Im Wohnzimmer ist der Staubsauger-Roboter unterwegs, die Apple-Watch am Handgelenk zeichnet Gesundheitsdaten auf, das smarte Türschloss öffnet die Garageneinfahrt. Ob in den eigenen vier Wänden oder in Fabrikshallen – überall entstehen heutzutage Daten. Diese Daten haben auch einen großen wirtschaftlichen Wert, ohne sie geht in der Digital Economy nichts mehr.

Bis zu 80 Prozent der Daten ungenutzt

Ganz eigene Geschäftsmodelle wurden rund um Daten und Geräte aufgebaut: Wer etwa einen Smartwatch kauft, muss oft eine spezielle App dafür verwenden. Elektroautos werden mit ihrer eigenen Software ausgeliefert. Damit soll damit künftig jedoch Schluss sein.

Im Juni haben sich das EU-Parlament und die Mitgliedsstaaten auf den Data Act geeinigt, jetzt steht nur mehr die formelle Bestätigung aus. Der Data Act soll vor allem die Rechtssituation bei Smarten Geräten und dem Internet of Things (IoT) verbessern.

2026 soll er geltend werden und vor allem für Verbraucher:innen einiges verbessern. Aber auch für die Wirtschaft soll sich damit vieles verbessern: Die EU-Kommission erhofft sich von den neuen Regelungen ein BIP-Wachstum von 270 Millarden Euro im Wirtschaftsraum. Denn laut EU-Kommission würden derzeit bis zu 80 Prozent der Daten ungenützt bleiben.

Der Data Act im Detail

brutkasten: Was ändert der Data Act für Startups im Allgemeinen?

Arthur Stadler: Gleich vorweg: Der Data Act befindet sich noch im EU-Gesetzgebungsverfahren. Es kann also noch zu etlichen Änderungen kommen.

Die meisten wesentlichen Verpflichtungen des Data Acts gelten erst ab einer gewissen unternehmerischen Größe (grundsätzlich ab 50 Mitarbeiter und 10 Mio Euro Jahresumsatz/Jahresbilanz), sodass Startups von einem signifikanten Teil der Verpflichtungen des Data Acts grundsätzlich und realistischerweise nicht betroffen sein werden.

Startups kommen aber Rechte und Schutzmaßnahmen zugute. So werden diese etwa insbesondere vor missbräuchlichen Vertragsklauseln im Zusammenhang mit Datenzugang und Datennutzung geschützt (siehe Artikel 13 Data Act). Es soll unverbindliche Standardklauseln geben. Das stärkt die Verhandlungsposition von Startups im Zusammenhang mit der Weitergabe und Nutzung von Daten speziell gegenüber anderen Unternehmen, deren Verhandlungsmacht stärker ist und bietet neue wirtschaftliche Chancen speziell für Startups (Stichwort Datenportabilität).

Was ändert sich dadurch für die Hersteller von smarten Produkten?

Stadler: Der Data Act gilt grundsätzlich auch für Hersteller von smarten Produkten (wenn diese als Produkt im Sinne des Data Acts zu qualifizieren sind), die in der EU in Verkehr gebracht werden. Sofern gewisse Größenschwellen überschritten werden (siehe zuvor), sind diese Hersteller zu verschiedenen Vorgaben verpflichtet.

Insbesondere sind Hersteller dazu verpflichtet, Produkte so zu konzipieren und herzustellen, dass die bei der Nutzung erzeugten Daten für den Nutzer direkt zugänglich sind. Darüber hinaus bestehen vor Abschluss bestimmter Verträge für ein solches Produkt umfangreiche Informationspflichten an den Nutzer. Soweit der Nutzer nicht bereits direkt über das Produkt auf die Daten zugreifen kann, muss der Hersteller, sofern er als Dateninhaber qualifiziert wird, Zugang zu den Daten ermöglichen.

Dem Hersteller wird auch zusätzlich vorgeschrieben, nicht personenbezogene Daten nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer zu nutzen. Diese dürfen weiters nicht zu jedem beliebigen Zweck genützt werden. Es gibt hier spezielle Einschränkungen (vgl. Artikel 4 (6) Data Act). Darüber hinaus gibt es Regelungen zur Datenweitergabe an Dritte. So existiert das Recht des Nutzers durch die Nutzung des Produkts erzeugte Daten, die sich beim Dateninhaber befinden, einem Dritten bereitzustellen. Das führt für Hersteller smarter Produkte zu einem größeren Konkurrenzdruck, wird doch Datenportabilität vereinfacht. Dritte, die solcherart Daten erhalten, sind in der Nutzung der Daten jedoch eingeschränkt. Damit soll ein gewisses Gleichgewicht der Interessen, trotz Weitergabe von Daten, geschaffen werden.

Neu sind auch Verpflichtungen zur Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit. Diese Neuregelungen gelten zwar nicht für kleine Unternehmen und Kleinstunternehmen (wie etwa Startups), doch sehen sie für davon erfasste Unternehmen zusätzliche Datenbereitstellungspflichten vor.

Sieht die Regelung vor, dass alle Daten ausgelesen werden dürfen? Darf man dann z.B. einfach den Quellcode des Tesla-Autopiloten einsehen und kopieren?

Der Datenzugriff begrenzt sich auf die bei der Nutzung erzeugten Daten. Ausnahmen davon können insbesondere gegenüber öffentlichen Stellen im Falle außergewöhnlicher Notwendigkeit bestehen. Sofern man überhaupt davon ausgehen mag, dass unter „Daten“ auch ein Quellcode subsumierbar ist, würde ein auf den Quellcode bezogenes Auslesebegehren auf Basis des Data Act bereits aufgrund der Einschränkung auf die bei der Nutzung erzeugten Daten scheitern, da der Quellcode üblicherweise vorab statisch existiert und ausgeführt wird (Trennung: statischer Quellcode und dynamische/variable Nutzerdaten).

Wie gesagt, kann es sicherlich im EU-Gesetzgebungsprozess noch zu Änderungen kommen. Darüber hinaus sind Einschränkungen etwa zum Schutz von Geschäftsgeheimnissen und funktionierendem Wettbewerb zu beachten.

Werden Geschäftsgeheimnisse im Data Act ausreichend geschützt?

Der Data Act sieht zwar unterschiedliche Maßnahmen zum Schutz von Geschäftsgeheimnissen vor. Trotzdem kann eine gewisse Unsicherheit der betroffenen Unternehmen nicht gänzlich geleugnet werden.

Nachdem sich der Rechtsakt noch im Gesetzgebungsverfahren befindet, kann es hier auch noch zu Änderungen im Zusammenhang mit dem Schutz von Geschäftsgeheimnissen kommen, sodass letztlich erst die Praxis zeigen wird, wie gut der Schutz tatsächlich funktioniert. Ähnlich wie auch im Datenschutzrecht werden die Gerichte in Zweifelsfällen zu klären haben, wie weit der Schutz reicht.

Der Data Act soll laut EU-Kommission Innovationen begünstigen. Aber wofür und wie dürfen die Daten überhaupt verwendet werden?

Der leichtere Zugang zu erfassten Daten wird eine größere Auswahl an Diensten Dritter begünstigen. Diese könnten ihre Leistungen dann möglicherweise sogar preisgünstiger oder zu besserer Qualität anbieten. Davon können Startups profitieren, da diese mit den Daten arbeiten und entsprechende Leistungen anbieten werden können. So ist etwa denkbar, dass sich die Nutzer vernetzter Produkte für einen günstigeren Reparatur- und Wartungsanbieter (etwa ein Startup) entscheiden – oder sie selbst entsprechende Wartungen bzw Reparaturen durchführen. Es gelten jedoch auch hier gewisse Einschränkungen.

Was müssen Startups künftig bei der Entwicklung von smarten Produkten beachten?

Nachdem ein Wachstum eines Startups möglich ist, sollten auch die aufgrund der Größenschwellen noch nicht erfassten Startups ihre Produkte, Prozesse und Services auf den Data Act anpassen. So kann mühsamer späterer Anpassungsbedarf vermieden werden. Dementsprechend sollten Startups im Zusammenhang mit dem Data Act etwa darauf achten, Produkte bereits so zu konzipieren und herzustellen, dass bei der Nutzung erzeugte Daten für den Nutzer standardmäßig einfach, sicher und – soweit relevant und angemessen – direkt zugänglich sind.

Die neuen Regeln sollen nicht für Klein- und Kleinstunternehmen gelten. Aber für alle anderen. Welche Folgen drohen bei Nichteinhaltung?

Ähnlich wie auch im Datenschutzrecht besteht auch im Zusammenhang mit dem Data Act das Recht auf Beschwerde bei einer zuständigen Behörde. Darüber hinaus werden die Mitgliedstaaten Vorschriften zu Sanktionen bei Verstößen gegen den Data Act erlassen. Unter Umständen kommt den Aufsichtsbehörden sogar das Recht zu Geldbußen bis zu 20 Mio. Euro bzw. bis zu vier Prozent des weltweiten Gesamtjahresumsatzes des Unternehmens zu verhängen. Darüber hinaus sind auch Schadenersatzklagen denkbar.

Die Krypto-Szene befürchtet, dass mit dem Data Act ein „Kill Switch“ eingeführt wird. Was ist darunter zu verstehen und wie begründet sind diese Befürchtungen?

Im technischen Kontext kann unter einem sogenanntem „Kill Switch“ eine Art „Notaus-Funktion“ verstanden werden, die beispielsweise zu einer Unterbrechung oder zum Ausschalten einer Maschine oder dergleichen führt.

Die Befürchtungen der Krypto-Szene stützen sich vorwiegend auf den Artikel 30 des Data Acts. Dieser regelt wesentliche Anforderungen an intelligente Verträge für gemeinsame Datennutzungen und sieht für solcherart erfasste „Verträge“ etwa vor, dass es Möglichkeiten zur sicheren Beendigung und Unterbrechung geben soll. Hier sieht die Krypto-Szene teilweise Herausforderungen bei der tatsächlichen Umsetzung im Krypto-Bereich.

Auch aus unserer Sicht bedarf es noch der ein oder anderen Anpassung bzw Konkretisierung des derzeitigen Entwurfs des Data Acts. Neben den durch die Krypto-Szene monierten Aspekten sollte etwa auch sichergestellt werden, dass die Definition des intelligenten Vertrags im Artikel 2 Ziffer 16 nicht überschießend und allfällige weitere Begriffsverweisungen akkurat sind.

Bei der Verfügbarmachung von Daten sollen die sogenannten FRAND-Bedingungen gelten. Was ist das und wie hält man sich daran?

Der Begriff FRAND steht für fair, reasonable and non-dicriminatory und war bisher eher aus anderen Rechtsgebieten bekannt. Im Lichte des Data Acts versteht man sinnverwandte Umstände bzw Grundsätze auf deren Basis Datenzugang gewährt werden soll. Konkret sieht etwa Artikel 8 Absatz 1 des Data Act faire, angemessene und nichtdiskriminierende Bedingungen für die Datenbereitstellung vor. Konkretisierungen dazu finden sich etwa in Kapitel IV des Data Act.

Zusammengefasst sollte der Dateninhaber sicherstellen, dass zuvor genannte Grundsätze eingehalten und keine missbräuchlichen Klauseln verwendet werden. Die Verwendung der versprochenen Standardklauseln kann hier hilfreich sein.