Data Act (DA): Unterschied zwischen den Versionen

Aus RI Wiki
Zur Navigation springenZur Suche springen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Mirjam.tercero (Diskussion | Beiträge)
467 Bearbeitungen
Mirjam.tercero (Diskussion | Beiträge)
467 Bearbeitungen
Zeile 492: Zeile 492:
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.  
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.  


Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, woraus erkennbar ist, dass der Tatbestand des DA enger ist:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 5.</ref>
Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
{| class="wikitable"
|+
|+
Zeile 501: Zeile 501:
|'''Transfer'''
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriff aus einem Drittland heraus
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugänge
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|-
|'''Daten'''
|'''Daten'''
Zeile 514: Zeile 514:
Anbieter von Datenverarbeitungsdiensten müssen geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.  
Anbieter von Datenverarbeitungsdiensten müssen geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.  


Eine Übermittlung von Daten an Behörden eines Drittlands ist nur zulässig, wenn sie auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden, zB wenn die Entscheidung verhältnismäßig ist, hinreichend begründet wurde und die rechtlichen Interessen des Datenanbieters berücksichtigt werden. Zudem können Adressaten solcher Anfragen die Stellungnahme nationaler oder europäischer Stellen einholen. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen, und der Kunde ist über das Datenzugriffsverlangen zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.
Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter Einhaltung bestimmter Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen, und der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.


Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.
Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

Version vom 23. Dezember 2024, 13:34 Uhr

Langtitel: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)

Kurztitel: Datenverordung, Data Act (DA)

Kurzübersicht

Ziele Anwendungsbereich Inhalt Pflichten Synergie Konsequenzen bei Nichtumsetzung
Förderung des Datenbinnenmarktes Datenräume Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU. Unternehmen müssen Daten interoperabel und zugänglich machen. Kap III DGA für Datenvermittlungsdienste; Kap IV DGA für datenaltruistische Organisationen Innovationsdefizite, Wettbewerbsnachteile
Gerechtere Verteilung des Wertes von Daten und mehr Kontrolle über die eigenen Daten Internet der Dinge Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten. Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten.
  • Geldstrafen nach nationalem Recht
  • Mögliche zivilrechtliche Ansprüche
Vertragsfairness B2B-Datennutzung Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten. Verbraucherschutzgesetze und Wettbewerbsrecht.
Verbesserung der öffentlichen faktengestützten Entscheidungsfindung Ausnahmesituationen von großem öffentlichem Belang Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen. Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung[1]
  • Verpasste Effizienzgewinne
  • Vertrauensverlust in die Verwaltung
Stärkung des Vertrauens in Cloud-Infrastrukturen Cloud-Dienste Einführung von Maßnahmen zur Verbesserung der Sicherheit, Interoperabilität und Portabilität von Cloud-Diensten. Cloud-Anbieter müssen transparente Bedingungen bieten und den Wechsel zwischen Diensten erleichtern.
  • Vendor Lock-in
  • Hemmung des Wettbewerbs
  • Gefährdung der Datensicherheit
Regelung von Smart Contracts Smart Contracts über die Ausführung einer Datenbereitstellungsvereinbarung Festlegung von Anforderungen an die Rechtssicherheit, Interoperabilität und Zuverlässigkeit von Smart Contracts. Entwickler müssen sicherstellen, dass Smart Contracts bestimmten Standards entsprechen und überprüfbar sind. Smart Contracts, die personenbezogene Daten verarbeiten, müssen die Anforderungen der DSGVO erfüllen, einschließlich Privacy by Design
  • Geldstrafen nach nationalem Recht
  • Mögliche zivilrechtliche Ansprüche

Einleitung und Hintergrund

Der DA stellt gemeinsam mit dem Daten-Governance-Gesetz die zweite Säule der europäischen Datenstrategie dar. Bei beiden Rechtsakten handelt es sich um sektorübergreifende Rechtsvorschriften.

Der DA als Teil der ersten Säule der Datenstrategie

Gegenstand des DA sind Regeln für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, insbesondere bekannt im Kontext des Internets der Dinge bzw Internet of Things (IoT).[2]

Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbrauchern (B2C) sowie Unternehmen und staatlichen Stellen (B2G). Im B2B-Bereich wird die Verhandlungsmacht zugunsten kleiner und mittlerer Unternehmen (KMU) neu ausbalanciert, indem diese vor missbräuchlichen Vertragsklauseln geschützt werden, die ihnen von Unternehmen mit größerer Verhandlungsstärke auferlegt werden könnten. Zudem enthält der DA Regelungen für den staatlichen Zugang zu Daten in außergewöhnlichen Umständen.

Internet der Dinge

Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über die Leistung, Nutzung oder Umgebung dieser Produkte und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen.

Der DA ist weltweit das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll[3] (ErwGr 14 f).

Vernetzte Produkte im Internet der Dinge

Ziele des DA

Der DA zielt darauf ab, Innovation zu fördern, indem er folgende Hürden abbaut, die Verbraucher*innen und Unternehmen den Zugang zu Daten erschweren:[4]

  • Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
  • Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten,
  • Kosten der Auftragsvergabe in Bezug auf technische Schnittstellen und für deren Einrichtung,
  • starke Fragmentierung von Informationen in Datensilos,
  • schlechte Verwaltung von Metadaten,
  • fehlende Normen für die semantische und technische Interoperabilität,
  • Engpässe beim Datenzugang,
  • Fehlen einheitlicher Verfahren für die Datenweitergabe,
  • Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

Anwendungsbereich und Definitionen

Sachlich

Unter Daten ist dem DA zufolge jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material zu verstehen. Diese Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des DGA.

DSGVO: Die DSGVO ist hingegen auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für analoge Informationen (Art 4 Z 1 DSGVO).[5]

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:[6]

Kapitel Inhalt Daten
II Datenweitergabe B2C und B2B Daten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen.

Das sind sämtliche Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber leicht verfügbar sein.

Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.

III Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind Alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen
IV B2B - Missbräuchliche Vertragsklauseln Alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden
V Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit Alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogene Daten
VI Wechsel zwischen Datenverarbeitungsdiensten Alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste
VII Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld Alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden

Personell

Person Definition relevanter Merkmale Beispiel[7]

Hersteller vernetzter Produkte

 Ein vernetztes Produkt ist ein Gegenstand, der
  • Daten über seine Nutzung oder Umgebung generiert und
  • der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
  • dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.

Auch "Second Hand"-Produkte sind erfasst.[8]

Vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte, Flugzeuge, Roboter, Industriemaschinen[9]

Anbieter verbundener Dienste

 Ein verbundener Dienst ist ein digitaler Dienst,
  • der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder
  • der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen,

Nicht: elektronische Kommunikationsdienste, einschließlich Bereitstellung der Konnektivität, und Stromversorgung[10]

Eine Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.[11]

Nutzer[12]

 Die (natürliche oder juristische) Person, die
  • ein vernetztes Produkt besitzt oder
  • der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
  • die verbundenen Dienste in Anspruch nimmt.

Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.[13]

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Privatperson, die ein Smart Auto least

Dateninhaber

 Die Person, die berechtigt oder verpflichtet ist, Daten - soweit vertraglich vereinbart - zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes (wohl richtig: und vernetzte Produktdaten)[14] abgerufen oder generiert hat.

Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller der Hardware oder Software sein.[15]

Hersteller einer vernetzten Industriemaschine

Datenempfänger

 Die Person,
  • der vom Dateninhaber Daten bereitgestellt werden,
  • die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt,
  • die nicht Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist.
 Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister

Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union

 Unter öffentlichen Stellen versteht man
  • die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
  • Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen

Anbieter von Datenverarbeitungsdiensten

 Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einen Netzzugang zu einem gemeinsam genutzten Pool an Rechenressourcen ermöglicht. Netzwerke, Software, Server oder andere virtuelle odern physische Infrastruktur, einschließlich Cloud- und Edge-Dienste

Teilnehmer an Datenräumen

 Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten

Anbieter von Anwendungen, die intelligente Verträge verwenden

 Ein intelligenter Vertrag ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.

Beispiel[16]: Eine Privatperson kauft einen vernetzten ("smarten") Kühlschrank. Sie lädt eine entsprechende App auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann.

Vernetztes Produkt: Kühlschrank
Verbundener Dienst App
Dateninhaber
  1. Das Unternehmen, das den Kühlschrank hergestellt hat und
  2. das Unternehmen, das die App anbietet
Nutzer Käuferin (Eigentümerin) des Kühlschranks

Abgrenzungen:

  • Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten tatsächlich stammen. Nutzt daher A ein Smart Auto, das seiner Mutter B gehört, ohne Rechtsanspruch, so gilt A nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur B zu.[17]
  • Der Dateninhaber muss nicht dem Vertragspartner des Nutzers entsprechen.[18]

Zeitlich

Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft.

Die Bestimmungen sind ab dem 12. September 2025 anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.[19]

Ausnahme: Die Produktdesignpflichten sind erst ab 12.9.2026 anwendbar, dh, dass die Vorgaben für vernetzte Produkte gelten, die nach September 2026 in Verkehr gebracht werden.[20]

Örtlich

Der DA folgt dem Marktortprinzip, das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden.

Nutzer müssen in der EU ansässig sein, um in den Genuss der Rechte nach dem DA zu kommen (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, wo die Daten gespeichert werden.[21]

Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen Vertreter benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient. (Art 37 Abs 13 DA) Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Zentrale Inhalte

Datenzugang und Datenverwendung (Kap II bis III)

Datenzugang und Datenverwendung nach dem DA

Dateninhabern kommt die technisch-faktische Herrschaft über Daten zu. Diese Herrschaft anerkennt der DA, durchbricht sie aber dadurch, dass Nutzern Rechte auf Datenzugriff gewährt werden.[22] Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.[23] Sie gelten branchenübergreifend. Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen (Art 7 Abs 1 DA).

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung[24] verpflichtet.[25]

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Primär sollte Nutzern standardmäßig ein direkter Zugang zu Produktdaten und verbundenen Dienstdaten auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Dienstleistungen sollten das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.[26]

  • Produktdaten (Art 2 Z 15 DA, ErwGr 15): Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung).[27]
  • Verbundene Dienstdaten, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten (Art 2 Z 16, ErwGr 15): Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden.

Transparenzverpflichtung (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.

Indirekter Zugang: Zugang auf Verlangen

Dateninhaber haben den Datenzugang den folgenden Personen zu gewähren:

  • Nutzern (Art 4 DA), oder
  • Dritten nach Wahl des Nutzers (Drittzugangsanspruch, Art 5 DA)
    • Dieses Recht ist relevant für die Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann von folgenden Personen gestellt werden:

  • im Namen eines Nutzers handelnde Partei

Das Verlangen kann einfach, zB über ein Webportal, eingebracht werden.[28]

Datenkategorien

Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Konkret sind davon "ohne Weiteres verfügbare Daten" und Metadaten erfasst, die zur Auslegung und Nutzung der Daten erforderlich sind.

  • Daten sind "ohne Weiteres verfügbar" iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Vom Datenzugangsrecht nicht erfasst sind im Übrigen Daten, die bei der Nutzung selbständiger Dienstleistungen (zB Social-Media- oder Cloud-Dienste) entstehen.[29]

Verhältnis zwischen direktem und indirektem Zugang

Der DA bietet Dateninhabern eine gewisse Flexibilität auf welche Weise Datenzugang gewährt wird.[30]

Art der Zugangsgewährung

Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

  • gegenüber dem Nutzer unentgeltlich,
    • vom Dritten kann hingegen ein Entgelt verlangt werden,
  • einfach,
  • sicher,
  • in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.

Beim indirekten Zugang ist dem Verlangen weiters auf folgende Weise nachzukommen:

  • unverzüglich,
  • soweit technisch durchführbar auf elektronischem Weg,
  • (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Kontext Entgelt verlangen unter den folgenden Voraussetzungen:

  • Die Gegenleistung muss diskriminierungsfrei, angemessen und kostendeckend sein,
  • Privilegien für KMUs und gemeinnützige Organisationen: Nur notwendige Kosten dürfen berechnet werden.

Leitlinien für die Berechnung werden von der Kommission erstellt.

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

Sicherheitsanforderungen

Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DSA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er die zuständige Behörde darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.[31]

Schutz von Geschäftsgeheimnissen
Definition

Geschäftsgeheimnis: Informationen, die alle nachstehenden Kriterien erfüllen:

  • Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
  • sie sind von kommerziellem Wert, weil sie geheim sind;
  • sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.[32]

Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:[33]

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse[34] unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DSA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht, kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die zuständige Behörde ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

Besonderheiten bei der Weitergabe personenbezogener Daten

Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten an Dritte darstellt. Er verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als Einwilligung in die Datenverarbeitung betrachtet werden.[35]

Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, so bedarf es einer Rechtfertigung für die Datenübermittlung. Der Nutzer gilt in diesem Fall als Verantwortlicher und benötigt gemäß Artikel 6 Abs 1 DSGVO eine Rechtsgrundlage, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Weiters ist der Nutzer sodann verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer gemeinsam mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne Rechtsgrundlage, um dem DA zu entsprechen, zu einem Verstoß gegen die DSGVO führen.[36]

Anonymisierung/Pseudonymisierung: ErwGr 7 DA nennt zwar die Möglichkeit, Daten zu anonymisieren oder pseudonymisieren, um Datenzugangsverlangen nachzukommen. Anonymisierung und Pseudonymisierung sind jedoch selbst bereits Datenverarbeitungen und benötigen eine Rechtfertigung. Der DA bietet jedoch keinen entsprechenden Erlaubnistatbestand.[37]

Rollenverteilung nach der DSGVO

Aufgrund der teilweise überlappenden Anwendung von DSGVO und DA kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.[38]

Exkurs: Definitionen nach der DSGVO
Bestimmung Rolle Definition Erklärung
Art 4 Z 1 DSGVO Betroffene Person Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen. Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
Art 4 Z 7 DSGVO Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.[39] Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.[40]
Art 4 Z 7 DSGVO Gemeinsam Verantwortlicher Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.[41]

Rollenverteilung nach DA und DSGVO anhand eines Beispiels:[42] Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer*innen, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.

Rechtsakt Scooter-Fahrerin E-Scooter-Sharing-Unternehmen Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt) Hersteller der E-Scooter
DA Nutzer Nutzer Datenempfänger Dateninhaber
DSGVO Betroffener Gemeinsam Verantwortliche Verantwortlicher
Pflichten gemeinsamer Verantwortlicher

Gemeinsam Verantwortliche sind verpflichtet, eine entsprechende Vereinbarung gem Art 26 DSGVO abzuschließen. Diese hat insbesondere zu beinhalten:

  • wer welche Verpflichtung der DSGVO erfüllt,
    • insb was die Wahrnehmung der Betroffenenrechte angeht, und
    • wer welchen Informationspflichten nachkommt,
  • die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

  • eine Anlaufstelle für die betroffenen Personen

Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Datenverwendungsrechte und Nutzungsbeschränkungen

Dateninhaber

Für den Dateninhaber bestehen umfassende Nutzungs- und Weitergabeverbote[43]: Insbesondere darf der Dateninhaber die Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)[44] und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

Nutzer

Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung konkurrierender Produkte noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

Datenempfänger

Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und sofern rechtmäßig nutzen. Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Dritte können diese insb für folgende Zwecke nutzen:

  • um einen der folgenden Dienste anzubieten:
    • einen verbundenen Dienst[45] (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
    • einen Dienst im Aftermarkt (zB Reparatur oder Wartung)
  • um nicht-personenbezogene Daten zu verkaufen

Nutzungsbeschränkungen (Art 6 Abs 2 DA):

  • Profiling: Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
  • Weitergabe von Daten an andere Dritte:
  • Wettbewerbszwecke: Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
    • Das Wettbewerbsverbot gilt jedoch nicht für Daten verbundener Dienste, da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32).

Bedingungen zur Datenbereitstellung: FRAND-Grundsätze

Der DA verpflichtet den Dateninhaber mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:

  • fair
    • Verhinderung vertraglicher Ungleichgewichte (ErwGr 5)
  • angemessen
    • keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers[47]
  • nichtdiskriminierend
    • gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür[47]
  • transparent

Unzulässige Vertragsklauseln: Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

Missbräuchliche Vertragsklauseln B2B (Kapitel IV)

Art 13

  • Missbräuchliche Vertragsklauseln, die einem anderen Unternehmen einseitig auferlegt werden
  • in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten
  • Ausnutzung eines Machtverhältnisses: Inhalt des Vertrags kann trotz des Versuchs, hierüber zu verhandeln, nicht beeinflusst werden
  • Keine Bindung für das benachteiligte Unternehmen
  • Beispiele und Vorgaben für missbräuchliche Klauseln (zB kein Haftungsausschluss)
KMU

Das Verbot unfairer Vertragsbedingungen soll insb KMUs zugutekommen.[48]

Die Europäische Kommission wird (freiwillige) Modellvertragsbedingungen für die Datenweitergabe empfehlen, die die Position von KMU in Verhandlungen stärken sollen.

Vertragsautonomie (Art 1 Abs 6 und Abs 10 DA): Grundsätzlich besteht Vertragsfreiheit.[49]

B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V)

B2G-Datenzugang

Außergewöhnliche Notwendigkeit der Datennutzung kann in zwei Fällen vorliegen:

  • Öffentlicher Notstand (Art 15 Abs 1 lit a DA): Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn sie zur Bewältigung eines öffentlichen Notstands erforderlich sind und die benötigten Daten auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
  • Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA): Zugang ist möglich, wenn eine gesetzlich vorgesehene Aufgabe im öffentlichen Interesse vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch[50] des Unternehmens.

Die Anfrage muss eine Begründung sowie Nachweise der außergewöhnlichen Umstände und den vorgesehenen Prozess enthalten.

Dateninhaber sind verpflichtet, die angeforderten Daten bereitzustellen, wobei strenge Garantien und Nutzungsbeschränkungen zur Sicherung der Daten gelten.

Pflichten für Anbieter von Datenverarbeitungsdiensten, insb von Cloud- und Edge-Diensten (Kapitel VI und VII)

Wechsel zwischen Datenverarbeitungsdiensten (insb sog "Cloud-Switching")

Cloud-Switching

## Art 23 bis 31

Der Data Act umfasst sämtliche klassische Cloud-Dienste:[51]

  • IaaS (Infrastructure-as-a-Service): Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Unternehmen können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
  • PaaS (Platform-as-a-Service): Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kund*innen erhalten eine vollständige Plattform, um Anwendungen zu entwickeln und zu betreiben.
  • SaaS (Software-as-a-Service): Hier wird zusätzlich die Software selbst angeboten. Kund*innen bringen nur ihre Daten mit. ZB: Web-Mail, Cloud-CRM oder HR-Systeme.

Das Ziel des DA ist es, Lock-In-Effekte vermeiden, damit Nutzer leichter zwischen Cloud-Anbietern wechseln können. Dabei sieht der DA unterschiedliche Pflichten für verschiedene Kategorien an Cloud-Diensteanbietern vor: Cloud-Anbieter von PaaS- und SaaS-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen. Bei IaaS-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen Kund*innen ihre Daten eigenständig übertragen können.

Sog Wechselentgelte für den Übergang zwischen Cloud-Diensten müssen laut Data Act schrittweise reduziert werden. Ab dem 12.9.2027 darf Nutzern für den Wechsel grds kein Entgelt mehr berechnet werden.

  • Ausnahme: Die Anforderungen gelten nicht für Maßgeschneiderte Cloud-Dienste, dh wenn der Dienst auf die spezifischen Bedürfnisse eines einzelnen Nutzers zugeschnitten ist.
Anforderungen an Datenverarbeitungsdienste

Keine "vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse" (Art 23 DA) bzw. Beseitigung solcher Hindernisse

Loyalitätspflicht
Vertrag und Information

Informationspflichten und vertragliche Transparenzpflichten in Bezug auf den Zugang und die Übermittlung im internationalen Umfeld

Internationaler Datentransfer

Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz nicht-personenbezogener Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:[52]

DSGVO DA
Transfer rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe

unrechtmäßige internationale Datenübertragungen oder Zugriffe
Daten personenbezogene Daten nicht personenbezogene Daten
Zugang durch jedermann staatlich

Anbieter von Datenverarbeitungsdiensten müssen geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter Einhaltung bestimmter Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen, und der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht ähnliche Bestimmungen vor.

Interoperabilität (Kapitel VIII)

Ziel dieses Kapitels ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern, Sicherheit gewährleisten und Innovationen fördern.

Interoperabilität in Datenräumen (Art 33)

Pflichten der Teilnehmer an Datenräumen

Teilnehmer, die Daten oder Datendienste anbieten, müssen folgende Anforderungen erfüllen:

  • Beschreibung von Daten und Metadaten: Inhalte, Lizenzen, Datenerhebungsmethoden und Qualität der Datensätze müssen maschinenlesbar beschrieben werden, um die Nutzung zu erleichtern.
  • Einheitliche Standards: Datenstrukturen, Formate, Klassifikationen und Codelisten sollen einheitlich und öffentlich verfügbar dokumentiert sein.
  • Technische Zugangsmechanismen: APIs und ihre Nutzungsbedingungen müssen den automatisierten und kontinuierlichen Datenaustausch in Echtzeit ermöglichen.
  • Interoperabilität von Tools: Bereitstellung von Mitteln zur Nutzung von Tools wie intelligenten Verträgen.

Ergänzende Bestimmungen durch die Kommission

Die Kommission kann Anforderungen durch delegierte Rechtsakte weiter konkretisieren, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.

  • Konformität durch harmonisierte Normen: Teilnehmer gelten als konform, wenn sie harmonisierte Normen anwenden, deren Fundstellen im Amtsblatt der EU veröffentlicht sind.
    • Auftrag an Normungsorganisationen Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln.
    • Gemeinsame Spezifikationen durch die Kommission Falls harmonisierte Normen fehlen, kann die Kommission gemeinsame Spezifikationen festlegen, um Anforderungen zu erfüllen.
    • Mitteilungspflichten und Konsultation Vor Erlass von Spezifikationen informiert die Kommission relevante Ausschüsse und konsultiert Interessenträger.
    • Bewertung durch Mitgliedstaaten Mitgliedstaaten können Bedenken gegen gemeinsame Spezifikationen äußern. Die Kommission prüft diese und ändert Spezifikationen gegebenenfalls.

Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Artikel 34)

  • Anwendung bestehender Anforderungen Anforderungen aus anderen Artikeln der Verordnung gelten entsprechend für Anbieter von Datenverarbeitungsdiensten, um deren parallele Nutzung zu erleichtern.
  • Kostenregelung Anbieter dürfen nur Kosten für die Datenextraktion verlangen, die tatsächlich entstanden sind.

Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)

  • Offene Interoperabilitätsspezifikationen Diese müssen:
    • Interoperabilität zwischen Diensten derselben Art ermöglichen,
    • Übertragbarkeit digitaler Vermögenswerte verbessern,
    • Funktionsäquivalenz gewährleisten und
    • Sicherheit und Integrität der Dienste wahren.
  • Umfang der Spezifikationen Regelt Aspekte der Cloud-Interoperabilität, Datenübertragbarkeit und Anwendungsportabilität.
  • Normungsprozesse Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln, und selbst Spezifikationen erlassen.
  • Bewertung und Veröffentlichung Harmonisierte Normen und Spezifikationen werden in einer zentralen EU-Datenbank veröffentlicht.

Smart Contracts (Art 36)

Definition

Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).

Ein Smart Contract ist aufgrund dieser Definition kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.[53] Der Einsatz von Blockchain-Technologie bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.[54] Gegenstand des Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.[55]

Die Legaldefinition ist weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.[56]

Wesentliche Anforderungen

Intelligente Verträge, die für die Ausführung von Datenweitergabevereinbarungen genutzt werden, müssen bestimmte Anforderungen erfüllen, um Sicherheit, Transparenz und Compliance zu gewährleisten.

Anforderung Erklärung
Robustheit und Zugangskontrolle Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.

Zugangskontrollen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.

Sichere Beendigung und Unterbrechung Es bedarf Mechanismen, um die Ausführung eines Vertrags bei Bedarf sicher zu beenden oder zu unterbrechen.
Datenarchivierung und Datenkontinuität Bei der Deaktivierung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode archiviert werden.
Kohärenz Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
Konformitätsbewertung

Der Anbieter eines Smart Contracts muss eine interne[57] Konformitätsbewertung im Hinblick auf die oben angeführten Anforderungen durchführen. Sind die Anforderungen erfüllt, so hat er eine EU-Konformitätserklärung auzustellen. Damit übernimmt der Anbieter die Verantwortung für die Einhaltung der Anforderungen. Dies kann zivilrechtliche Folgen haben. So könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.[58]

Konformitätsvermutung

Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen entsprechen. Die EU-Kommission beauftragt europäische Normungsorganisationen mit der Entwicklung solcher Normen.[59]

Falls keine harmonisierten Normen vorliegen oder unzureichend sind, kann die Kommission Durchführungsrechtsakte mit gemeinsamen Spezifikationen erlassen. Diese Spezifikationen gelten ebenfalls als Nachweis der Konformität. Mitgliedstaaten können Bedenken gegen Spezifikationen äußern, die die Kommission prüft und gegebenenfalls anpasst. Harmonisierte Normen, die später veröffentlicht werden, können entsprechende Rechtsakte ersetzen.

Dieser Prozess ähnelt dem dem Mechanismus nach Art 33 und Art 35 DA für wesentliche Anforderungen an die Interoperabilität von Daten, von Mechanismen und Diensten für die Datenweitergabe sowie von gemeinsamen europäischen Datenräume und zur Interoperabilität von Datenverarbeitungsdiensten.

Fallbeispiele

Der DA ermöglicht es Anbietern von Anschlussdiensten, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die unter gleichen Bedingungen mit den Diensten der Hersteller konkurrieren. Nutzer*innen vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten dadurch die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese selbst durchzuführen.[60]

Synergien

Daten Governance

Der DA ergänzt den DGA. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem die Wirtschaft und die Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.[61]

Sektorspezifische Datenräume

Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den Europäischen Gesundheitsdatenraum. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. In den besonderen Rechtsakten wird oft ausdrücklich auf die Geltung der allgemeinen Bestimmungen Bezug genommen. Fehlt eine ausdrückliche, gesetzliche Regelung, so ist eine Abwägung der konkreten Bestimmungen im Einzelfall vorzunehmen.[62]

Datenschutz

Der Datenbegriff nach DSGVO und DA

Der DA enthält eine Unberührtheitsklausel:[63] Der DA gilt gem Art 1 Abs 5 DA unbeschadet des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO [64], der Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG), einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen. Geht es also um die Verarbeitung personenbezogener Daten und ist der Anwendungsbereich des DA gegeben, so ist außerdem die DSGVO anwendbar.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre Vorrang. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA ergänzt.

Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher Rechtsunsicherheit führen, die erst im Laufe der Zweit durch Judikatur und Behördenpraxis geklärt werden dürfte.[65]

Rechtsgrundlage für die Datenverarbeitung

Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.[66]

Datenportabilität

Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte ergänzen die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).[67] Der Data Act und Art 20 DSGVO zielen beide darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.[68]

Überblick über diese Rechte im Vergleich:

Datenzugangsrecht nach dem DA Recht auf Datenportabilität nach der DSGVO
Zweck Lock-in-Effekte reduzieren
Berechtigte (geschäftliche und private) Nutzer betroffene (natürliche) Personen
Empfänger Nutzer oder Dritter (Datenempfänger) Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
Art der Daten (personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete[69] Daten personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und

die mithilfe automatisierter Verfahren verarbeitet werden; einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten[70]

Weitere Voraussetzungen Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
Format umfassendes, strukturiertes, gängiges und maschinenlesbares Format;

Übermittlung der Metadaten;

soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit

strukturiertes, gängiges und maschinenlesbares Format;[71]

Übermittlung der Metadaten[72]

Internationaler Datentransfer

DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.[73]

Künstliche Intelligenz

Datenräume, wie sie durch den DA gefördert werden, können durch die Förderung von Interoperabilität, Compliance und Innovation maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen der KI-VO an Transparenz, Verantwortlichkeit und Sicherheit entsprechen.[74]

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an Hochrisiko-KI und GPAI nach der KI-VO, essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

Schutz von Geschäftsgeheimnissen

Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse[75] sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen sehen jedoch Einwendungsmöglichkeiten für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.[76]

Datenbankherstellerrecht

Das Sui-generis- Schutzrecht des Datenbankherstellers nach der Datenbank-RL[77] kann ein Dateninhaber gem Art 43 DA nicht als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten.[78]

Digital Markets Act und Digital Services Act

Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.[79]

Um den Zielen des DA nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom Drittzugangsanspruch ausgeschlossen (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.[80]

Durchsetzung und Strafen

Zuständige Behörde

Die Mitgliedstaaten benennen gem Art 37 DA eine oder mehrer zuständige Behörden, die die Einhaltung und Durchsetzung des DA überwachen. Diese Behörden fördern Datenkompetenz, bearbeiten Beschwerden, führen Untersuchungen durch, verhängen Sanktionen und arbeiten sowohl untereinander als auch mit anderen relevanten nationalen und europäischen Stellen zusammen.

Die Datenschutzbehörde ist verantwortlich für die Überwachung des Schutzes personenbezogener Daten bei der Anwendung des DA.

Wird mehr als eine Behörde benannt, so ist eine von diesen als Datenkoordinator zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt.

Rechtsdurchsetzung und Sanktionen

Beschwerderecht

Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei der zuständigen Behörde einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der Datenkoordinator unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer zuständigen Behörde haben betroffene Personen gem Art 39 DA das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

Streitbeilegungsstelle

Die Mitgliedstaaten können Streitbeilegungsstellen benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig und vorab zustimmen.

Zivilgerichtliche Rechtsdurchsetzung

Die Ansprüche nach dem DA, insb Datenzugangsansprüche oder die Anforderungen an das Cloud-Switching, können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich. [81]

Sanktionen

Sanktionen für Verstöße gegen den DA müssen bis 12.9.2025 durch nationales Recht konkretisiert werden.[82] Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind.

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

  • Art, Schwere, Umfang und Dauer des Verstoßes;
  • getroffene Maßnahmen zur Schadenbehebung und -minderung;
  • frühere Verstöße;
  • die finanziellen Vorteile, die durch den Verstoß erzielt hat;
  • sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
  • der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, Geldstrafen nach der DSGVO zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).

Der DA lässt ausdrücklich Geldstrafen mit Rückwirkung zu (Art 37 Abs 5 lit d DA).

EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)

Der Europäische Dateninnovationsrat wurde gem Art 29 DGA eingesetzt.

Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

Mustervertragsklauseln der Kommission

Bis zum 12.9.2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.[83]

Weiterführende Literatur

Einführende Werke

Kommentare und Sammelbände

  • Bomhard/Schmidt-Kessel, EU Data Act (2025).
  • Czychowski/Lettl/Steinrötter, Data Act (2025).
  • Paschke/Schumacher, EU Data Act (2025).
  • Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht49 (1.8.2024).
  • Augsberg/Gehring (Hrsg), Datensouveränität: Positionen zur Debatte (2022) .

Beiträge

  • Person/Schütrumpf, Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in Augsberg/Gehring (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

Weiterführende Links

Nachweise

  1. Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: DSA; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12. Juli 2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren.
  2. ErwGr 14 DA.
  3. Hoeren/Pinelli, Data Law 23.
  4. ErwGr 2 DA,
  5. Krit zum Verhältnis dieser Definitionen etwa Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 2 Rz 11.
  6. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  7. Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  8. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 9, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
  9. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  10. ErwGr 17 DA.
  11. Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  12. Der Begriff unterscheidet sich vom Begriff des Datennutzers nach dem DGA.
  13. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
  14. Wiedemann/ Conrad/ Salemi, Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.
  15. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  16. Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
  17. Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’,https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).
  18. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
  19. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  20. Im Detail Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.
  21. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 16, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act
  22. Schemmel in BeckOK DatenschutzR49 DA Art 3 Rz 2.
  23. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 4 Rz 1.
  24. Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG.
  25. Siehe zur Thematik etwa Wentzel/ Lutz, Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.
  26. ErwGr 22 DA.
  27. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 6, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  28. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 12, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  29. Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
  30. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 12 und 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  31. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 4 Rz 91 mwN.
  32. Art 2 Abs 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
  33. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 4 Rz 97.
  34. Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
  35. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.
  36. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.
  37. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 4 Rz 86.
  38. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).
  39. Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.
  40. Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).
  41. EuGH 10.7.2018, C‑25/17, Zeugen Jehovas Rz 66; EuGH 29.7.2019, C-40/17, Fashion ID Rz 70.
  42. Vgl Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).
  43. Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
  44. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 19, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  45. Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen.
  46. VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte).
  47. 47,0 47,1 Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 4 Rz 144.
  48. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 25, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  49. Diff Schreiber/Pommerening/Schoel, Der neue Data Act2 § 3 Rz 21.
  50. Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.
  51. Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.
  52. Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 15 Rz 5 ff.
  53. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 13.
  54. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.
  55. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 16.
  56. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 12 f.
  57. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 38.
  58. Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 39.
  59. Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in BeckOK DatenschutzR49 DA Art 36 Rz 41.
  60. Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  61. Europäische Kommission, Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
  62. Hoeren/Pinelli, Data Law 19.
  63. Schreiber/Pommerening/Schoel, Der neue Data Act2 § 3 Rz 15 ff.
  64. VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).
  65. Krit etwa Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 3 Rz 19.
  66. Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).
  67. Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, 13, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
  68. Siehe etwa zum Vergleich der beiden Rechtsinstrumente Knyrim/Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.
  69. Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind.
  70. Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.
  71. ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.
  72. Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.
  73. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 15 Rz 1.
  74. Siehe umfassend zur Thematik Data Spaces Support Centre (DSSC), Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
  75. Art 2 Abs 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
  76. Krit Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 3 Rz 20 .
  77. Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.
  78. Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.
  79. Hoeren/Pinelli, Data Law 19.
  80. Europäische Kommission, Gatekeepers https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de.
  81. Schreiber/Pommerening/Schoel, Der neue Data Act2 (2024) § 9 Rz 41 ff.
  82. Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.
  83. Schreiber/Pommerening/Schoel, Der neue Data Act2 § 3 Rz 22.
Abgerufen von „https://wiki.atlaws.eu/index.php?title=Data_Act_(DA)&oldid=1486