Das EU-Datenverordnung,[1] das den fairen Zugang zu und die Nutzung von Daten regeln soll, ist nach seiner Veröffentlichung im Amtsblatt der Europäischen Union im Januar 2024 in Kraft getreten. Das Gesetz soll ab September 2025 flächendeckend gelten.

Das Gesetz legt Regeln für die Nutzung, den Zugriff, die Verfügbarkeit und die Weitergabe generierter personenbezogener und nicht personenbezogener Daten fest und richtet sich an Hersteller vernetzter Produkte und Anbieter damit verbundener Dienstleistungen unabhängig von ihrem Niederlassungsort – alle zusammengefasst unter dem Oberbegriff „Dateninhaber“ in Form einer natürlichen oder juristischen Person.

In diesem Zusammenhang wird „vernetztes Produkt“ definiert als „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann, und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – ausser dem Nutzer – ist.“ Darüber hinaus bezieht sich der Begriff „verbundene Dienste“ auf „einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, einschließlich Software, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschliessend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“.

In Abgrenzung zum Begriff „Nutzer“ bezeichnet „Datenempfänger“ „eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschliesslich eines Dritten“, auf Anfrage des Nutzers an den Dateninhaber.“

Die folgenden im Gesetz festgelegten Elemente sind von Bedeutung:

• Einführung des Datenzugriffs durch Design und Standardeinstellung;

• Wo ein direkter Zugriff nicht möglich ist, müssen Dateninhaber auf Anfrage der Nutzer sowohl im B2B- als auch im B2C-Bereich Zugriff auf Daten über Produkte und zugehörige Dienstleistungen einschliesslich Metadaten gewähren – mit Ausnahme strengerer Bedingungen aus Sicherheitsgründen und bei der Weitergabe von Daten, die Geschäftsgeheimnisse darstellen;

• Dateninhaber müssen den Datenempfängern Daten auf Anfrage der Nutzer zu fairen, angemessenen und nichtdiskriminierenden Bedingungen unter Wahrung der Transparenz zur Verfügung stellen;

• Dateninhaber stellen öffentlichen Stellen der EU auf Anfrage Daten aus Gründen des öffentlichen Interesses zur Verfügung;

• Anbieter von Datenverarbeitungsdiensten wie Cloud-Computing-Diensten ergreifen die erforderlichen Massnahmen, um eine wirksame Interoperabilität für Datenzugriff, -übertragung und -nutzung zwischen verschiedenen Anbietern zu ermöglichen, und legen Vertragsbedingungen für den Wechsel von Diensten fest;

• Datenverarbeitungsdienstleister müssen technische, organisatorische und rechtliche Massnahmen ergreifen, um rechtswidrige grenzüberschreitende Übermittlungen von und Zugriff auf nicht personenbezogene Daten, die im EU-Block gespeichert sind, aus Drittländern zu verhindern;

• Einführung von Datenlizenzverträgen zwischen Dateninhabern, d.h. Herstellern und Nutzern;

• Einführung einer Reihe von Anforderungen für Smart-Contract-Anwendungen im Zusammenhang mit der Umsetzung von Vereinbarungen über die gemeinsame Nutzung von Daten;

• Einführung unverbindlicher Mustervertragsbedingungen für Datenzugriff und -nutzung, angemessene Vergütung und den Schutz von Geschäftsgeheimnissen durch die Kommission, sowie Standardvertragsklauseln für Cloud-Computing-Dienste, die auf fairen, angemessenen und nichtdiskriminierenden vertraglichen Rechten und Pflichten basieren.

Die Datenverordnung ist unbeschadet der EU-DSGVO zu lesen, wobei die im Rahmen der ersteren gewährten Datenzugriffsrechte getrennt von den im Rahmen der letzteren gewährten Zugriffsrechten für Einzelpersonen behandelt werden.

Schliesslich wird die inhärente Extraterritorialität des Gesetzes direkte Konsequenzen für Hersteller und Anbieter ausserhalb der Union haben, einschliesslich für in der Schweiz ansässige Unternehmen. Mit anderen Worten: Jede kommerzielle Tätigkeit, die in den Geltungsbereich des Gesetzes fällt und deren Produkte und Dienstleistungen auf dem EU-Markt angeboten werden, bzw. jede Beteiligung am Datenaustausch mit Interessengruppen innerhalb der EU müsste innerhalb des festgelegten Zeitrahmens der erforderlichen Sorgfaltsprüfung unterzogen werden, um die rechtzeitige Einhaltung der Vorschriften zu gewährleisten.

[1] Siehe hier https://eur-lex.europa.eu/legal-content/DE/TXT/?qid=1707924358044&uri=CELEX%3A32023R2854.