Zugang zu allen Daten, die durch die Nutzung von Produkten entstehen – und zwar unverzüglich: Das ist das Ziel des Data Act der Europäischen Union. Unabhängig davon, ob Nutzer von zum Beispiel Haushaltsgeräten oder Industriemaschinen als Verbraucher gelten oder nicht, sollen sie vom jeweiligen Hersteller oder Betreiber künftig alle Daten erhalten können, die die Geräte sammeln.

Derzeit befindet sich der Data Act in den letzten Zügen des EU-Gesetzgebungsprozesses und wird voraussichtlich 2023 in Kraft treten. Er wird für ein breites Spektrum von Unternehmen in einer Vielzahl von Branchen gelten, wie etwa Technologie, Gesundheit, Automobil, Energie oder Landwirtschaft.

Schwierige Abgrenzung

Die betroffenen Produkte und die damit verbundenen Dienste müssen so konzipiert sein, dass die bei ihrer Nutzung anfallenden Daten dem Nutzer leicht, sicher und, soweit relevant und angemessen, auch direkt zugänglich sind. Zudem haben betroffene Unternehmen umfangreiche Informationspflichten. Etwa darüber, wie der Nutzer auf die Daten zugreifen kann oder ob der Hersteller beabsichtigt, die Daten selbst zu verwenden oder einem Dritten die Verwendung der Daten zu gestatten.

Diese Informations-, Datenaustausch- und Datenzugangsverpflichtungen gelten jedoch nur für eine bestimmte Gruppe von "Produkten" und die "damit verbundenen Dienste", die Daten über ihre Verwendung oder ihr Umfeld sammeln. Im Entwurf der EU-Kommission wird betont, dass nicht nur Verbrauchsgüter wie Fahrzeuge oder Haushaltsgeräte, sondern auch Medizin- und Gesundheitsgeräte oder Landwirtschafts- und Industriemaschinen vom Data Act erfasst sind.

Produkte, deren Hauptfunktion "die Speicherung und Verarbeitung von Daten" ist, sollen dagegen nicht in den Anwendungsbereich fallen. Damit sind nach der Kommission PCs, Server, Tablets, Smartphones, Webcams, Tonaufzeichnungssysteme oder Textscanner gemeint.

Eine klare Abgrenzung, ob ein Produkt dem Data Act unterfällt oder nicht, kann in der Praxis durchaus schwierig werden – etwa bei Smartwatches, die Daten mithilfe von Sensoren sammeln, gleichzeitig aber so wie Smartphones auch Inhalte anzeigen, aufzeichnen und übertragen können.

In Anbetracht der Ähnlichkeiten und der Argumentation der EU-Kommission, wie sie im Entwurf dargelegt ist, sprechen gute Argumente dafür, dass Smartwatches so wie Smartphones nicht vom Gesetz erfasst sein sollten. Dies ist jedoch nicht eindeutig und derzeit noch unsicher. Der EU-Rat dürfte eine andere Meinung vertreten.

Leitlinien wünschenswert

Der Data Act gilt auch für digitale Dienstleistungen, einschließlich Software, die in ein relevantes Produkt integriert oder mit diesem so verbunden sind, dass ihr Fehlen das Produkt daran hindern würde, eine seiner Funktionen zu erfüllen. Dass die Abgrenzung hier ebenfalls schwierig sein kann, zeigt das Beispiel eines vernetzten Kühlschranks. Dieser kann mit Kameras ausgestattet sein, die den Inhalt des Kühlschranks überwachen, oder mit Sensoren, die den Barcode auf Lebensmitteln scannen, um eine automatische Bestandsaufnahme zu erstellen. Über das Display des Kühlschranks können dem Nutzer zusätzliche Dienste angeboten werden, wie etwa die Einrichtung automatischer Online-Einkäufe, die Überwachung des Verfallsdatums oder der Erhalt von Rezeptvorschlägen auf der Grundlage der im Kühlschrank gelagerten Waren.

Sind diese Dienste direkt in das Gerät integriert, werden sie wohl verbundene Dienste darstellen. Sind sie dagegen etwa nur über eine App abrufbar, ist fraglich, ob der Data Act auch für diese Kühlschrank-App gelten sollen.

Im weiteren Gesetzgebungsverfahren wären deshalb zusätzliche Leitlinien wünschenswert, damit Unternehmen feststellen können, ob sie den im Data Act festgelegten Verpflichtungen in Bezug auf ihre Produkte oder damit verbundenen Dienste unterliegen.

In jedem Fall sollten Unternehmen, die datengesteuerte Produkte oder Dienstleistungen anbieten, in Erwägung ziehen, die Auswirkungen des Data Act auf ihre heutigen Geschäftstätigkeiten zu bewerten, um sich auf die regulatorische Landschaft von morgen vorzubereiten. (Gernot Fritz, Ludwig Hartenau, 28.11.2022)