Der neue Data Act – Die Fieldfisher Blog-Serie

Teil 1 - Warum eine Datennutzungsklausel bald in keinem Internet-of-Things Vertrag fehlen darf

Mit dem neuen Data Act (VO (EU) 2023/2854) hat die EU den Datenverkehr im europäischen Binnenmarkt an entscheidenden Stellen grundlegend neu aufgestellt. Diese Weichenstellung betrifft dabei auch klassische Industriezweige, die zumindest in ihrem Kerngeschäft eher wenig Berührungspunkte zum Umgang mit personenbezogenen Daten hatten (Gebäude- und Anlagentechnik, Fertigungsindustrie, Automotive). Denn der Data Act erfasst auch "Maschinendaten", die beim Betrieb smarter Produkte generiert werden. Aber auch Unternehmen, die bereits erfahren im Umgang mit der DSGVO & Co. sind (insbesondere Zulieferer und Hersteller smarter Produkte sowie angebundener Software), müssen auf operativer und rechtlicher Ebene tätig werden.

Einzelne Regelungen des Data Acts haben bereits einiges an Aufmerksamkeit erregt, insbesondere das Zugangsrecht des Nutzers zu Produktdaten (Art. 4 Abs. 1 Data Act), die Weitergabepflicht von Produktdaten an Dritte (Art. 5 Abs. 1 Data Act) und den erleichterten Wechsel zwischen Cloud-Providern (Art. 23 ff. Data Act) – hierzu in Kürze mehr.

Eine der wichtigsten Änderungen des Data Act geht aber noch tiefer: Auf welcher Grundlage können Hersteller und Softwareanbieter überhaupt Maschinendaten aus der Nutzung ihrer Produkte nutzen? Der Data Act ändert die Verhältnisse hier erheblich: Ausreichend ist in Zukunft nicht mehr der faktische Zugriff auf solche Daten, sondern eine vertragliche Erlaubnis vom jeweiligen Nutzer des Produkts. Deshalb darf eine vertragliche Regelung zur Datennutzung – auch mit Blick auf nicht-personenbezogene Daten – bald in keinem Vertrag über smarte Produkte und zugehörige Software mehr fehlen.

Im Detail: Für welche Daten gilt der neue Data Act?

Der Data Act gilt dabei sowohl für personenbezogene als auch für nicht-personenbezogene Daten. Die größten Neuerungen bringt der Data Act aber für die nicht-personenbezogenen Daten; personenbezogene Daten werden grundsätzlich weiterhin durch die Datenschutz-Grundverordnung (DSGVO) umfassend geschützt.

Der Data Act verfolgt das zentrale Ziel, den Zugang zu und die Nutzung von Produktdaten und Dienstdaten zu regeln. Dabei handelt es sich um Daten, die durch die Nutzung eines vernetzten Produkts bzw. des verbundenen Dienstes generiert und durch eine Schnittstelle abgerufen werden können.

• Ein vernetztes Produkt ist jeder Gegenstand, der Daten über seine Nutzung oder seine Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugriff übermitteln kann (z. B. vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte, Flugzeuge, Roboter, Industriemaschinen).
• Ein verbundener Dienst ist ein digitaler Dienst, einschließlich Software, der so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte (einschließlich späterer Ergänzungen zum Produkt)

Oft gelten die Pflichten des Data Act nur für "ohne Weiteres verfügbare" Daten, also solche die ohne unverhältnismäßigen Aufwand vom Produkt oder Dienst erhalten werden können; das schließt die für die Auslegung und Nutzung erforderlichen zugehörige Metadaten mit ein. Ausgeklammert sind dagegen oft die aus den Rohdaten gefolgerten oder abgeleiteten Informationen, die das Ergebnis zusätzlicher Investitionen sind. Bei dieser Weichenstellung lohnt es sich, genau hinzusehen. Wo genau die Grenze liegt, ist eine Frage des Einzelfalls und sollte bei der Überprüfung der Datennutzung im Unternehmen auch dokumentiert werden. Dabei sollte nicht aus den Augen verloren werden, dass auch investitionsintensiv angereicherte Daten einmal als Rohdaten begonnen haben; zumindest insoweit sollte der Schritt vom Rohdatum zur "special sauce" des Unternehmens ausreichend vertraglich abgesichert sein.

Im Detail: Bin ich von den Regelungen des neuen Data Acts betroffen?

Die zentralen Akteure des Data Acts sind die Nutzer und Dateninhaber. Zum praktischen Umgang mit diesen Begriffen des Data Acts bietet sich folgende Faustformel an:

• Nutzer ist jede natürliche oder juristische Person, die auf einer vertraglichen Grundlage ein vernetztes Produkt dauerhaft oder zeitweilig besitzt oder einen verbundenen Dienst in Anspruch nimmt.
• Dateninhaberin ist jede natürliche oder juristische Person, die den Zugang zu den Produkt-/Dienstdaten kontrolliert. Darunter fallen unter anderem Hersteller vernetzter Produkte, darin verbauter Komponenten und Anbieter verbundener Dienste.

Wichtig hierbei: Der Anwenderkreis der "Nutzer" kann sehr weit sein und umfasst nicht nur B2C-Fälle (bspw. den Erwerber eines smarten Kühlschranks), sondern auch B2B-Geschäfte (zum Beispiel beim Verkauf eines smarten Ersatzteils für eine industrielle Fertigungsmaschine).

Erhebliche Neuerung: (Eigene) Verwertung von Nutzungsdaten nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer

Der Data Act ordnet die bisherigen Kräfteverhältnisse im Verhältnis von Dateninhaber und Nutzer grundlegend neu: Wo bislang für die Verwertung von "Maschinendaten" aus der Nutzung der Produkte (beispielsweise zur Verbesserung für die kommende Produktserie) der faktische Zugriff des Dateninhabers auf solche Daten genügte, stellt der Data Act dieses Modell auf den Kopf. In Zukunft soll der Nutzer die rechtliche Kontrolle darüber haben, ob und wie diese Daten verwendet werden können. Der herstellerseitige Daten"inhaber" ist deshalb gerade nicht automatisch der "Eigentümer" der Nutzungsdaten. Die englische Fassung des Data Acts (="data holder") zeigt dagegen deutlicher, dass herstellerseitiger faktischer Zugriff zunächst nur die "Verwaltung" dieser Daten meint.

Der Grund für diese Zuordnung zugunsten des Nutzers eines Produkts ist die Überlegung, dass es ohne den Nutzer die anfallenden Produkt- oder Dienstdaten überhaupt nicht gäbe (Erwägungsgrund 18, Satz 3):

"Der Nutzer trägt die Risiken und genießt die Vorteile der Nutzung des vernetzten Produkts und sollte auch Zugang zu den von ihm generierten Daten haben. Er sollte daher berechtigt sein, aus den von diesem vernetzten Produkt und allen verbundenen Diensten generierten Daten Nutzen zu ziehen."

Hieraus folgt für alle Dateninhaber, die Nutzungsdaten nicht lediglich treuhänderisch verwalten, sondern auch selbst nutzen und verwerten möchten, ganz konkreter Handlungsbedarf. Denn Art. 4 Abs. 13 Data Act sieht ausdrücklich und unmittelbar anwendbar ab dem 12. September 2025 vor:

"Der Dateninhaber darf ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen." 

Eine umfassend detaillierte und dem Nutzer vor Vertragsschluss transparent zur Verfügung gestellte Datennutzungsvereinbarung gehört deshalb nun zur vertraglichen Checkliste beim Vertrieb und Bezug von vernetzten Produkten und verbundenen Diensten.

Einbindung der Datennutzungsvereinbarung entlang der gesamten Vertriebskette

Gerade Zulieferer für smarte Produkte und verbundener Dienste, die selbst keinen unmittelbaren Kontakt mit Endkunden haben, über ihre zugelieferten Komponenten aber nichtsdestotrotz Nutzungsdaten erhalten, sollten die erforderliche Datennutzungsvereinbarung über ihre Vertragspartner grundsätzlich entlang der Vertriebskette weiterreichen lassen. Auch hier wird sich in vielen Fällen Anpassungsbedarf an bestehende Vereinbarungen ergeben.

Eine pragmatische Alternative kann das "Überspielen" der Zwischenhändler und der unmittelbare Abschluss des Datennutzungsvertrages mit der Nutzerin sein. Dies könnte beispielsweise über eine "Produktregistrierung" geschehen, wie es beim Erwerb elektronischer Geräte nicht unüblich ist. Schon jetzt lassen sich im Markt Aufrufe beobachten, Teil einer "Feedback-Community" oder ähnlichem zu werden, um einen direkten Anknüpfungspunkt mit Nutzern zu schaffen. Für die meisten Unternehmen dürfte die Ergänzung ihrer bestehenden Verträge der bessere Weg sein, gerade auch um unabhängig von zweifelhafter conversion-rates solcher Aufrufe zu sein.

Aktuelle To-Dos für Unternehmen für die Ermöglichung eigener Datennutzung

Unternehmen, die auch in Zukunft Daten aus der Nutzung ihrer Produkte und Dienste im eigenen Betrieb (zum Beispiel zur Produktverbesserung) nutzen wollen, können deshalb die folgenden praktischen Schritte unternehmen:

1. Kommerzieller Überprüfung bestehender Produkte und Dienste: Unternehmen sollten zunächst analysieren, welche Daten durch die Nutzung ihrer vernetzten Produkte oder Dienstleistungen generiert werden. Als zweiter Schritt gilt es zu klären, wo diese Daten unternehmensintern genutzt werden und auch in Zukunft genutzt werden sollen. Der Data Act bietet hier auch die kommerzielle Gelegenheit, aufgebaute Datensilos konkret nutzbar zu machen und ggf. in neuen Geschäftsfeldern tätig zu werden, insbesondere was "Aftermarket-Dienstleistungen" (zum Beispiel Reparatur, Updates) oder die Anbindung an andere Anwendungen angeht (zum Beispiel smarte Anlagen- oder Gebäudesteuerung, predictive maintenance) angeht.
2. Datennutzungsvereinbarung entwerfen und bestehende Verträge ergänzen: Weil unter dem Data Act die Verwertung von Nutzungsdaten in Zukunft nur noch auf Grundlage einer Vereinbarung mit dem Nutzer möglich ist (Artikel 4 Absatz 13 Data Act), sollten Unternehmen eine Erlaubnis zur Nutzung dieser Daten ausdrücklich in ihren Verträgen und AGB ergänzen. Dabei sollte die beabsichtigte Nutzung der Daten (wofür? Weitergabe an Dritte? exklusiv?) möglichst genau geregelt werden; eine pauschale "catch-all"-Klausel zugunsten von Dateninhaber, dürfte dem ausdrücklichen gesetzgeberischen Willen, dem Nutzer die Kontrolle der Nutzungsdaten zuzuweisen, eher entgegenlaufen und kann auch in der Vertriebskette erhebliche Folgeprobleme aufwerfen. Dagegen scheint der Entwurf solcher Einräumungsklauseln nach dem Modell klassischer IP-Lizenzklauseln eher geeignet. Auch hier besteht insoweit Anpassungsbedarf an die technischen Besonderheiten des Einzelfalls.

Wir helfen Ihnen gerne dabei, eine für Ihr Unternehmen passende Klausel zur Sicherung Ihrer Datennutzung zu finden und sich auch in den übrigen umfassenden Änderungen des Data Acts zurechtzufinden.