmen verlangen, bevor sensible Daten geteilt werden. Unfaire Vertragsklauseln, zum Beispiel in B2B-Datenverträgen, werden ausdrücklich verboten. Beispiel: Ein großer Plattformbetreiber darf kleine Unternehmen nicht dazu zwingen, alle ihre Daten kostenlos abzugeben.