Die Verordnung (EU) 2023/2854 („Data Act“) setzt unionsweit einen Rechtsrahmen für den Zugang zu und die Nutzung von Daten, die insbesondere im Zusammenhang mit vernetzten Produkten und damit verbundenen digitalen Diensten entstehen. Für Unternehmen rücken damit Fragen der internen Organisation, der vertraglichen Gestaltung und der Begrenzung von Datenzugangsansprüchen in den Vordergrund. Maßgeblich ist dabei, die vorgesehenen Zugangsrechte und deren Schranken nachvollziehbar in Prozesse zu überführen und zugleich geschützte Interessen — etwa Geschäftsgeheimnisse — im Rahmen der Verordnung zu wahren.
Regelungsziel und Anwendungsbereich des Data Act
Der Data Act adressiert vor allem Daten, die durch die Nutzung vernetzter Produkte (z. B. Geräte mit Sensorik und Konnektivität) und hierauf bezogene Dienste generiert werden. Er ordnet Pflichten zur Bereitstellung bestimmter Daten an und regelt Konstellationen, in denen Nutzer oder von ihnen benannte Dritte Zugang verlangen können. Dadurch sollen Daten, die bislang häufig innerhalb einzelner Anbieterökosysteme verbleiben, unter definierten Voraussetzungen verfügbar gemacht werden.
Datenkategorien und Beteiligte
Im Mittelpunkt stehen Nutzungsdaten, die bei Betrieb und Verwendung eines vernetzten Produkts oder eines verbundenen Dienstes anfallen, sowie deren Bereitstellung gegenüber berechtigten Anspruchstellern. Betroffen sind typischerweise Hersteller, Anbieter verbundener Dienste, Nutzer (insbesondere gewerbliche Nutzer) und Dritte, die vom Nutzer benannt werden. Die Zuordnung von Rollen und Verantwortlichkeiten ist für die spätere Behandlung von Ansprüchen entscheidend.
Verhältnis zu bestehenden Rechtsrahmen
Der Data Act steht nicht isoliert, sondern berührt unter anderem Datenschutzrecht, Regelungen zum Schutz von Geschäftsgeheimnissen sowie vertragliche Verpflichtungen entlang von Liefer- und Vertriebsketten. In der praktischen Anwendung ist regelmäßig zu differenzieren, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt und welche Schutzregime parallel zu beachten sind.
Datenzugangsansprüche: Entstehung und Reichweite
Die Verordnung begründet Zugangs- und Nutzungsrechte, die in bestimmten Konstellationen gegenüber dem Dateninhaber geltend gemacht werden können. Der Gegenstand des Anspruchs, die Modalitäten der Bereitstellung und die Grenzen des Zugangs ergeben sich aus den jeweiligen Tatbestandsvoraussetzungen.
Anspruchsberechtigung und Zugangsrichtung
Zentral ist die Konstellation, in der der Nutzer eines vernetzten Produkts oder eines verbundenen Dienstes Daten anfordern kann, die durch die Nutzung entstehen. Zudem kann der Nutzer die Weitergabe an einen Dritten verlangen, sofern die gesetzlichen Voraussetzungen eingehalten werden. Für Unternehmen stellt sich hier die Aufgabe, die Anfragen sachgerecht einzuordnen, die Berechtigung zu prüfen und die gesetzlich vorgesehenen Zugriffskanäle zu berücksichtigen.
Technische und organisatorische Modalitäten
Die Verordnung knüpft den Zugang an Anforderungen, die eine Bereitstellung in geeigneter Form ermöglichen sollen. Unternehmen sehen sich damit häufig mit der Frage konfrontiert, wie Datenflüsse, Schnittstellen und Berechtigungsstrukturen so abgebildet werden, dass Anspruchslagen bedient werden können, ohne andere Schutzgüter zu beeinträchtigen. Dies betrifft insbesondere die Trennbarkeit von Datenbeständen, Protokollierung und interne Zuständigkeiten.
Grenzen von Datenzugangsansprüchen
Der Data Act sieht nicht lediglich Zugangsrechte vor, sondern auch Begrenzungen. Diese Grenzen können sich aus dem Schutz vertraulicher Informationen, aus Sicherheitsinteressen oder aus kollidierenden Rechten Dritter ergeben. Für die Praxis ist bedeutsam, dass die Verordnung kein schrankenloses „Open-Data“-Prinzip schafft, sondern einen Ausgleich widerstreitender Interessen anordnet.
Schutz von Geschäftsgeheimnissen und vertraulichen Informationen
Ein wesentlicher Aspekt ist die Wahrung von Geschäftsgeheimnissen. Soweit eine Offenlegung den Schutz vertraulicher Informationen beeinträchtigen kann, kommt eine Begrenzung oder eine Ausgestaltung des Zugangs in Betracht, die die Vertraulichkeit wahrt. In diesem Zusammenhang sind Abgrenzungsfragen typisch: Welche Daten offenbaren interne Verfahren, Modelle oder sonstige unternehmensinterne Kenntnisse, und welche Daten sind als reine Nutzungsdaten zu qualifizieren?
Sicherheits- und Integritätsinteressen
Begrenzungen können auch dann relevant werden, wenn die Bereitstellung von Daten die Sicherheit eines Produkts, die Integrität von Systemen oder den Schutz vor Manipulation beeinträchtigen könnte. Gerade bei kritischen Infrastrukturen oder sicherheitsrelevanten Komponenten kann die Frage, welche Datenausschnitte und in welcher Granularität übermittelt werden, besondere Bedeutung erlangen.
Rechte Dritter und vertragliche Bindungen
Zugangsansprüche können außerdem an Rechte Dritter stoßen, etwa wenn Datenbestände Informationen enthalten, die Dritten zuzurechnen sind oder deren Nutzung vertraglich eingeschränkt ist. In komplexen Wertschöpfungsketten ist daher häufig zu klären, welche Nutzungs- und Weitergaberechte bestehen und wie diese mit den datenzugangsbezogenen Vorgaben der Verordnung in Einklang stehen.
Compliance-Anforderungen und typische Konfliktfelder
Unternehmen müssen sich darauf einstellen, dass Datenzugangsbegehren nicht nur rechtlich, sondern auch operativ zu bewältigen sind. Dabei entstehen Schnittstellen zu Vertragsmanagement, IT-Sicherheit, Produkthaftung, Datenschutz und dem Schutz von Know-how.
Vertragsgestaltung und Risikoverteilung
Der Data Act wirkt in Vertragsbeziehungen hinein, insbesondere dort, wo Datenflüsse bislang nicht ausdrücklich geregelt waren oder einseitige Kontrollmechanismen bestehen. Die Verordnung kann Einfluss darauf haben, welche Regelungen zur Datennutzung, zu Schnittstellen, zu Vertraulichkeit oder zu Haftungsfragen in Verträgen vorgesehen werden. Für Unternehmen ist dabei regelmäßig zu beachten, dass Regelungen zu Datenzugang und Datenweitergabe nicht losgelöst von den übrigen Leistungspflichten betrachtet werden können.
Umgang mit Anfragen und Nachweisfragen
In der Bearbeitung von Datenzugangsansprüchen stellen sich Fragen der Legitimation, des Umfangs und der Dokumentation. Typisch sind Konstellationen, in denen unklar ist, ob der Anfragende tatsächlich Nutzer im Sinne der Verordnung ist, ob eine wirksame Benennung eines Dritten vorliegt oder welche Daten konkret umfasst sein sollen. Ebenso kann die Abgrenzung zwischen zulässiger Datennutzung und unzulässiger Zweckentfremdung konfliktträchtig sein.
Wechselwirkungen mit Datenschutz und Geheimnisschutz
Wo personenbezogene Daten betroffen sind, bleibt die Verarbeitung an die Voraussetzungen der Datenschutz-Grundverordnung gebunden. Parallel dazu sind Geheimnisschutzstrukturen zu berücksichtigen. In der Unternehmenspraxis bedeutet dies häufig, dass Datenzugangskonzepte sowohl datenschutzrechtliche Anforderungen (z. B. Datenminimierung, Zweckbindung) als auch Schutzmaßnahmen für vertrauliche Informationen abbilden müssen.
Einordnung für Unternehmen und Ausblick
Der Data Act führt zu einer Neuverteilung von Datenzugriffsmöglichkeiten und damit auch zu einer Neubewertung von Daten als Bestandteil von Leistungsbeziehungen, Wartungsmodellen und digitalen Geschäftsmodellen. Zugleich ist er von vornherein mit Schutzmechanismen versehen, die eine unbegrenzte Offenlegung verhindern sollen. Die praktische Relevanz liegt daher weniger in einer abstrakten Verpflichtung zur Datenfreigabe, sondern in der rechtssicheren Einordnung konkreter Anspruchslagen, der Definition von Datenumfängen und der Beachtung der vorgesehenen Schranken.
Für Unternehmen, Investoren und vermögende Privatpersonen, die in diesem Kontext rechtliche Fragestellungen zu Datenzugang, Vertraulichkeit, Vertragsstrukturen oder IT-bezogenen Schnittstellen klären möchten, kann eine begleitende Einordnung der Vorgaben und ihrer Grenzen angezeigt sein. MTR Legal stellt hierzu Informationen und Kontaktmöglichkeiten für eine Rechtsberatung im IT-Recht bereit.
