Der Data Act verpflichtet Unternehmen, Nutzungsdaten für Nutzer:innen und Dritte bereitzustellen. Ein Überblick über die neuen Regelungen, die sowohl Chancen bieten als auch Herausforderungen beinhalten. 

Mit einer Reihe von Gesetzesinitiativen zur Datenwirtschaft prägt und fördert die EU aktuell die Datenwirtschaft. Eine der wichtigsten ist jene zum Data Act (DA). Das „Datengesetz“ soll die Verfügbarkeit und Nutzung von Daten im Binnenmarkt deutlich erhöhen. Zu diesem Zweck verpflichtet das Gesetz Unternehmen, Daten bereitzustellen. Nach einem allgemeinen Überblick zum Data Act und einem Beitrag zur Datenbereitstellung für Behörden (insbesondere im Katastrophenfall) erläutert dieser Beitrag die im Data Act enthaltenen Pflichten zur Datenbereitstellung für Nutzer:innen und Dritte. Diese sollen die Entwicklung neuer Produkte und Dienste erleichtern.

Wer muss welche Daten bereitstellen?

Autos, Fitnesstracker, Smart-Home-Geräte – eine Vielzahl von Produkten generiert und speichert bei ihrer Nutzung Daten. Aufgrund des Data Acts müssen ab September 2025 solche Nutzungsdaten zugänglich gemacht werden. Betroffen sind insbesondere sogenannte „vernetzte Produkte“. Dies sind Produkte, die bei ihrer Nutzung Daten generieren oder sammeln und diese Daten übertragen können. Mögliche Übertragungswege sind beispielsweise eine Internetverbindung oder ein Kabel, das bei Bedarf angeschlossen werden kann. Gemeint sind somit insbesondere solche Geräte, die sich dem Internet of Things zuordnen lassen. Nicht unter das Gesetz fallen hingegen Geräte, die speziell für die Speicherung, Verarbeitung oder Übertragung einer anderen Partei (außer dem Nutzer) gedacht sind: zum Beispiel die Server, auf denen verbundene Dienste gehostet werden. 

Falls beispielsweise Kopfhörer, Luftfilter oder Kühlschränke Daten sammeln, müssen diese bereitgestellt werden. Erstens haben die Hersteller solcher Produkte die Pflicht, Zugang zu Nutzungsdaten zu ermöglichen. Beispielsweise muss der Hersteller eines Fitnesstrackers alle getrackten Informationen vollständig zugänglich machen, falls dies nicht bereits geschieht. Zweitens müssen auch die Anbieter von digitalen Diensten, die mit dem Produkt verbunden sind, Daten bereitstellen. Im Falle des Fitnesstrackers könnte dies beispielsweise ein externer Dienst sein, der aus den Trackingdaten Analysen und Empfehlungen, beispielsweise zum Schlafverhalten der Nutzer:innen, erstellt und anbietet. 

Die neuen Pflichten zur Datenweitergabe scheinen zunächst eine Hürde für Unternehmen zu sein. Selbst althergebrachte Produkte wie Waschmaschinen und Lautsprecher verarbeiten heute Daten. Hersteller müssen diese Daten nun bereitstellen und dafür Aufwände in Kauf nehmen. Die Pflichten betreffen jedoch nicht jedes Unternehmen: Kleine und mittlere Unternehmen sind in der Regel davon ausgenommen. Zudem bietet die Regelung neue Chancen. Durch den Zugang zu Daten lassen sich neue Funktionen und Dienste entwickeln. Beispielsweise können Apps entwickelt werden, die Nutzungsdaten von Haushaltsgeräten verschiedener Hersteller zusammenführen, um Analysen und Empfehlungen zu Nutzungsgewohnheiten oder zum Energieverbrauch der Geräte zu erstellen.  

Durch den Data Act lassen sich also neue Märkte erschließen, wobei die Offenheit dieser Märkte gewährleistet werden soll. 

Wer erhält Zugang zu Daten? 

Wenn Daten zugänglich gemacht werden, lautet eine der wichtigsten Fragen: für wen? Der Data Act beantwortet diese Frage, indem er die Nutzer:innen ins Zentrum rückt. Diese können die Daten selbst anfordern oder veranlassen, dass Daten auch Dritten zugänglich gemacht werden. Dies können beispielsweise private Unternehmen oder datenaltruistische Organisationen sein, die aus Nutzungsdaten neue Produkte, Dienste oder Informationen entwickeln. Große Plattformunternehmen, die gemäß dem Digital Markets Act als sogenannte Torwächter gelten, werden hingegen nicht berechtigt. 

In welcher Form muss der Zugang gewährt werden? 

Laut Data Act muss der Zugang zu Daten für Nutzer:innen „einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format“ (Art. 3 Abs. 1 und Art. 4 Abs. 1 DA) sowie „direkt“ (Art 3. Abs. 1 DA) bzw. „kontinuierlich und in Echtzeit“ (Art. 4 Abs. 1 DA) erfolgen. Der Zugang ist außerdem so umzusetzen, dass Nutzer:innen nicht unangemessen in ihrer Entscheidung beeinflusst werden. Beispielsweise dürfte es unzulässig sein, dass Benutzeroberflächen die Auswahl einer bestimmten Option wahrscheinlicher machen als eine andere (wie es heute oft bei Abfragen zur Cookie-Verwendung auf Webseiten der Fall ist). 

Außerdem sind Daten an Dritte weiterzugeben, wenn dies von Nutzer:innen verlangt wird. Dabei muss der Zugang für Dritte zu „fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise“ (Art. 8 Abs. 1 DA) erfolgen. Beispielsweise darf der Hersteller eines vernetzten Produktes nicht bestimmte Datenempfänger ausschließen oder von diesen besonders hohe Gegenleistungen oder besonders anspruchsvolle technische Maßnahmen einfordern. Grundsätzlich kann für die Bereitstellung eine Gegenleistung verlangt werden, wobei die Berechnungsgrundlage darzulegen ist. Falls es sich bei den Datenempfängern um Kleinstunternehmen oder gemeinnützige Forschungseinrichtungen handelt, darf die Gegenleistung nur den Kosten der Bereitstellung entsprechen. 

Bei allen Anforderungen an die Datenbereitstellung ist selbstverständlich anzunehmen, dass diese nur so weit zu erfüllen sind, wie der technische Aufwand tatsächlich zumutbar ist. Klar ist jedoch, dass ein einfacher Verweis auf technische Herausforderungen nicht genügen wird, um den Zugang zu verweigern.  

Wie erfolgt die technische Umsetzung?

Für die Bereitstellung von Nutzungsdaten gibt es heutzutage eine Vielzahl von Möglichkeiten. Der Data Act enthält keine Festlegung, welche dieser Möglichkeiten zu nutzen sind.  

Um wirtschaftliche und gesellschaftliche Mehrwerte zu maximieren, wäre es jedoch wünschenswert, dass Data Sharing möglichst transparent, sicher und souverän erfolgt. Insbesondere Initiativen zum Aufbau von Datenräumen haben das Potential, diesen Ansprüchen gerecht zu werden. Sie dienen dem Ziel, weitgehend quelloffene und somit frei verfügbare Lösungen zu verbreiten, um Daten in offenen, also diskriminierungsfreien Räumen oder Marktplätzen, auszutauschen.  

Erste Datenräume werden bereits von Unternehmen und Forschungseinrichtungen umgesetzt. Beispielsweise wird mit dem Projekt Health-X dataLoft an einem Datenraum für Gesundheitsdaten und mit dem Projekt Marispace-X an einem Datenraum für maritime Daten gearbeitet. Außerdem fördern die EU und ihre Mitgliedstaaten intensiv den Aufbau von Datenräumen im Allgemeinen. So zum Beispiel mit Förderprogrammen wie dem Förderwettbewerb „innovative und praxisnahe Anwendungen und Datenräume im digitalen Ökosystem Gaia-X“ sowie mit spezifischen Passagen in neuen Gesetzen wie dem Data Act. 

Es ist daher anzunehmen, dass Datenräume für die Bereitsteller von Nutzungsdaten in besonderem Maße Effizienz und Rechtssicherheit bieten und ökonomische sowie gesellschaftliches Potentiale realisieren. 

Wer setzt den DA durch? 

In Deutschland wird vor allem die Bundesnetzagentur (BNetzA) für die Anwendung und Durchsetzung des Data Acts verantwortlich sein. Einzelheiten wird die Bundesregierung zwar noch festlegen, die wichtigsten Aspekte sind aber bereits im Data Act enthalten. So können sich Nutzer:innen an die Bundesnetzagentur wenden, wenn ihr Recht auf Zugang zu Nutzungsdaten verletzt wird. Auch Dritte, die Zugang erhalten sollten, können sich an sie wenden, beispielsweise wenn sie sich beim Zugang zu Nutzungsdaten diskriminiert sehen. Die Dateninhaber wiederum müssen die BNetzA informieren, wenn sie in bestimmten Fällen eine Weitergabe von Daten begründet verweigern. 

Um die Einhaltung der Regelungen durchzusetzen, sind von der BNetzA gegebenenfalls Sanktionen zu verhängen, die „wirksam, verhältnismäßig und abschreckend“ (Art. 40 Abs. 1 DA) sind. Diese können bei einem Unternehmen beispielsweise Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes umfassen. 

Neben der Möglichkeit Rechtsmittel einzureichen und sich mit einer Beschwerde an die BNetzA zu wenden, können sich berechtigte Nutzer:innen und Dritte auch gemeinsam mit den betreffenden Dateninhabern an eine Streitbeilegungsstelle wenden. Das sind unabhängige kompetente Organisationen, die sich als Vermittler akkreditieren können und anhand von festgelegten Verfahren und Gebührenordnungen im Streitfall verbindliche Entscheidungen treffen. 

Fazit 

Der Data Act legt weitgehende Verpflichtungen für die Bereitstellung von Nutzungsdaten fest. Diese sind eine Herausforderung für Hersteller vernetzter Produkte und verbundener Dienste – beispielsweise von Produkten im Internet of Things. Die neuen Verpflichtungen sind aber auch eine Chance für die genannten Hersteller und Anbieter, sowie für Nutzer:innen und Organisationen, die Nutzungsdaten verarbeiten können. 

Hersteller vernetzter Produkte können eine Marge verlangen, wenn sie Nutzungsdaten an Dritte weitergeben. Zudem können ihre Produkte durch eine neue nachgelagerte Datennutzung aufgewertet werden. Nutzer:innen wiederum können ihre Daten veräußern und für nützliche Dienste zur Verfügung stellen. Dritte, die Daten verarbeiten, können Daten für ihre geschäftlichen oder gemeinwohlorientierten Zwecke verwenden, soweit dies von den Nutzer:innen gewünscht ist. 

Der Data Act vermag somit einen Impuls zu geben, um Datenaustausch für Wirtschaft und Gemeinwohl zu stärken. Um diesen Impuls zu nutzen, müssen sich interessierte Organisationen insbesondere mit den Techniken für Datenaustausch auseinandersetzen. Besonders relevant in diesem Kontext sind die im Aufbau befindlichen Datenräume, die Grundlagen für transparenten, sicheren und souveränen Datenaustausch bieten.