Der Data Act oder die Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, welche am 13. Dezember 2023 nach langer Diskussion über Geschäftsgeheimnisschutz, Vertragsfreiheit, Interoperabilität, Rechtsunsicherheit und mögliche Kosten für KMUs verabschiedet wurde, ist nun am 12.9.2025 gemäß ihres Art. 50 in Kraft getreten. Für Unternehmen in der IoT-Branche bedeutet das, dass sie zukünftig Gerätenutzern die beim Betrieb vernetzter Produkte (Art. 2 Nr. 5) gesammelten Daten umfassend, strukturiert, in einem gängigen und maschinenlesbaren Format, direkt zugänglich machen müssen. Verbraucher und Nutzer von datenerhebenden Geräten haben also einen Anspruch auf die bei der Nutzung entstehenden Daten, die leicht, sicher, unentgeltlich und wenn möglich in Echtzeit bereitgestellt werden sollten (Art. 4 (1)).
Unklar bleibt allerdings sowohl die lizenzrechtliche als auch die technische Ausgestaltung des Datenzugangs und auch die Wechselwirkung mit der Datenschutzgrundverordnung (DSGVO) soweit die beanspruchten Daten personenbezogene Daten von Dritten enthalten. Letzteres kann bspw. auftreten, wenn ein selbstfahrendes Auto während der Fahrt Daten von Passanten im Straßenverkehr aufzeichnet. Kann die ursprüngliche Verarbeitung dieser Daten unter dem Gesichtspunkt der Verbesserung der Sicherheit im Straßenverkehr und bei Anwendung gängiger technischer Datenschutzpraktiken noch als unter der Rechtsgrundlage eines berechtigten Interesses an der Datenverarbeitung (Art. 6 (1) (f) DSGVO) als legal angesehen werden, ist noch unklar, inwiefern eine durch den Data Act angestrebte Sekundärnutzung unter eine rechtliche Verarbeitungsgrundlage der DSGVO subsumierbar ist. Der Data Act selbst stellt nämlich keine eigene Rechtsgrundlage für eine Verarbeitung personenbezogener Daten dar.
Probleme können sich auch ergeben, wenn die weiterzugebenden Daten sensibel sind, weil sie dem Schutz von Geschäftsgeheimnissen der produktbereitstellenden Unternehmen entgegensteht. Ungeklärt bleibt außerdem, wie eine praktikable Lizensierung aussehen könnte. Zwar bestimmt Art. 41, dass die EU-Kommission verpflichtet ist, bis zum 12.9.2025 nicht-bindende Mustervertragsklauseln zur Verfügung zu stellen, diese liegen aber noch nicht in einer finalen Form vor.
Für Unternehmen ergeben sich durch das Gesetz neue Geschäftsfelder und Möglichkeiten als Datentreuhänder. Sie können dazu beitragen, dass Konflikte zwischen DSGVO und Data Act in der Praxis gelöst werden, indem sie Services, wie Anonymisierung oder Pseudonymisierung anbieten. Auch bei der Frage nach der Wahrung von Geschäftsgeheimnissen, können Datentreuhänder einen wichtigen Beitrag zum Erhalt des rechtlichen Schutzes leisten. Fehlen rechtssichere Mustervertragsklauseln oder sind diese für einen konkreten Anwendungsfall ungeeignet, so können Datentreuhänder der Datenwirtschaft auch hier unterstützend zur Seite stehen. Zuletzt bieten Datentreuhänder eine Möglichkeit, dass Datennutzer ihre Verpflichtungen bei Inanspruchnahme des Datenzugangsanspruchs rechtssicher erfüllen können.
Berhan Sarilar und Julia Möller-Klapperich