Spaß mit dem Data-Act – Eine Einführung

Henry Krasemann


Video: https://youtu.be/Cy7wA1EQIlw


„Ist der Data Act eine der langweiligsten Gesetzeswerke der EU
und was hat das mit meiner Kaffeemaschine zu tun?“ werden Sie
sich wahrscheinlich gerade nicht fragen. Aber sie könnten sich
das Fragen. Und hinsichtlich der zweiten Frage kann ich schonmal
spoilern: Wahrscheinlich gar nichts. Und ob der Data Act
langweilig ist? Ich versuche mein Bestes zu geben, hier keine
Langeweile aufkommen zu lassen. Tatsächlich kann der Data Act
auch Ihr Leben verändern und ein wenig vielfältiger machen.
Vielleicht …


Der Data Act heißt auf Deutsch Datenverordnung. Und da das nach
so ziemlich allem klingt, sagt jeder nur Data Act. Das hört sich
gleich viel weltmännischer an und ist erst recht meilenweit
besser als der Langtitel „Verordnung (EU) 2023/2854 des
Europäischen Parlaments und des Rates vom 13. Dezember 2023
über harmonisierte Vorschriften für einen fairen Datenzugang und
eine faire Datennutzung“. Die Idee des Data Acts
ist es, uns Menschen – zumindest denen in Europa – ein wenig
Souveränität über die von ihnen erschaffenen Daten zurückzugeben.
Dafür reicht die Datenschutzgrundverordnung (DSGVO) nicht aus.
Die kümmert sich um Ihre und meine personenbezogenen Daten. Der
Data Act geht weiter und dahin, wo es weh tut. Vielleicht nicht
direkt in den brühheißen Kaffee, aber doch dahin, wo Firmen die
Informationen verstecken, die die Menschen selbst geschaffen
haben. Und ja, es kann auch eine Kaffeemaschine betreffen. Doch
muss es dann schon eine vernetzte Kaffeemaschine sein, die sich
mit Cloud und App verbindet. Das Standardmodell von Mitropa lässt
die EU in Ruhe.


Kurz gesagt, wenn wir Menschen in der EU moderne vernetzte
Technik nutzen, dann fallen dabei Daten an. Wie konfigurieren wir
diese Geräte, wie, wann, wo nutzen wir sie und was messen sie z.
B. an unserem Handgelenk, in der Hosentasche oder auf dem Dach.
Angeber sagen dazu „Internet of Things“ oder noch größere Angeber
hauchen einem nur ein „IoT“ auf der Party ins Ohr. Unangenehm.
Aber richtig. Wir vernetzten inzwischen nicht nur Computer,
sondern auch Handys, Smartwatches, Autos, Solaranlagen und ja,
manchmal auch ganz hippe Kaffeemaschinen und Kühlschränke. Ich
habe tatsächlich so einen Kaffeevollautomaten. Wie oft ich die
App dazu genutzt habe, mir meinen ganz individuellen Kaffee
einzustellen? Einmal zum Testen. Dann habe ich festgestellt, dass
die Standardeinstellung für Espresso mir völlig ausreicht. Ich
bin bei Kaffee eher einfach gestrickt. Aber verlassen wir dieses
Einzelschicksal und kommen zurück zum Data Act.


Der Data Act will nun, dass die Firmen von diesen Geräten mit uns
Nutzern über die Verwendung der Daten Lizenzverträge abschließen.
Auch sollen wir Zugriff erhalten und anweisen können, dass diese
Daten zu einem anderen Anbieter übertragen werden. Die Wirtschaft
soll davon profitieren. Und ich davon, dass ich mit meinen Daten
von meiner De‘Longhi zu Jura wechseln kann. Oder sogar (das ist
tatsächlich geregelt) beide Kaffeemaschinen parallel betreiben
kann. Crazy Shit.


Sinn des Data Acts ist es damit zwar auch, dass wir Menschen die
Kontrolle über die von uns z. B. durch Nutzung von Geräten
geschaffenen Daten zurückerhalten. Ziel ist es aber auch, dass
die Wirtschaft angekurbelt wird, indem sie auch diese Daten
erhalten kann – wenn ich es möchte. Und dann verdient nicht nur
der Hersteller des Geräts und Betreiber der ursprünglichen Cloud
Geld, sondern auch noch ein anderer Dienstleister. Datenbasierte
Wertschöpfung nennt sich das. Läuft also in der EU. Obwohl,
braucht es für Wertschöpfung nicht auch einen, bei dem geschöpft
wird? Aber wir kommen vom Thema ab.


In Kraft getreten ist der Data Act am 11. Januar 2024 und gilt
nun seit dem 12. September 2025. Da es eine Verordnung ist und
nicht nur eine Richtlinie, gilt sie ab diesem Tag auch direkt und
ohne dass da der deutsche Gesetzgeber noch eingreifen muss. Der
darf allenfalls noch zu bestimmten Ausgestaltungen wie der
Bestimmung der zuständigen Aufsichtsbehörde ran. Schade, dass so
ein Data Act immer so plötzlich kommt. Da war leider bisher noch
keine Zeit, die deutschen Zusatzregeln zu erlassen (Stand
September 2025). Aber der Act gilt natürlich trotzdem.
Beschwerdeformulare gibt es nun sowohl bei der Bundesnetzagentur
und vielen Landesdatenschutzbeauftragten. Sie haben die Wahl.


Und noch ein Blick in die Zukunft in einem Jahr: Ab 12. September
2026 müssen Produkte, die ab diesem Tag auf dem Markt der EU
platziert werden, die Datenbereitstellung bereits in ihrem
Entwurf berücksichtigt haben – also „by Design“. Solche
Regelungen haben bekanntlich schon bei „Datenschutz by Design“ in
der DSGVO grandios funktioniert – nicht …


Themen des Data Acts sind neben Datenzugang und Datennutzung auch
die Missbräuchlichkeit von Vertragsklauseln, Anbieterwechsel,
Interoperabilität, Datenzugang von öffentlichen Stellen und mehr.
Im Zentrum stehen vernetzte Produkte und verbundene Dienste.
Schön, dass diese Begrifflichkeiten so selbsterklärend sind. Für
alle, die zu doof sind, das auseinanderzuhalten, kurz eine
Erklärung: Ein vernetztes Produkt ist „ein Gegenstand, der Daten
über seine Nutzung oder Umgebung erlangt, generiert oder erhebt
und der Produktdaten über einen elektronischen
Kommunikationsdienst, eine physische Verbindung oder einen
geräteinternen Zugang übermitteln kann und dessen Hauptfunktion
nicht die Speicherung, Verarbeitung oder Übertragung von Daten im
Namen einer anderen Partei – außer dem Nutzer – ist.“ Router sind
damit ausgeschlossen. Oder kurz gesagt, das sind in der Regel
Gegenstände, die Sensoren haben und diese Daten über eine
(Internet-, Bluetooth-, RFID-, Kabel- etc.) Verbindung
übermitteln können. Das geht von den kleinen Smartwatches bis hin
zu Ausrüstungen von Flugzeugen und Tankern.


Bei einem verbundener Dienst handelt es sich hingegen um „einen
digitalen Dienst, bei dem es sich nicht um einen elektronischen
Kommunikationsdienst handelt, – einschließlich Software –,
der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit
dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn
eine oder mehrere seiner Funktionen nicht ausführen könnte oder
der anschließend vom Hersteller oder einem Dritten mit dem
Produkt verbunden wird, um die Funktionen des vernetzten Produkts
zu ergänzen, zu aktualisieren oder anzupassen“. Das war doch nun
wirklich jedem Grundschüler klar. Tun Sie nicht so, als wenn Sie
nicht gewusst hätten, dass damit insbesondere die Apps gemeint
sind, die die Smartwatch, Lichtanlage oder auch Kaffeemaschine
steuern oder eine Titanic 2 um den Eisberg navigiert. Besser, als
dass in der Schifffahrt breitere Türen eingebaut werden, die
notfalls auch zwei Personen tragen können. Obwohl das soll ja
schon bei der Titanic 1 der Fall gewesen sein … aber ich schweife
schon wieder ab.


Betroffen ist alles, was hier in der EU erstmalig in Verkehr
gebracht (in der Regel verkauft) wurde. Geräte, die auf Reisen
außerhalb der EU gekauft wurden, sind nicht betroffen. Und der
Data Act gilt für alle anfallenden Daten ab dem 12.09.2025. Die
Nutzerinnern und Nutzer der Geräte können seitdem die
angefallenen Daten herausverlangen oder an Dritte umleiten
lassen. Und der Dateninhaber (also der Anbieter des Produkts oder
Dienstes) muss zur Verwendung der Daten einen Vertrag mit dem
Nutzer seines Produkts schließen. Wenn sich alle daranhalten,
können die nächsten Tage und Wochen etwas stressig werden, wenn
uns die neuen ergänzten Verträge ins Haus flattern. Die
Europäische Kommission will hierfür Musterklauseln zur Verfügung
stellen. Schade, dass auch für die Kommission der Data Act so
überraschen plötzlich da war. Die Klauseln sollen aber bald
kommen. (Umstrittene) Entwürfe gibt es schon.


Der Data Act gilt auch und gerade für Unternehmen außerhalb der
EU. Es reicht, dass die Kunden in der EU sind. Eher außen vor was
das Einsacken von Daten über den Data Act angeht, sind die
sogenannten Gatekeeper. Diese großen Plattformen wollte man nicht
noch mehr darüber anfüttern. Dies betrifft aktuell Alphabet
(Google), Amazon, Apple, ByteDance (TikTok), Meta (Instagram,
Facebook) und Microsoft. Betroffen sind vor allem Produktdaten,
die über Sensoren und deren Nutzung erlangt werden. Bei den
verbundenen Dienstedaten sind es Handlungen, Aktionen und
Ereignisse, die bei der Nutzung entstehen. Nicht gemeint sind
Inhaltsdaten wie Fotos oder Beiträge oder Daten, auf die auch der
Hersteller bzw. Betreiber keinen Zugriff hat. Daten, die
sicherheitsrelevant sind, können ausgeschlossen werden.
Personenbezogene Daten sind grundsätzlich durchaus vom Data Act
miterfasst. Aber es bedarf einer Rechtsgrundlage, wenn diese
übermittelt werden sollen. Hinsichtlich der personenbezogenen
Daten des Nutzers wird dies oft die Einwilligung sein. Wenn Daten
Dritter betroffen sind (z. B. von Mitarbeitern,
Familienangehörigen, Passanten etc.), dann reicht das nicht aus
und diese Daten müssen aussortiert bzw. anonymisiert werden. In
der Praxis ist das nicht immer einfach. Die
Datenschutzgrundverordnung bleibt jedenfalls parallel gültig. Das
freut das Datenschützerherz, da er auf bekanntes Wissen
zurückgreifen kann.


Damit sind wir beim Data Act noch lange nicht am Ende. Doch da
Sie mir bis hier hin gebannt an den Lippen oder auch Zeichen
gehangen haben, wird es nun zunehmend schwerer, das Interesse
hochzuhalten. Deshalb sei nur kurz noch erwähnt, dass
Datenverträge zwischen Unternehmen nicht missbräuchlich sein
dürfen. Das ähnelt stark den Regeln, die in Deutschland schon für
allgemeine Geschäftsbedingungen (AGB) gelten.


Im Kapitel 6 des Data Acts kommen die Cloud Dienste zum Zug und
dass Kunden einfach von einem Anbieter zu einem anderen wechseln
können. Die Infos dazu müssen dem Kunden schon vor
Vertragsschluss mitgeteilt werden. In Standardfällen muss der
Wechsel innerhalb von 30 Tagen erfolgen können. Bei komplexen
Systemen darf diese Frist auch verlängert werden. Bis 11.07.2027
können dabei noch Wechselgebühren anfallen, danach ist es
kostenlos.


In folgenden Kapiteln des Data Acts geht es noch um
Interoperabilität und die Möglichkeit der parallelen Nutzung von
Diensten. Auch öffentliche Stellen bekommen besondere Rechte auf
Daten, etwa im Falle eines Notstands. Und schließlich sollen die
Daten innerhalb der EU besonders geschützt sein.


Wow, was für ein Akt. Gut, wenn man noch eine alte
Mitropa-Kaffeemaschine mit hängendem Filter und Tropfschutz hat.
Dann entschuldige ich mich für die gestohlene Lebenszeit.