Die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13.12.2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtline (EU) 2020/1828 („EU Data Act“) ist am 11.01.2024 in Kraft getreten.
Ab dem 12.09.2025 gelten die Allgemeine Anwendung der EU Data Act, Kapitel III (Datenbereitstellung für öffentliche Stellen) für neue Verpflichtungen und Kapitel IV (Anbieterwechsel) für neue Verträge.
Die Verpflichtung zur Zugänglichmachung von Produktdaten und verbundenen Dienstdaten für den Nutzer gilt für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12.09.2026 in Verkehr gebracht werden.
Ab dem 12.09.2027 greift die Kontrolle missbräuchlicher Vertragsklauseln (Artikel 13) für Altverträge, die am oder vor dem 12.09.2025 abgeschlossen wurden und unbefristet sind oder deren Laufzeit mindestens 10 Jahre nach dem 11.01.2024 endet.
Durch diese zeitliche Staffelung der verschiedenen Pflichten erhalten Unternehmen planbare Übergangsfristen für die Umsetzung der unterschiedlichen Anforderungen.
Die EU Data Act etabliert neue Rechte für Unternehmen und Verbraucher auf Zugang zu Daten, die sie mit vernetzten Produkten und Diensten generieren. Ziel der EU Data Act ist es, Datenaustausch und Innovation zu fördern und vertragliche wie technische Lock-Ins zu vermeiden, die den Wechsel des Dienstanbieters behindern. Damit beschränkt die EU Data Act die bislang häufig ausschließliche Kontrolle vieler Hersteller und Cloud-Anbieter über ihre produktbezogenen Kundendaten.
Der Anwendungsbereich erfasst insbesondere Hersteller vernetzter Geräte, Cloud-/Edge-Dienstanbieter sowie alle Unternehmen, die Daten aus IoT-Produkten (d.h. physische Objekte, die mit Sensoren, Software und anderer Technologie ausgestattet sind) erheben oder nutzen und erleichtert den Wechsel zwischen Datenverarbeitungsdienstleistern für Nutzer. Dateninhaber müssen künftig die ohne Weiteres verfügbaren Daten einschließlich erforderlichen Metadaten dem Nutzer bereitstellen und zwar unentgeltlich für den Nutzer, zeitnah, elektronisch, einfach, sicher, in strukturierten, gängigen, maschinenlesbaren Formaten, in derselben Qualität wie beim Dateninhaber und – soweit technisch machbar – kontinuierlich und in Echtzeit. Auf Anweisung des Nutzers sind die Daten in gleicher Qualität an einen Dritten zu liefern, wobei der Nutzer hierfür kein Entgelt zu zahlen braucht. Für die Lieferung an den Dritten darf der Dateninhaber vom Dritten eine angemessene Kostenerstattung verlangen, allerdings ausschließlich für unmittelbar entstehende Bereitstellungskosten. Für Kleinunternehmer-Empfänger gelten zusätzliche Begrenzungen. Eine Nachrüstungspflicht besteht nicht, d.h. nicht vernetzte Produkte müssen weder vernetzt noch nachgerüstet werden. Die Pflicht zur Zugänglichmachung von Produktdaten und verbundenen Dienstdaten knüpft lediglich an bereits vernetzte Produkte bzw. verbundene Dienste an.
Die Datenschutzgrundverordnung bleibt daneben stets zu beachten; jede Weitergabe personenbezogener Daten erfordert danach eine Rechtsgrundlage. Insoweit ist es ratsam, alle an vernetzten Produkten und zugehörigen in Dienstleistungen generierten Daten – sowohl personenbezogen als auch nicht-personenbezogen – nach Typ, Zweck und Zugriffspunkten zu kategorisieren, um herauszufinden, wo Konfliktpotential mit sonstigem Datenschutzrecht droht und welche Weitergabepflichten nach der EU Data Act bestehen.
Bei weiteren Fragen oder konkreten Einzelfällen wenden Sie sich gerne an Frau Dr. Thanh-Thuy Du-Quoc.