The EU data law brings new obligations

Das neue EU-Datengesetz (Data Act) tritt am 12. September 2025 in Kraft und stellt Hersteller von vernetzten Geräten und Anbieter digitaler Dienste vor neue Herausforderungen. Von da an müssen Hersteller von vernetzten Geräten und Anbieter darauf bezogener digitaler Dienste neue Pflichten erfüllen. Dies betrifft insbesondere Geräte des Internet of Things (IoT) wie intelligente Kühlschränke oder Autos sowie andere Maschinen, die Daten sammeln und über das Internet übertragen. Verstöße gegen die Vorschriften können mit Bußgeldern geahndet werden.

So müssen Hersteller künftig schon beim Design sicherstellen, dass die Erwerber Zugang zu den vom Gerät gesammelten Daten erhalten. Zusätzlich zum Datenzugang muss der Erwerber Informationen darüber erhalten, welche Daten das Gerät erhebt. Ferner kann er sich auch dazu entscheiden, Dritten Zugang zu den Daten seines Geräts zu gewähren. Gleichzeitig schränkt das Gesetz die Möglichkeiten von Geräteherstellern und des Diensteanbieters ein, die Daten für eigene Zwecke zu nutzen oder an Dritte weiterzugeben, und stellt neue Regeln für Verträge über die Datennutzung auf.

Diese Regeln gelten unabhängig davon, ob es sich bei den Daten um personenbezogene Daten im Sinne der europäischen Datenschutz-Grundverordnung (DSGVO) handelt. Bei personenbezogenen Daten muss diese zusätzlich beachtet werden. Das führt zu komplexen rechtlichen Fragestellungen, besonders wenn Eigentümer und Nutzer des Geräts nicht identisch sind. Der Data Act ist Teil der EU-Datenstrategie, die noch weitere Gesetze umfasst, wie den Digital Markets Act, den Digital Services Act und den AI Act. Sie zielen darauf ab, den Wettbewerb sowie die Kunden großer Digitalunternehmen zu schützen. Die Regeln sollen den Kunden mehr Kontrolle über die von ihnen generierten Daten geben und ihnen ermöglichen, sie zur Entwicklung neuer Dienste und Produkte zu nutzen. Daher werden Konflikte mit anderen – teils auch rechtlich geschützten – Interessen der Hersteller und Anbieter auftreten. Man denke nur an den Fall, dass ein Kunde den Anbieter eines vernetzten Produktionsgerätes auffordert, die über das Gerät gesammelten Daten einem Wettbewerber des Herstellers oder eines Diensteanbieters zur Verfügung zu stellen. Das Gesetz erlaubt nur in Ausnahmefällen, den Zugang zum Schutz von geistigem Eigentum und Geschäftsgeheimnissen zu verweigern. Auch das Verhältnis zum Datenschutz- und Wettbewerbsrecht spielt eine Rolle. Die Offenlegung personenbezogener Daten erfordert eine Rechtfertigung nach der DSGVO, und Hersteller können je nach Marktstellung verpflichtet sein, Unternehmen nicht vom Datenzugang auszuschließen.

Betroffene Unternehmen sollten deshalb neue Prozesse einführen, um die Vorschriften einzuhalten, und Verträge mit Kunden, Geschäftspartnern und Dritten – einschließlich Wettbewerbern – anpassen. Sie sollten eine eigene Datenstrategie haben, die ihre Geschäfts- und IP-Strategie berücksichtigt und hilft, den Data Act sinnvoll umzusetzen. Um Chancen zu erkennen und rechtliche und wirtschaftliche Risiken zu minimieren, sollten sie bereits im Vorfeld detaillierte interne Entscheidungsprozesse etablieren. Auch Investoren, die an Start-ups und anderen regulierten Unternehmen interessiert sind, müssen die zukünftigen Auswirkungen des Data Act berücksichtigen. Sie sollten prüfen, ob das Zielunternehmen die Anforderungen rechtzeitig erfüllt und wie sich die Datenherausgabepflicht auf das Geschäftsmodell auswirkt. Zudem sollten sie die potentiellen Kosten durch die Umsetzung analysieren. Angemessene Compliance-Maßnahmen sollten sie rechtzeitig planen und rechtssicher umsetzen.

Die Autoren sind Anwälte der Kanzlei K&L Gates LLP.