e:1.24 EU-Datenverordnung: Neue Pflichten für Cloud-Anbieter und Hersteller von vernetzten Produkten

Die Ziele der EU-Datenverordnung 

Mit der EU-Datenverordnung (Verordnung [EU] 2023/2854), die am 11. Januar 2024 in Kraft getreten ist, hat die EU einen neuen regulatorischen Rahmen geschaffen, der darauf abzielt, den Wettbewerb betreffend Daten innerhalb der EU zu stärken.

Die Datenverordnung bezweckt, einen «gut funktionierenden Binnenmarkt für Daten» zu schaffen, indem sie:

• Zugang zu Daten sicherstellt: Nutzern von vernetzten Produkten und verbundenen Diensten muss Zugang zu den durch ihre Nutzung generierten Daten gewährt und die Möglichkeit gegeben werden, diese Daten mit Dritten zu teilen.
• Fairen Datenaustausch gewährleistet: Dateninhaber sind verpflichtet, Daten unter fairen, angemessenen und nichtdiskriminierenden Bedingungen zur Verfügung zu stellen.
• Zuweisung von Rechten betreffend Daten regelt: Die Datenverordnung schafft einen rechtlichen Rahmen betreffend den Zugang zu und die Nutzung von Daten.
• Interoperabilität verbessert: Der Wechsel zwischen Cloud-Diensten soll erleichtert werden.

Zu diesem Zweck schafft die Datenverordnung verschiedene Rechte des Nutzers, welche dazu dienen, Zugriff zu den von ihm durch die Nutzung von Produkten und Dienstleistungen generierten Daten zu erhalten, diese an andere Anbieter weiterzugeben und über ihre Nutzung zu bestimmen. 

Betroffene Produkte und Dienstleistungen

Die Datenverordnung findet auf drei Hauptkategorien von Produkten und Dienstleistungen Anwendung:

• Vernetzte Produkte: Geräte und Maschinen, die Daten über ihre Nutzung oder Umgebung generieren oder sammeln und diese Daten über eine Schnittstelle übermitteln können. 
• Verbundene Dienste: Digitaler Dienst oder Software, welche(r) so mit einem vernetzten Produkt verbunden ist, dass das vernetzte Produkt ohne den verbundenen Dienst nicht alle Funktionen ausführen kann.
• Datenverarbeitungsdienste: Digitale Dienstleistungen, welche über das Internet erbracht werden, u.a. typische Cloud-Dienste wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS).

Dabei ist zu beachten, dass die Datenverordnung nicht danach unterscheidet, ob der Nutzer der in Frage stehenden Produkte und Leistungen ein Konsument oder ein gewerblicher Nutzer ist. Es spielt auch keine Rolle, ob es sich beim vernetzten Produkt um ein Massenprodukt oder um ein auf Bestellung hergestelltes Produkt handelt; beide Kategorien werden von der Datenverordnung erfasst. Damit betrifft die Datenverordnung vom mobilen «Smart Device» bis zur mit Sensorik versehenen Werkzeugmaschine alle denkbaren Arten von Produkten.

Alle Arten von Daten sind betroffen

Die Datenverordnung legt den Begriff der Daten, welche von ihr erfasst werden, sehr weit fest. Erfasst sind – im Gegensatz etwa zur DSGVO – nicht nur eine besondere Kategorie von Daten (in der DSGVO: Personendaten), sondern sämtliche Arten von digital erfassten Daten.

Bei vernetzten Produkten und verbundenen Diensten stehen dabei die vom Produkt selbst generierten bzw. erfassten Daten im Vordergrund. Von den Rechten des Nutzers und Pflichten des Anbieters dagegen in der Regel nicht erfasst sind Datenaggregate und Daten, die von den Rohdaten abgeleitet sind. Bei Cloud-Diensten geht es um die vom Kunden im Cloud-Dienst gespeicherten oder mit diesem generierten Daten. 

Anwendbarkeit auf Schweizer Anbieter

Die Datenverordnung basiert auf dem Marktortprinzip. Sie gilt daher auch für Anbieter mit Sitz ausserhalb der EU, wenn:

• sie Hersteller von vernetzten Produkten sind, die auf dem EU-Markt bereitgestellt werden, oder verbundene Dienste für solche vernetzten Produkte anbieten;
• sie als Dateninhaber Daten an Empfänger in der EU bereitstellen;
• sie Anbieter von Cloudlösungen sind und diese Kunden in der EU anbieten.

Die Datenverordnung auferlegt Anbietern eine Reihe neuer Pflichten 

Die Datenverordnung führt zu einer Reihe neuer Pflichten für die betroffenen Anbieter:

Designvorschriften und Informationspflichten: Hersteller von vernetzten Produkten und verbundenen Diensten müssen ihre Produkte bzw. Dienste so gestalten, dass Nutzer einfach und direkt, d.h. mittels einer für den Nutzer zugänglichen Schnittstelle, Zugriff auf die darin gespeicherten Daten erhalten können. 

Mit anderen Worten ergeben sich aus der Datenverordnung nun Vorschriften betreffend das Design solcher Produkte und Dienste. Nutzer müssen vor Vertragsabschluss über die Art und den Umfang der gesammelten Daten informiert werden.

Zugangs- und Nutzungspflichten: Dateninhaber müssen Nutzern den Zugriff auf die von ihnen gehaltenen Daten in einem standardisierten, strukturierten Format kostenlos ermöglichen. Die Daten müssen dem Nutzer, wenn technisch möglich, kontinuierlich und in Echtzeit zur Verfügung gestellt werden. Wenn technisch möglich, ist dem Nutzer eine Schnittstelle zur Verfügung zu stellen, über welche er die Daten beziehen kann.

Nutzer dürfen auch Dritte benennen, die Zugang zu den betroffenen Daten erhalten; mit anderen Worten wird der Anbieter verpflichtet, die betroffenen Daten auf Anweisung des Nutzers an einen Konkurrenten herauszugeben. 

Die Datenverordnung sieht Einschränkungen vor, wie der Anbieter die von vernetzten Produkten generierten Daten verwenden darf; ohne ausdrückliche Erlaubnis des Nutzers ist es dem Anbieter insbesondere verboten, die Daten für eigene Zwecke zu verwenden oder diese an Dritte weiterzugeben.

Beschränkung der Vertragsfreiheit: Die Datenverordnung legt Regeln für Verträge mit Bezug zu Daten fest, um sicherzustellen, dass der Anbieter dem Nutzer nicht unfaire Bedingung aufzwingen kann. 

Damit ergeben sich verschiedene Beschränkungen des Inhalts von AGB und anderen Standardverträgen, welche das Schweizer Recht so nicht kennt. Die Konsequenzen etwaiger unzulässiger Vertragsbestimmungen sind gravierend: Solche Bestimmungen werden nicht – wie nach schweizerischem Recht – auf das zulässige Minimum reduziert; sie sind stattdessen für die Gegenpartei gesamthaft nicht bindend. 

Wechsel von Cloud-Diensten: Die Datenverordnung zielt darauf ab, den Wechsel zwischen verschiedenen Cloud-Anbietern zu erleichtern, indem kommerzielle, technische, vertragliche und organisatorische Hindernisse beseitigt werden. Cloud-Anbietern werden entsprechende Pflichten auferlegt, welche neben diversen technischen Pflichten insbesondere auch die Pflicht umfassen, gewisse Vertragsbestimmungen in ihre Verträge aufzunehmen. 

Internationale Datenübertragungen: Anbieter müssen Massnahmen ergreifen, um den Zugriff von Nicht-EU-Regierungen auf Daten zu verhindern und die Einhaltung der EU-Gesetze und der Gesetze der Mitgliedstaaten sicherzustellen.

Konsequenzen der Nichteinhaltung: Strafen

Die Mitgliedstaaten der EU sind angewiesen, Strafregelungen einzuführen, die wirksam, verhältnismässig und abschreckend sind. Angesichts der jüngeren Regulierungsgeschichte der EU ist mit strengen Strafen zwecks Durchsetzung der Datenverordnung zu rechnen.

Implementierungszeitplan

• Die Pflichten der Datenverordnung gelten ab dem 12. September 2025.
• Designvorschriften für vernetzte Produkte gelten für Produkte, die nach dem 12. September 2026 auf den Markt gebracht werden.
• Die neuen Anforderungen an den Inhalt von Verträgen gelten für Verträge, die nach dem 
  12. September 2025 abgeschlossen werden, und ab dem 12. September 2027 für bestehende Verträge unter bestimmten Bedingungen.

Was gilt es jetzt zu tun?

Für die Anbieter von vernetzten Produkten, verbundenen Diensten und Cloud-Lösungen ist es nun an der Zeit, sich auf die neuen Anforderungen des Data Acts vorzubereiten:

• Alle Arten von betroffenen Anbietern müssen ihre Verträge dahingehend überprüfen, ob sie den Anforderungen der Datenverordnung entsprechen. Dabei gilt es einerseits, «verbotene» Bestimmungen zu identifizieren und durch zulässige zu ersetzen. Andererseits gilt es für Cloud-Anbieter, die von der Verordnung vorgeschriebenen Bestimmungen in die Verträge aufzunehmen. 
• Die Anbieter, welche die Produkt- oder Dienstdaten für eigene Zwecke nutzen wollen, müssen sicherstellen, dass die vertraglichen Grundlagen für eine Nutzung geschaffen werden, soweit diese noch nicht vorliegen, damit sie diese Daten auch in Zukunft für eigene Zwecke nutzen dürfen. 
• Anbieter von vernetzten Produkten und verbundenen Diensten müssen ihre Produkte in Zukunft so gestalten, dass der Nutzer selbst auf die vom Produkt bzw. dem Dienst generierten oder erfassten Daten zugreifen kann. Diese Anforderung muss nun in den Entwicklungsprozessen berücksichtigt werden.
• Die Anbieter sollten sich auf die Einhaltung der Informations- und Datenzugriffspflichten vorbereiten und sicherstellen, dass sie in der Lage sind, Daten schnell und effizient herauszugeben. 

Gerne unterstützen wir Sie dabei.