DER DATA ACT
- Caroline Danner
- 26. Aug.
- 4 Min. Lesezeit
Der Data Act ist bereits seit dem 11. Januar 2024 in Kraft. Ab dem 12. September 2025 muss er beachtet werden. Das Gesetz bildet einen wichtigen Bestandteil der europäischen Datenstrategie. Auch Schweizer Unternehmen können vom Anwendungsbereich des Data Act erfasst werden. Erhalten Sie in diesem Beitrag einen Überblick über die wesentlichen Inhalte.
WAS IST DER DATA ACT?
Das Datengesetz legt sektorenübergreifende Regeln für den fairen Zugang und die Nutzung von Daten fest. Besonders Nutzer vernetzter Produkte sollen leichter, sicher und transparent auf die von ihnen erzeugten Daten zugreifen, sie nutzen und teilen können. Das Gesetz gilt für alle Branchen und strebt eine faire Verteilung des Datenwerts an. So können die Regelungen z.B. auch für Cloud-Infrastrukturen sowie allgemein datengetriebene Geschäftsmodelle anwendbar sein.
WAS SIND VERNETZTE PRODUKTE?
Ein „vernetztes Produkt“ bezeichnet einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – ausser dem Nutzer – ist.
Beispiele:
Internet-of-Things-Geräte wie Haushaltgeräte; Geräte in der Landwirtschaft, im Bau- oder Verkehrswesen.
WAS IST EIN VERBUNDENER DIENST?
Ein „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschliesslich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschliessend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Beispiel:
App für ein vernetztes Produkt.
WAS IST ZENTRAL AM DATA ACT?
Vernetzte Produkte müssen so konzipiert und hergestellt resp. verbundene Dienste müssen so konzipiert und erbracht werden, dass die Produktdaten und verbundene Dienstdaten direkt zugänglich sind.
Soweit Nutzer nicht direkt vom vernetzten Produkt oder verbundenen Dienst aus auf die Daten zugreifen kann, stellen die Dateninhaber dem Nutzer ohne Weiteres verfügbare Daten einschliesslich der zur Auslegung und Nutzung der Daten erforderlichen Metadaten kontinuierlich und in Echtzeit bereit.
Der Dateninhaber darf ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen.
Auf Verlangen eines Nutzers stellt der Dateninhaber einem Dritten ohne Weiteres verfügbare Daten unentgeltlich, kontinuierlich und in Echtzeit bereit.
UM WELCHE DATEN GEHT ES BEIM DATA ACT HAUPTSÄCHLICH?
Der Data Act bezieht sich hauptsächlich auf Produktdaten sowie verbundene Dienstdaten, wobei die für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten miteingeschlossen sind.
WELCHE PFLICHTEN BESTEHEN IM WESENTLICHEN UNTER DEM DATA ACT?
Vernetzte Produkte müssen so gestaltet sein, dass Produktdaten zugänglich sind.
Auch für nicht-personenbezogene Daten besteht eine Informationspflicht („Datenerklärung“).
Ohne Datennutzungsvertrag mit dem Nutzer dürfen Hersteller oder Dateninhaber Produktdaten nicht verwenden.
Eine Weitergabe der Daten an Dritte ist nur zulässig, wenn sie im Vertrag geregelt ist.
Nutzer können verlangen, dass ihre Daten auch an Dritte, einschließlich Konkurrenten, weitergegeben werden.
BESTEHEN AUSNAHMEN DER GENANNTEN PFLICHTEN?
Ja, es bestehen verschiedene Ausnahmeregelungen resp. Einschränkungen. Z.B. sollen Gatekeeper nicht profitieren und Kleinst- resp. Kleinunternehmen sind z.T. von den Pflichten befreit. Zudem gibt es verschiedene Ausnahmen inhaltlicher Natur, z.B. im Zusammenhang mit Geschäftsgeheimnissen und Sicherheit oder in Abgrenzung der Datenschutz-Grundverordnung (DSGVO).
WIE MÜSSEN DIE VOM DATA ACT VORGESEHENEN VERTRÄGE GESCHLOSSEN WERDEN?
Grundsätzlich besteht die Vertragsfreiheit, wobei der Data Act Regelungen zum Schutz von missbräuchlichen Vertragsregelungen vorsieht. Der Data Act sieht auch vor, dass unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung sowie nicht verbindliche Standardklauseln für Verträge über Cloud-Computing von der Europäischen Kommission erstellt und empfohlen werden.
Die Vertragsmuster enthalten sog. Model Contractual Terms (MCT) wie auch sog. Standard Contractual Clauses (SCC).
Die MCT regeln folgend Vertragssituationen:
Verträge zwischen Dateninhaber und Nutzer (Annex I)
Verträge zwischen Nutzer und benanntem Datenempfänger (Annex II)
Verträge zwischen Dateninhaber und Datenempfänger auf Anweisung des Nutzers (Annex III)
Freiwilliger Datenaustausch zwischen Unternehmen (Annex IV)
Während die MCT vollständige Vertragsmodelle darstellen, handelt es sich bei den SCC um modulare Bausteine, die in Cloud-Computing-Verträge eingebunden werden können. Sie befassen sich mit folgenden zentralen Themen:
Allgemeine Klauseln
Wechsel des Anbieters & Exit-Strategien
Vertragsende
Sicherheit & Geschäftskontinuität
Datenlokalisierung
Haftung
Änderungssperren
WANN MÜSSEN SCHWEIZER UNTERNEHMEN DEN DATA ACT BEACHTEN?
Ein Schweizer Unternehmen muss den Data Act grundsätzlich beachten, wenn es unter einer der folgenden Konstellationen fällt:
Schweizer Hersteller vernetzter Produkte, die in der EU in den Verkehr gebracht werden, sowie Schweizer Anbieter verbundener Dienste;
Schweizer Dateninhaber, die Daten Datenempfängern in der EU bereitstellen;
Schweizer Anbieter von Datenverarbeitungsdiensten, die ihre Dienste Kunden in der EU anbieten.
WEITERE INFORMATIONEN:
HABEN SIE FRAGEN ZUM AI ACT?
Kontaktieren Sie uns gerne.
Ihre Ansprechperson:
Caroline Danner
Rechtsanwältin & Inhaberin ONLAW
Foto von Aaron Burdon auf Unsplash.
Kommentare