Henry Krasemann
Video: https://youtu.be/Cy7wA1EQIlw
„Ist der Data Act eine der langweiligsten Gesetzeswerke der EU und was hat das mit meiner Kaffeemaschine zu tun?“ werden Sie sich wahrscheinlich gerade nicht fragen. Aber sie könnten sich das Fragen. Und hinsichtlich der zweiten Frage kann ich schonmal spoilern: Wahrscheinlich gar nichts. Und ob der Data Act langweilig ist? Ich versuche mein Bestes zu geben, hier keine Langeweile aufkommen zu lassen. Tatsächlich kann der Data Act auch Ihr Leben verändern und ein wenig vielfältiger machen. Vielleicht …
Der Data Act heißt auf Deutsch Datenverordnung. Und da das nach so ziemlich allem klingt, sagt jeder nur Data Act. Das hört sich gleich viel weltmännischer an und ist erst recht meilenweit besser als der Langtitel „Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“. Die Idee des Data Acts ist es, uns Menschen – zumindest denen in Europa – ein wenig Souveränität über die von ihnen erschaffenen Daten zurückzugeben. Dafür reicht die Datenschutzgrundverordnung (DSGVO) nicht aus. Die kümmert sich um Ihre und meine personenbezogenen Daten. Der Data Act geht weiter und dahin, wo es weh tut. Vielleicht nicht direkt in den brühheißen Kaffee, aber doch dahin, wo Firmen die Informationen verstecken, die die Menschen selbst geschaffen haben. Und ja, es kann auch eine Kaffeemaschine betreffen. Doch muss es dann schon eine vernetzte Kaffeemaschine sein, die sich mit Cloud und App verbindet. Das Standardmodell von Mitropa lässt die EU in Ruhe.
Kurz gesagt, wenn wir Menschen in der EU moderne vernetzte Technik nutzen, dann fallen dabei Daten an. Wie konfigurieren wir diese Geräte, wie, wann, wo nutzen wir sie und was messen sie z. B. an unserem Handgelenk, in der Hosentasche oder auf dem Dach. Angeber sagen dazu „Internet of Things“ oder noch größere Angeber hauchen einem nur ein „IoT“ auf der Party ins Ohr. Unangenehm. Aber richtig. Wir vernetzten inzwischen nicht nur Computer, sondern auch Handys, Smartwatches, Autos, Solaranlagen und ja, manchmal auch ganz hippe Kaffeemaschinen und Kühlschränke. Ich habe tatsächlich so einen Kaffeevollautomaten. Wie oft ich die App dazu genutzt habe, mir meinen ganz individuellen Kaffee einzustellen? Einmal zum Testen. Dann habe ich festgestellt, dass die Standardeinstellung für Espresso mir völlig ausreicht. Ich bin bei Kaffee eher einfach gestrickt. Aber verlassen wir dieses Einzelschicksal und kommen zurück zum Data Act.
Der Data Act will nun, dass die Firmen von diesen Geräten mit uns Nutzern über die Verwendung der Daten Lizenzverträge abschließen. Auch sollen wir Zugriff erhalten und anweisen können, dass diese Daten zu einem anderen Anbieter übertragen werden. Die Wirtschaft soll davon profitieren. Und ich davon, dass ich mit meinen Daten von meiner De‘Longhi zu Jura wechseln kann. Oder sogar (das ist tatsächlich geregelt) beide Kaffeemaschinen parallel betreiben kann. Crazy Shit.
Sinn des Data Acts ist es damit zwar auch, dass wir Menschen die Kontrolle über die von uns z. B. durch Nutzung von Geräten geschaffenen Daten zurückerhalten. Ziel ist es aber auch, dass die Wirtschaft angekurbelt wird, indem sie auch diese Daten erhalten kann – wenn ich es möchte. Und dann verdient nicht nur der Hersteller des Geräts und Betreiber der ursprünglichen Cloud Geld, sondern auch noch ein anderer Dienstleister. Datenbasierte Wertschöpfung nennt sich das. Läuft also in der EU. Obwohl, braucht es für Wertschöpfung nicht auch einen, bei dem geschöpft wird? Aber wir kommen vom Thema ab.
In Kraft getreten ist der Data Act am 11. Januar 2024 und gilt nun seit dem 12. September 2025. Da es eine Verordnung ist und nicht nur eine Richtlinie, gilt sie ab diesem Tag auch direkt und ohne dass da der deutsche Gesetzgeber noch eingreifen muss. Der darf allenfalls noch zu bestimmten Ausgestaltungen wie der Bestimmung der zuständigen Aufsichtsbehörde ran. Schade, dass so ein Data Act immer so plötzlich kommt. Da war leider bisher noch keine Zeit, die deutschen Zusatzregeln zu erlassen (Stand September 2025). Aber der Act gilt natürlich trotzdem. Beschwerdeformulare gibt es nun sowohl bei der Bundesnetzagentur und vielen Landesdatenschutzbeauftragten. Sie haben die Wahl.
Und noch ein Blick in die Zukunft in einem Jahr: Ab 12. September 2026 müssen Produkte, die ab diesem Tag auf dem Markt der EU platziert werden, die Datenbereitstellung bereits in ihrem Entwurf berücksichtigt haben – also „by Design“. Solche Regelungen haben bekanntlich schon bei „Datenschutz by Design“ in der DSGVO grandios funktioniert – nicht …
Themen des Data Acts sind neben Datenzugang und Datennutzung auch die Missbräuchlichkeit von Vertragsklauseln, Anbieterwechsel, Interoperabilität, Datenzugang von öffentlichen Stellen und mehr. Im Zentrum stehen vernetzte Produkte und verbundene Dienste. Schön, dass diese Begrifflichkeiten so selbsterklärend sind. Für alle, die zu doof sind, das auseinanderzuhalten, kurz eine Erklärung: Ein vernetztes Produkt ist „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.“ Router sind damit ausgeschlossen. Oder kurz gesagt, das sind in der Regel Gegenstände, die Sensoren haben und diese Daten über eine (Internet-, Bluetooth-, RFID-, Kabel- etc.) Verbindung übermitteln können. Das geht von den kleinen Smartwatches bis hin zu Ausrüstungen von Flugzeugen und Tankern.
Bei einem verbundener Dienst handelt es sich hingegen um „einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“. Das war doch nun wirklich jedem Grundschüler klar. Tun Sie nicht so, als wenn Sie nicht gewusst hätten, dass damit insbesondere die Apps gemeint sind, die die Smartwatch, Lichtanlage oder auch Kaffeemaschine steuern oder eine Titanic 2 um den Eisberg navigiert. Besser, als dass in der Schifffahrt breitere Türen eingebaut werden, die notfalls auch zwei Personen tragen können. Obwohl das soll ja schon bei der Titanic 1 der Fall gewesen sein … aber ich schweife schon wieder ab.
Betroffen ist alles, was hier in der EU erstmalig in Verkehr gebracht (in der Regel verkauft) wurde. Geräte, die auf Reisen außerhalb der EU gekauft wurden, sind nicht betroffen. Und der Data Act gilt für alle anfallenden Daten ab dem 12.09.2025. Die Nutzerinnern und Nutzer der Geräte können seitdem die angefallenen Daten herausverlangen oder an Dritte umleiten lassen. Und der Dateninhaber (also der Anbieter des Produkts oder Dienstes) muss zur Verwendung der Daten einen Vertrag mit dem Nutzer seines Produkts schließen. Wenn sich alle daranhalten, können die nächsten Tage und Wochen etwas stressig werden, wenn uns die neuen ergänzten Verträge ins Haus flattern. Die Europäische Kommission will hierfür Musterklauseln zur Verfügung stellen. Schade, dass auch für die Kommission der Data Act so überraschen plötzlich da war. Die Klauseln sollen aber bald kommen. (Umstrittene) Entwürfe gibt es schon.
Der Data Act gilt auch und gerade für Unternehmen außerhalb der EU. Es reicht, dass die Kunden in der EU sind. Eher außen vor was das Einsacken von Daten über den Data Act angeht, sind die sogenannten Gatekeeper. Diese großen Plattformen wollte man nicht noch mehr darüber anfüttern. Dies betrifft aktuell Alphabet (Google), Amazon, Apple, ByteDance (TikTok), Meta (Instagram, Facebook) und Microsoft. Betroffen sind vor allem Produktdaten, die über Sensoren und deren Nutzung erlangt werden. Bei den verbundenen Dienstedaten sind es Handlungen, Aktionen und Ereignisse, die bei der Nutzung entstehen. Nicht gemeint sind Inhaltsdaten wie Fotos oder Beiträge oder Daten, auf die auch der Hersteller bzw. Betreiber keinen Zugriff hat. Daten, die sicherheitsrelevant sind, können ausgeschlossen werden. Personenbezogene Daten sind grundsätzlich durchaus vom Data Act miterfasst. Aber es bedarf einer Rechtsgrundlage, wenn diese übermittelt werden sollen. Hinsichtlich der personenbezogenen Daten des Nutzers wird dies oft die Einwilligung sein. Wenn Daten Dritter betroffen sind (z. B. von Mitarbeitern, Familienangehörigen, Passanten etc.), dann reicht das nicht aus und diese Daten müssen aussortiert bzw. anonymisiert werden. In der Praxis ist das nicht immer einfach. Die Datenschutzgrundverordnung bleibt jedenfalls parallel gültig. Das freut das Datenschützerherz, da er auf bekanntes Wissen zurückgreifen kann.
Damit sind wir beim Data Act noch lange nicht am Ende. Doch da Sie mir bis hier hin gebannt an den Lippen oder auch Zeichen gehangen haben, wird es nun zunehmend schwerer, das Interesse hochzuhalten. Deshalb sei nur kurz noch erwähnt, dass Datenverträge zwischen Unternehmen nicht missbräuchlich sein dürfen. Das ähnelt stark den Regeln, die in Deutschland schon für allgemeine Geschäftsbedingungen (AGB) gelten.
Im Kapitel 6 des Data Acts kommen die Cloud Dienste zum Zug und dass Kunden einfach von einem Anbieter zu einem anderen wechseln können. Die Infos dazu müssen dem Kunden schon vor Vertragsschluss mitgeteilt werden. In Standardfällen muss der Wechsel innerhalb von 30 Tagen erfolgen können. Bei komplexen Systemen darf diese Frist auch verlängert werden. Bis 11.07.2027 können dabei noch Wechselgebühren anfallen, danach ist es kostenlos.
In folgenden Kapiteln des Data Acts geht es noch um Interoperabilität und die Möglichkeit der parallelen Nutzung von Diensten. Auch öffentliche Stellen bekommen besondere Rechte auf Daten, etwa im Falle eines Notstands. Und schließlich sollen die Daten innerhalb der EU besonders geschützt sein.
Wow, was für ein Akt. Gut, wenn man noch eine alte Mitropa-Kaffeemaschine mit hängendem Filter und Tropfschutz hat. Dann entschuldige ich mich für die gestohlene Lebenszeit.
Podcast: Play in new window | Download
Schreibe einen Kommentar