Data Act schafft Rechtsrahmen für Umgang mit Daten: Schöne neue Daten­welt?

OpenAI, DeepSeek und andere Large Language Models: Künstliche Intelligenz (KI) dominiert die öffentliche Wahrnehmung und mit ihr auch die juristische Diskussion. Der europäische Gesetzgeber hat letztes Jahr neben der KI-Verordnung mit dem Data Act (DA) einen weiteren Meilenstein europäischer Digital-Gesetzgebung verabschiedet. Auch dieser ist ein Stück IT-Regulatorik und dürfte auf kurze Sicht von größerer Bedeutung für die deutsche Wirtschaft sein als die KI-Verordnung. Der Data Act soll im Bereich der Internet of Things (IoT)- und Maschinendaten Datensilos aufbrechen und im Rahmen der Speicherung von Daten durch Provider deren Verschluss verhindern.

Im Data Act finden sich für IoT- und Maschinendaten Zugangsansprüche für die Nutzer gegenüber den sogenannten Dateninhabern, namentlich den Herstellern entsprechender Devices und Maschinen. Nutzer bekommen aber auch gegenüber Providern, beispielsweise Cloud-Anbietern, gem. Art. 25 DA ein Recht auf Datenübertragung im Fall der Vertragsbeendigung (sog. Switching). Gemütlichkeit bei der Implementierung sollten sich die Adressaten der Verordnung nicht leisten.

Verstöße können teuer werden

Der Data Act ist analog der DSGVO ganz erheblich, nämlich am Konzernumsatz orientiert, sanktioniert. Insofern müssen sich Unternehmen in betroffenen Branchen, etwa in den Bereichen Automotive, Elektrotechnik, Maschinenbau und Medizinprodukte, fit für den Data Act machen. Erste Umsetzungsfristen enden bereits am 12. September 2025. Weitere Fristen für den Data Access by Design (Art. 3 DA) sowie die Anpassung von Altverträgen enden jeweils am gleichen Tag im Jahr 2026 bzw. 2027.

Eine fehlerhafte Anwendung des Data Act kann dann zu Bußgeldern von bis zu 20 Millionen Euro bzw. vier Prozent des Konzernumsatzes führen. Der Gesetzgeber jedenfalls ist dabei, die Behörden für die Durchsetzung des Data Act zu rüsten, und hat dafür den Referentenentwurf eines Data Act-Durchführungsgesetzes vom 5. Februar 2025 vorgelegt.

Der Data Act als Projekt

Um gewappnet zu sein, haben sich viele Unternehmen entschieden, ein Data Act-Projekt aufzusetzen, oftmals in ihrer Datenschutzabteilung. Letztlich geht es beim Data Act aber nicht nur oder teilweise auch gar nicht um Datenschutz, sondern um den Umgang mit Geschäftsgeheimnissen und IP-ähnlichen Datenrechten, sowie auch um die Vertragsgestaltung – denn der Data Act regelt insbesondere schuldrechtliche Ansprüche.

Es reicht also nicht, sich dem Data Act rein datenschutz- bzw. datenrechtlich zu nähern. Vielmehr ist ein produktbezogener, strategischer Blick gefordert. So geht es hinsichtlich des Datenzugangs, insbesondere by Design, darum, zu analysieren und planen, wie Produkte gestaltet sind oder werden sollten. Dies sollte nicht auf die lange Bank geschoben werden, auch wenn für die Pflichten aus Art. 3 DA eine ein Jahr längere Umsetzungsfrist besteht. Schließlich sind die sonstigen Aspekte der IT- und Produktsicherheit, des Daten- und Geheimnisschutzes zu beachten.

All dies benötigt Zeit, denn beim Data Act mit seiner zusätzlichen AGB-rechtsähnlichen Vertragskontrolle (Art. 13 DA) handelt es sich um ein äußerst komplexes Stück europäischer Gesetzgebung von leider handwerklich fragwürdiger Qualität. Zahlreiche Normen sind zirkulär. Die verschiedenen Sprachfassungen des Data Act sind teils divergierend abgefasst. Die Fehler, gerade der deutschen Sprachfassung, sind frappierend und mitunter durchaus fehlleitend.

Im Ergebnis ist ein interdisziplinäres, durchaus auch auf die Vertragsgestaltung fokussiertes Projekt aufzusetzen, dass sich insbesondere auch um zwei Themen kümmern sollte: die Herausforderung eines "aufgebrochenen" Geheimnisschutzes und die neue Allokation der Dateninhaberschaft.

Geschäftsgeheimnisse in Gefahr?

Digitale Produkte kehren ihr Inneres mitunter auch dadurch nach außen, dass sie Sensor- oder sonstige Maschinendaten generieren, aus denen sich mittelbar Informationen über ihr Innenleben ableiten lassen. Auf diesem Wege geben sie mitunter sogar Geschäftsgeheimnisse preis. Der Data Act mit seinem Prinzip des Data Access by Design, dessen Reichweite stark umstritten ist, sowie die Datenzugangsansprüche für Nutzer und Dritte in den Art. 4 und 5 DA sorgen allerdings dafür, dass diese Daten nicht mehr ohne Weiteres im Verborgenen bleiben. Vielmehr können sie von Nutzern und auch für deren Vertragspartner eingefordert werden. Hierin liegt ein immanenter Konflikt mit den berechtigten Interessen am Schutz von produkt- bzw. dienstebezogenen Geschäftsgeheimnissen.

Diese Interessen verkennt der Data Act nicht, allerdings wird dem Datenzugang allenfalls Einhalt geboten, soweit der Hersteller bzw. Dateninhaber sich dazu nach Art. 4 Abs. 6 – 9 und Art. 5 Abs. 9 – 12 DA auf den Geschäftsgeheimnisschutz berufen kann. Geheimnisse aber liegen wiederum nur vor, wenn sich der Geheimnis- bzw. Dateninhaber in der Vergangenheit und auch für den Data Act eine Strategie zurechtgelegt hat, wie er die Geschäftsgeheimnisse schützt. Dies bedeutet, dass die Daten mit Blick auf ihren Geheimnischarakter klassifiziert und zumindest entsprechende, vertraglich zu vereinbarende Schutzmaßnahmen vorbereitet werden sollten. Überdies sind die Argumente für eine gesetzlich nur ausnahmsweise zulässige Verweigerung des Datenzugangs zu analysieren.

Dabei schließt sich der Kreis zwischen einem Zugangsansprüche abwehrenden Geschäftsgeheimnis und dessen wirksamen Schutz im Rahmen des Data Act. Denn wer einmal versäumt hat, entsprechende Schutzmaßnahmen für sich in Anspruch zu nehmen, verliert den Schutz für die betroffenen Geheimnisse im Zweifel endgültig auch mit Blick auf künftige Begehrlichkeiten von Nutzern und sonstigen Dritten. Es bestehen noch größere Risiken als sonst im Geschäftsverkehr, weil dem Anbieter bzw. Dateninhaber weitestgehend die Freiheit genommen wird, zu entscheiden, wem er die Daten zugänglich macht.

Dateninhaberschaft – der nutzerzentrierte Ansatz des Data Act

Der Hersteller bzw. Dateninhaber muss sich in knapp einem halben Jahr einer weiteren Herausforderung stellen, nämlich der Tatsache, dass der Gesetzgeber vorgesehen hat, den Nutzer in den Mittelpunkt eigentumsähnlicher, die Daten des Nutzers schützender Regelung zu stellen. So ist es nach Art. 4 Abs. 13 und 14 DA nicht etwa der Hersteller (Dateninhaber), der die Daten ohne weiteres nutzen kann, um seine Produkte – ggf. auch mit Hilfe Dritter – zu verbessern, sondern der Nutzer, der ihm die Nutzung der Daten vertraglich gestatten muss, und dies auch oder gerade, wenn es sich nicht um personenbezogene Daten handelt.

Laut Data Act dürfen die Dateninhaber nicht einmal solche Produktdaten Dritten zu anderen Zwecken als zur Erfüllung des Vertrags mit dem Nutzer bereitstellen. In welchem Umfang hiervon abgewichen werden kann, ist unklar. Die herrschende Meinung geht hiervon immerhin aus. Gesprochen wird dabei von Datenlizenzen, auch wenn der Data Act dem Nutzer letztlich keine Immaterialgüterrechte gewährt. Es bedarf vor diesem Hintergrund aber der vertraglichen Vorbereitung einer Datennutzung durch den Hersteller (Dateninhaber). Dabei stellt sich die Frage, welche Regelungen in Formularverträgen zulässig sind. Und auch sonst erfordert der Data Act, insb. in Art. 3 Abs. 2 und 3, sich intensiv damit auseinanderzusetzen, wie Produktdaten künftig zu managen sind und wie man mit Daten sogenannter verbundener Dienste umzugehen hat.

Der Data Act verlangt interdisziplinäre Projekte unter Einbezug der Produkt- und Softwareentwicklung und auch die Beteiligung verschiedener juristischer Disziplinen, nämlich Expertise im Vertrags-, Daten-, Datenschutz- und Geheimnisschutzrecht. Es bleibt abzuwarten, welche Unternehmen dieses Thema mit ausreichend Vorlauf initiiert haben und welche – ähnlich wie einst bei der DSGVO – erst auf den letzten Metern erkennen, welche großen Herausforderungen der Data Act mit sich bringt. Eine Orientierung versucht die EU-Kommission mit ihren FAQ zum Data Act vom 3. Februar diesen Jahres zu bieten. Allerdings ist Vorsicht geboten: Versäumnisses des Gesetzgebers lassen sich mit FAQ kaum heilen. Die FAQ warten daher nicht ohne Grund mit einem deutlichen Disclaimer auf.

Prof. Dr. Malte Grützmacher, LL.M., ist Rechtsanwalt und Partner der Wirtschaftskanzlei CMS in Hamburg. 

Er berät und vertritt IT-Unternehmen wie auch Anwender insbesondere in Rechtsfragen rund um die Themen Software, KI, personen- und nichtpersonenbezogene Daten sowie IT-Sicherheit.