Mit der Datenverordnung (Data Act - EU Regulation 2023/2854), die am 11.01.2024 in Kraft getreten ist, wird zukünftig geregelt, wer Anspruch auf den Erhalt von Daten bekommt. Hintergrund des Data Acts ist es in der EU den Austausch und die Nutzung von Daten zu erleichtern und zu fördern. Davon sind sowohl Anbieter von Cloud-Diensten als auch Hersteller von vernetzten Produkten betroffen. Die Verordnung wird in Teilen ab dem 12.09.2025 und komplett ab dem 12.09.2026 aktiv.
Grundsätzlich lässt sich der Data Act in zwei große Teile aufteilen:
Datenansprüche bei vernetzten Produkten
Der erste Teil des Data Acts beschäftigt sich mit der Zugänglichkeit von Daten, die bei der Nutzung von vernetzten Produkten und verbundenen Diensten generiert werden, für den Käufer/Nutzer. Dementsprechend wird hierbei vor allem von Hersteller-Seite eine Anpassung ihrer Produkte/Dienste verlangt. Um zu verstehen, was genau verlangt wird, muss zuerst erklärt werden welche Produkte und Dienste vom Data Act betroffen sind.
Hier die Definitionen:
Vernetztes Produkt
- Beweglicher Gegenstand
- Erlangt, generiert oder erhebt Daten über seine Nutzung oder Umgebung
- Kann Produktdaten über elektronischen Kommunikationsdienst, physische Verbindung oder geräteinternen Zugang übermitteln
- Ausgenommen: Produkte, deren Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer ist
Verbundener Dienst
- Digitaler Dienst – einschließlich Software! (kein elektronsicher Kommunikationsdienst), der
- ENTWEDER zum Zeitpunkt des Kaufs, Miete, Leasings mit vernetztem Produkt verbunden ist, sodass das Produkt eine oder mehrere Funktionen ohne ihn nicht ausführen könnte
- ODER anschließend vom Hersteller oder Drittem mit dem Produkt verbunden wird, um seine Funktionen zu ergänzen, zu aktualisieren oder anzupassen
Welche Daten müssen jeweils dem Nutzer zugänglich gemacht werden:
Produktdaten
- Daten, die durch die Nutzung eines vernetzten Produkts generiert werden
- UND die der Hersteller so konzipiert hat, dass sie von einem Nutzer, Dateninhaber oder Dritten aus dem Produkt abgerufen werden können
Verbundene Dienstdaten
- Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen
- UND während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden
Was muss gemacht werden?
Ab dem 12.09.2026 müssen neue vernetzte Produkte und verbundene Dienste so konzipiert werden, dass deren Produktdaten und verbundene Dienstdaten standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.
Dies bedeutet für Hersteller, dass bei ihrer Produktentwicklung diese neue Datenschnittstelle berücksichtigt wird. Weiterführende Details zur Umsetzung sind von der Verordnung nicht vorgegeben. Für den Maschinenbau bestehen aktuell Empfehlungen, unter anderem auch vom VDMA, diese Schnittstelle per OPC UA bereitzustellen, da der Standard in der Branche geläufig ist und somit der Zugang für den Kunden als „leicht zugänglich“ einzuschätzen ist. Auch eine Bereitstellung der Daten über (schon bestehende) Cloud-Plattformen ist denkbar. Eine Pflicht zur Speicherung oder Bereinigung dieser zu teilenden Daten besteht übrigens nicht.
Nur sollen zusätzlich zu den Rohdaten, die unter die Verordnung fallen, auch die zur Verarbeitung/Deutung nötigen Metadaten an dieser Schnittstelle mitgeliefert werden. Darunter fallen Angaben wie beispielsweise die Information, ob eine abgerufene Temperatur in Kelvin oder Celsius angegeben ist.
Ausnahme der „ohne Weiteres verfügbaren Daten“
Schon ein Jahr zuvor, also ab dem 12.09.2025, besteht für die Dateninhaber (Hersteller) die Pflicht, „ohne Weiteres verfügbare Daten“ dem Nutzer zur Verfügung zu stellen. Damit sind Produktdaten und verbundene Dienstdaten betroffen, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird.
Am Beispiel eines Maschinenbauers: Sollten Daten von der verkauften Maschine des Maschinenbauers zu seiner Cloud geschickt werden (z.B. bei Flottenmanagement), müssten diese Daten ab September 2025 dem Nutzer zur Verfügung gestellt werden. Wenn der Maschinenbauer selbst Zugriff auf Daten hat, die seine Maschine an ihn schickt, sind diese schon ein Jahr früher vom Data Act betroffen.
Ausgeschlossene Daten
Gefolgerte und abgeleitete Informationen, die das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind, fallen nicht unter die Verordnung und müssen nicht geteilt werden (z.B. Berechnungen von komplexen proprietären Algorithmen).
Achtung: Nur weil Daten als Geschäftsgeheimnisse klassifiziert werden können, bedeutet nicht, dass sie vom Data Act ausgenommen sind. Auch diese Daten müssen grundsätzlich zur Verfügung gestellt werden.
Entgelt für die Daten
Die Datenweitergabe, egal ob dies ohne Weiteres verfügbare Daten oder Produktdaten allgemein betrifft, muss für den Nutzers stets kostenfrei sein.
Da der Nutzer auch die Datenweitergabe an Dritte verlangen kann, muss auch dies ohne Kosten für den Nutzer vollzogen werden. Allerdings darf von diesen Dritten (Datenempfängern) sehr wohl eine Gegenleistung verlangt werden.
Achtung: ist der Datenempfänger ein kleines oder mittleres Unternehmen (KMU), darf der verlangte Preis nicht die Kosten der Datenbereitstellung übersteigen.
Ausgenommene Unternehmen
Kleine Unternehmen (KU) und mittlere Unternehmen (MU), die nicht länger als ein Jahr als MU eingestuft sind, sind von der Datenweitergabe des Data Act ausgenommen, sollten sie kein größeres Partnerunternehmen/verbundenes Unternehmen haben.
Wechsel zwischen Datenverarbeitungsdiensten
Der zweite große Teil der Datenverordnung legt Regeln für den Wechsel zwischen Datenverarbeitungsdiensten fest. Datenverarbeitungsdienste werden vorrangig in Cloud-Plattformen gehostet und lassen sich in folgende Modelle untergliedern:
- Infrastructure-as-a-Service (IaaS)
- Platform-as-a-Service (PaaS)
- Software-as-a-Service (SaaS)
- (Storage-as-a-Service)
- (Database-as-a-Service)
Im Data Act wird festgelegt, dass der Wechsel zwischen Datenverarbeitungsdiensten für den Kunden erleichtert werden soll. Dabei hat der Anbieter des Dienstes eine Verpflichtung zum Handeln nach Treu und Glauben, um den Wechsel für den Kunden so einfach wie möglich zu gestalten. Direkte Anforderungen bestehen unter anderem aus der Verpflichtung die Daten des Kunden in einem maschinenlesbaren Format und für mindestens 30 Kalendertage (zum Beispiel als Download) bereitzustellen.
Achtung: Wechselentgelte dürfen ab dem 12.01.2027 nicht mehr vom Kunden verlangt werden. Bis dahin auch nur in ermäßigter Form, wobei der Preis nicht die durch den Wechsel anfallenden Kosten übersteigen darf.
Vorbereitung auf den Data Act
Da der Data Act in Teilen schon 2025 und spätestens ab in Gänze 2026 aktiv ist, ist es wichtig die Produkte/Services seines Unternehmens durchzugehen und zu bestimmen, welche Artikel in welcher Art vom Data Act betroffen sind. Dabei sollten zuerst Produkte bestimmt werden, die unter die Verordnung fallen und anschließend welche Daten dem Nutzer zugänglich gemacht werden müssen. Hierbei empfehlen wir die Durchführung einer Gap Analyse, um konkrete Ergebnisse bestimmen und eine weitere Vorgehensweise aufsetzen zu können.
Gleichwohl müssen sich Anbieter von Datenverarbeitungsdiensten bewusst sein, welche Dienste vom Data Act betroffen sind, und können darauf die nötige Infrastruktur und Prozesse für die neuen Regularien vorbereiten.
Wenn Sie sich schnell und strukturiert auf den Data Act vorbereiten wollen, kontaktieren Sie uns – wir helfen Ihnen bei der Umsetzung der Data Act Compliance!
