Der sachliche Anwendungsbereich des Data Act (Verordnung (EU) 2023/2854) erfasst drei unterschiedliche Regelungsgegenstände
- vernetzte Produkte: smarte Gegenstände, etwa ein Auto, eine Maschine oder ein Haushaltsgerät, die Daten aus ihrer Nutzung oder Umgebung erzeugen.
- verbundene Dienste: digitale Funktionen rund um dieses Produkt, etwa eine App, ein Dashboard oder eine Fernwartungssoftware, ohne die das Produkt nicht oder nur eingeschränkt nutzbar wäre.
- Datenverarbeitungsdienste: insb. Cloud-Dienste, also digital bereitgestellte IT-Ressourcen wie Speicher, Rechenleistung oder Anwendungen, die flexibel, skalierbar und bei Bedarf schnell nutzbar sind.
Diesen drei Kategorien ist gemeinsam, dass sie jeweils in unterschiedlicher Weise an Daten anknüpfen. Vernetzte Produkte sind Quelle von Produktdaten, verbundene Dienste betreffen die damit zusammenhängenden Dienstdaten, und Datenverarbeitungsdienste bilden die technische Umgebung für Speicherung, Verarbeitung, Portabilität und Wechsel. Genau an diesem Zusammenspiel eröffnet der Data Act seinen sachlichen Anwendungsbereich.
Nutzungsdaten von Produkten
Art. 2 Nr. 5 Data Act definiert ein vernetztes Produkt als einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist
Im Kern ist ein vernetztes Produkt damit ein körperlicher Gegenstand mit Datenbezug, der Daten aus seiner Nutzung oder seiner Umgebung erfasst und diese grundsätzlich zugänglich machen kann. Für ein erstes Verständnis reicht diese Einordnung aus.
- Für Interessierte nun der genauere Blick in die vier Hauptmerkmale der Definition. Bei dem vernetzten Produkt muss es sich um einen Gegenstand handeln. Der Begriff ist durchaus weit zu verstehen, neben klassischen Gegenständen wie Smart-TVs oder Fitnessarmbänder, sind auch industrielle Anlagen oder vernetzte Medizinprodukte erfasst.
- Der Gegenstand muss Daten über seine Nutzung oder Umgebung erlangen. Dies geschieht regelmäßig über Sensoren, mit denen das Produkt zum Beispiel die Temperatur oder eine sonstige physikalische Größe aus seiner Umgebung ermittelt
- Es muss die Möglichkeit der Übermittlung von Produktdaten bestehen. Die Voraussetzung der Übermittlung ist noch relativ leicht zu verstehen, die Daten müssen so konzipiert sein, dass die Daten übermittelt werden können. Der Hersteller hat also ein Stück weit selbst in der Hand, ob sein Produkt als vernetztes Produkt zu klassifizieren ist. Die Definition von Produktdaten ist jedoch herausfordernd. Das liegt nicht zuletzt daran, dass die Definition von Produktdaten den Begriff des vernetzten Produkts verwendet, so dass ein Zirkelschluss entsteht. In der Definition des vernetzten Produkts (Art. 2 Nr. 15 Data Act) ist eindeutig geregelt, dass die durch diese Nutzung erlangten Daten über einen wie auch immer gearteten Kommunikationskanal abgerufen werden können. Dieses Merkmal ist damit in jedem Fall zwingende Voraussetzung, die Daten dürfen nicht nur lokal und ohne Zugriffsmöglichkeit von außen auf dem Produkt verbleiben.
- Das Negativmerkmal, wonach der Hauptzweck nicht in der Speicherung, Verarbeitung oder Übertragung von Daten Dritter handeln darf, wird wohl nur einen geringen Anwendungsbereich haben und insbesondere Server- oder Cloudinfrastrukturen erfassen, die von ihrem Eigentümer ausschließlich im Auftrag Dritter betrieben werden.
Typische Anwendungsfälle betreffen insbesondere IoT-Geräte. Abgrenzungsschwierigkeiten entstehen vor allem bei der Frage, welche Daten tatsächlich „bei der Nutzung“ eines Produkts generiert werden und welche dem Produkt unabhängig von seiner konkreten Nutzung von vornherein anhaften. So sind etwa der Updatestatus oder die Versionsnummer zwar produktbezogene Daten; sie entstehen jedoch regelmäßig bereits kraft Konfiguration, Installation oder Aktualisierung des Produkts und nicht erst durch dessen Nutzung als solche
Nicht vom Anwendungsbereich erfasst sind zudem „abgeleitete“ oder „erschlossene“ Informationen, also Erkenntnisse, die erst durch Analyse, Interpretation oder sonstige Weiterverarbeitung der Produktdaten gewonnen werden. Hat der Dateninhaber daher erheblichen Aufwand in die Aufbereitung, Verknüpfung oder Auswertung der ursprünglich generierten Daten investiert, muss er nicht auch die daraus gewonnenen Erkenntnisse herausgeben. Maßgeblich bleibt, dass nur die unmittelbar generierten Produktdaten erfasst sind, nicht jedoch deren analytische Verdichtung.
Verbundene Dienste und ihre Dienstdaten
Verbundene Dienste (vgl. Art. 2 Nr. 6 Data Act) sind digitale Dienste (außer elektronischen Kommunikationsdiensten), die so eng mit einem vernetzten Produkt verknüpft sind, dass das Produkt ohne sie wesentliche Funktionen nicht oder nur eingeschränkt erfüllen könnte. Es muss ein wechselseitiger Datenaustausch bestehen, das heißt, der Dienst liest Daten aus dem Produkt und beeinflusst dessen Verhalten aktiv.
Die dadurch gewonnen Daten sind die sogenannten verbundenen Dienstdaten, Art. 2 Nr. 16 Data Act. Hierunter fallen Daten die entstehen, wenn jemand einen Online‑Dienst nutzt, der mit einem vernetzten Produkt zusammenhängt (z. B. eine App zum Steuern eines Smart‑Home‑Geräts). Erfasst sind sowohl Daten, die der Nutzer bewusst erzeugt – etwa indem er eine Einstellung ändert oder einen Befehl gibt – als auch solche Daten, die automatisch im Hintergrund entstehen, also als Nebenprodukt dieser Nutzung – z. B. Protokolle, wann und wie oft ein Gerät verwendet wurde.
Ein Beispiel ist die Nutzung einer App, um eine smarte Heizung zu steuern, dann sind die Temperaturänderungen, die eingegeben werden, bewusst erzeugte Daten. Die App zeichnet außerdem automatisch auf, wann geheizt wird und wie lange das Gerät aktiv ist, hierbei handelt es sich um verbundene Dienstdaten als Nebenprodukt.
Kurzer Exkurs: Virtuelle Assistenten
Art. 1 Abs. 4 Data Act stellt klar, dass Bezugnahmen auf vernetzte Produkte und verbundene Dienste auch virtuelle Assistenten erfassen, soweit diese mit ihnen interagieren. Praktisch relevant ist das vor allem dann, wenn ein Nutzer ein vernetztes Produkt nicht über die Hersteller-App, sondern über einen Sprachassistenten eines anderen Anbieters steuert. Die über diese Interaktion entstehenden Nutzungsdaten können dennoch vom Datenzugangsrecht erfasst sein. Das Besondere liegt darin, dass an der Datenerzeugung und -verarbeitung mehrere Akteure beteiligt sein können: der Hersteller des Produkts und der Anbieter des virtuellen Assistenten. Bereitstellen muss die Daten dann jeweils derjenige Dateninhaber, der über die konkreten Nutzungsdaten verfügt. Nicht erfasst sind hingegen Daten, die der virtuelle Assistent unabhängig von der Nutzung des vernetzten Produkts generiert.
Datenverarbeitungsdienste – Cloudanbieter als weitere Adressaten des Data Acts
Ein Datenverarbeitungsdienst im Sinne des Art. 1 Nr. 8 Data Act ist ein digitaler Dienst, über den Nutzer Rechen‑, Speicher‑ oder Netzwerkressourcen über das Internet in Anspruch nehmen können. Diese Ressourcen sind nach Bedarf skalierbar und können mit geringem technischen Aufwand bereitgestellt oder angepasst werden. Der Data Act reagiert damit auf die wachsende Abhängigkeit von Cloud‑Infrastrukturen und soll die Portabilität, Interoperabilität und Wechselmöglichkeiten zwischen Anbietern („Cloud‑Switching“) verbessern. Ziel ist es, faire Wettbewerbsbedingungen zu fördern, Lock‑in‑Effekte zu verringern und Nutzerinnen und Nutzern eine echte Wahlfreiheit bei der Nutzung von Datenverarbeitungsdiensten zu ermöglichen.