Der Anlagenbauer Körber Supply Chain Logistics hat sein Portfolio in den vergangenen Jahren nach und nach digitalisiert. In den Anlagen und Maschinen sind unzählige Sensoren verbaut, die Daten erheben und verarbeiten. „Jede Anlage generiert bei ihrer Nutzung inzwischen Daten, was bedeutet, dass im Prinzip jedes unserer Produkte potenziell unter den Data Act fällt“, erläutert Dr. Michael Eginger, Senior Legal Counsel bei der Körber Supply Chain Logistics GmbH. Daten sind der Treibstoff der Datenökonomie. Unternehmen sammeln, verarbeiten und tauschen Daten, um Produkte zu verbessern, neue Dienstleistungen anzubieten oder effizienter zu arbeiten. Um den Fluss der Daten zu fördern, ist im Januar 2024 der EU Data Act in Kraft getreten. Etwas mehr als anderthalb Jahre hatten Unternehmen Zeit, die wichtigsten Vorgaben umzusetzen. Ab dem 12. September dieses Jahres müssen die Regeln verbindlich angewandt werden. Nach Datenschutzgrundverordnung und KI-Verordnung ist wieder die Kompetenz der Rechtsabteilung gefragt, die Umsetzung von europäischem Datenrecht praktisch handhabbar zu machen. Gegenstand des Data Act sind vernetzte Produkte und Dienste. „Das umfasst so unterschiedliche Bereiche wie den Maschinenbau, Robotik oder Fitness-Tracker“, sagt Dr. Ulla Kelp, Partnerin bei der Kanzlei orka. „Bisher hatten nur diejenigen Zugriff auf die Daten, die sie gesammelt haben. Jetzt sollen vor allem auch diejenigen Zugang haben, deren Daten bei der Nutzung der Produkte und Dienste erfasst werden.“ Ein greifbares Beispiel sei der Fahrzeughalter, der seine Fahrzeugdaten an seine Versicherung weitergeben möchte, um einen besseren Tarif zu bekommen. Bisher war das kaum möglich. Mit dem Data Act soll auch der Lock-in-Effekt behoben werden, der Nutzer Unternehmen von einem bestimmten Anbieter abhängig macht, da es bislang schwer war, mit einem Datensatz umzuziehen. Der Data Act erfasst insbesondere alle Akteure, die vernetzte Produkte in der EU in Verkehr bringen oder verbundene Dienste anbieten, und zwar unabhängig vom Ort ihrer Niederlassung. Unternehmen mit weniger als 50 Beschäftigten und Jahresumsatz unter 10 Millionen Euro sind in der Regel davon ausgenommen. Davon unterschieden werden Dateninhaber, die berechtigt oder verpflichtet sind, Daten zu nutzen und bereitzustellen. Hersteller oder Anbieter verbundener Dienste und Dateninhaber können identisch sein, müssen es aber nicht.
Datenflüsse klären
„Der Dateninhaber ist künftig verpflichtet, mit den Nutzern vertragliche Regelungen über die Herausgabe der Daten zu treffen“, sagt Ulla Kelp. Diese Vereinbarungen müssen dann auch die Ausgestaltung der Datenbereitstellung beinhalten und zu fairen, angemessenen und nichtdiskriminierenden Bedingungen erfolgen. Gegenstand dieser Art Vereinbarung sind Regelungen zur Datennutzung, zur Weitergabe, zum Datenschutz und zur Datensicherheit. Der Data Act gibt dafür einen Rahmen vor. Dass Daten von Nutzern herausverlangt werden, um sie dann zur Entwicklung eines Wettbewerbsproduktes zu verwenden, ist nach dem Data Act verboten. Die Daten dürfen auch nicht mit der Absicht an einen Dritten weitergegeben oder genutzt werden, Einblicke in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Herstellers oder gegebenenfalls des Dateninhabers zu erlangen.
Unternehmen müssten sich nun intern schnell unterschiedliche Fragen beantworten, empfiehlt Ulla Kelp: „Wo fließen Daten? Ist eine Trennung von personenbezogenen Daten und sonstigen Daten möglich? Muss für einen ergänzenden Schutz von Geschäftsgeheimnissen gesorgt werden?“ Um richtig zu reagieren, sollte ein Team aus IT, Recht, F&E und Compliance aufgebaut werden. Hinzu kämen organisatorische Fragen: Wer darf die Datenfreigabe veranlassen? Und wie sieht die technische Umsetzung der Interoperabilität aus? Nicht zuletzt sei ein kontinuierliches Monitoring der Umsetzung erforderlich. Verstöße gegen den Data Act werden im Data Act Durchsetzungsgesetz geregelt. Nach dem Gesetzesentwurf geplant sind Sanktionen von 50.000 Euro bei leichten bis hin zu 500.000 Euro bei schweren Verstößen. Für Unternehmen mit einer Schlüsselposition – im Data Act als „Gatekeeper“ bezeichnet – können die Bußgelder sogar bis zu 5 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Die zentral zuständige Behörde für die Durchsetzung des Data Act soll die Bundesnetzagentur sein, die auch mit weitreichenden Ermittlungsbefugnissen ausgestattet ist. Wichtig ist, dass dem Data Act die DSGVO vorgeht – bei Verstößen gegen den Datenschutz ist die Bundesbeauftragte für den Datenschutz und die Informationssicherheit zuständig. Es gilt dann auch der höhere datenschutzrechtliche Bußgeldrahmen. „Insgesamt ist es für Unternehmen in letzter Zeit zu viel gewesen“, resümiert Dr. Kelp mit Blick auf die Vielzahl neuer Regularien der EU-Digitalstrategie, von der KI-Verordnung bis zum Data Act. Wie schon bei der DSGVO sei es wahrscheinlich, dass es anfänglich zu Verwirrung kommt, sich das Gesetz aber mit der Zeit einspielen werde.
„Das ist unheimlich viel Aufwand und vergleichbar damals mit der Einführung der DSGVO.“
Stefan Fein,
Head of Legal,
Kia Connect GmbH
Neue Märkte
Der Data Act soll nicht nur den Zugang zu Daten regeln, sondern auch neue wirtschaftliche Chancen eröffnen. Besonders deutlich wird das bei datenbasierten Zusatzdiensten. Wenn Nutzungsdaten einfacher ausgetauscht werden können, so die Idee, lassen sich neue Services entwickeln – etwa vorausschauende Wartung, bei der Ausfälle durch Analyse von Sensordaten frühzeitig erkannt werden, oder maßgeschneiderte Versicherungsmodelle, die sich am tatsächlichen Verhalten der Nutzer orientieren. Auch im Energiesektor eröffnen sich Möglichkeiten, indem Daten zur Nutzung von Geräten oder Anlagen in intelligente Stromnetze eingebunden werden können, um Verbrauch und Kosten zu optimieren. Darüber hinaus könnte ein Markt für Sekundärdaten entstehen. Daten, die bislang in den Unternehmen verblieben, lassen sich künftig unter fairen Bedingungen an Dritte weitergeben. So könnten sich neue Geschäftsmodelle entwickeln, in denen Daten selbst zum Handelsgut werden – etwa durch branchenübergreifende. Gerade für kleine Unternehmen und Start-ups bietet dies Chancen. Sie erhalten Zugang zu Datensätzen, die bislang großen Konzernen vorbehalten waren, und können darauf aufbauend eigene Produkte oder spezialisierte Dienstleistungen entwickeln. Auch die gemeinsame Nutzung von Daten innerhalb einzelner Branchen könnte neue Ökosysteme schaffen. In der Landwirtschaft etwa ließen sich Informationen zu Bodenbeschaffenheit oder Wetterlagen herstellerübergreifend auswerten. In der Logistik könnten Echtzeitdaten von Fahrzeugen, Lagern und Zulieferern verknüpft werden, um Lieferketten effizienter zu steuern. Hinzu kommt der Bereich Cloud- und Plattformdienste: Da der Data Act den Wechsel zwischen Cloud-Anbietern erleichtert, könnte dies den Wettbewerb um flexible und transparente Angebote anregen.
„Für uns waren Daten, die jetzt in den Anwendungsbereich des Data Acts fallen, nie ein Problemfeld, deswegen sehe ich hier hauptsächlich bürokratischen Aufwand.“
Dr. Michael Eginger,
Senior Legal Counsel,
Körber Supply Chain Logistics GmbH
Die Mühen der Ebene
Erst einmal bedeuten die neuen Regeln jedoch mehr Arbeit. Für Unternehmen wie Körber Supply Chain Logistics liegt die größte Herausforderung in der Anpassung der gesamten Organisation an die neuen Vorgaben – von der Forschungs- und Entwicklungsabteilung bis hin zum Vertrieb. Auch die Produkte von Zulieferern, die Daten verarbeiten, müssen berücksichtigt werden. Der Aufwand ist immens. Zwar hätten die Maschinen schon vor dem Data Act Daten generiert, sagt der Jurist Michael Eginger, doch eine zentrale Übersicht über die Datenlandschaft fehlte. „Unternehmen wie Microsoft oder andere Software-Anbieter sind da anders aufgestellt als jemand aus dem Anlagen- und Maschinenbau“, so Eginger. „Es gab bei uns gar nicht die eine zentrale Stelle, die sagen konnte, welche Daten insgesamt in einer Anlage beim Kunden generiert werden.“ Dieser Überblick muss nun mühsam erarbeitet werden. Dabei stellt sich die Frage, wie die Daten zu strukturieren und logisch zusammenzufassen sind. Ein zentraler Punkt ist auch die Frage nach dem Dateninhaber in einer mehrstufigen Lieferkette. Müssen Hersteller wie Körber selbst alle Daten vorhalten oder können sie Kunden an Zulieferer verweisen? Zudem erfordert die Nutzung von Daten, etwa für Services wie Predictive Maintenance, künftig einen Datennutzungsvertrag mit den Kunden. Ob eine konkludente Verarbeitung im bestehenden Vertrag ausreicht, muss sich noch zeigen. Besonders kritisch ist für Unternehmen die Abgrenzung zwischen den rohen, herausgabepflichtigen Daten und jenen, die durch zusätzliche Investitionen weiterverarbeitet wurden. „Der Data Act schließt aus Daten abgeleitete Informationen von seinem Anwendungsbereich aus, wenn sie das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen sind “, betont Eginger. Bei Rohdaten, die strukturiert vorliegen, sehe er keine Schwierigkeiten: „Hier sind wir der Meinung, dass ein interoperabler Schnittstellenstandard besonders wichtig ist. Zum Beispiel bietet sich der Standard OPC UA an, wie ihn auch der VDMA für die Umsetzung des Data Acts vorschlägt. Dieser hat sich als Standard in der Industrie 4.0 etabliert.“ Doch insgesamt überwiegen die Bedenken gegenüber dem Data Act: „Für uns waren Daten, die jetzt in den Anwendungsbereich des Data Acts fallen, nie ein Problemfeld, deswegen sehe ich hier hauptsächlich bürokratischen Aufwand“, resümiert Eginger. Die Stimmung sei gegenüber dem Data Act eher negativ. Der erhoffte Mehrwert, dass vorher verschlossene Daten für neue Geschäftsmodelle genutzt werden, bleibt aus Sicht des Juristen vage. Stattdessen entstünden neue Konfliktpotenziale. Was passiert, wenn ein Kunde die Daten sofort herausverlangen will und die technischen und organisatorischen Prozesse dafür noch nicht ausgereift sind? „Darauf müssen wir uns jetzt einstellen“, sagt Eginger.
Hinter dem Nutzen steht ein Fragezeichen
Schon in der Phase der Gesetzgebung war der Data Act stark umstritten. Während die EU-Kommission das Regelwerk als zentralen Baustein ihrer Datenstrategie präsentierte, warnten zahlreiche Wirtschaftsverbände und Unternehmen vor den Folgen. Ein Kernpunkt der Kritik war die Pflicht zur Weitergabe von Daten: Was aus Sicht der Politik mehr Wettbewerb und neue Geschäftsmodelle ermöglichen sollte, sahen Hersteller als Eingriff in ihre Geschäftsgrundlagen. Befürchtet wurde, dass sensible Produktionsdaten oder technische Details an Wettbewerber gelangen könnten. Ein zweites Konfliktfeld war die technische Umsetzung. Der Data Act verpflichtet Anbieter dazu, offene Schnittstellen und interoperable Standards bereitzustellen. Ziel ist es, Datenportabilität und die Wechselmöglichkeit zwischen Diensten – etwa in der Cloud – zu erleichtern. Für viele Industrieunternehmen, insbesondere den Mittelstand, bedeutete dies jedoch hohe Kosten. Systeme, die historisch gewachsen sind und nicht auf Interoperabilität ausgelegt waren, müssten teilweise grundlegend angepasst werden. Gerade hier war die Sorge groß, dass die Regulierung die technische Komplexität unterschätzt. Daneben spielte auch die Überschneidung mit anderen EU-Vorhaben eine Rolle. Schon heute müssen Unternehmen Vorgaben der DSGVO und der KI-Verordnung einhalten. Vertreter der Industrie warnten, dass sich die Vielzahl der Regularien gegenseitig überlagern könnte. Nicht zuletzt wurde auch die Frage diskutiert, ob die Regulierung überhaupt den gewünschten Effekt erzielt. Während die Kommission von einem riesigen, bislang ungenutzten Datenpotenzial ausgeht, äußerten Unternehmen Zweifel, ob die so erzwungene Datenfreigabe tatsächlich zu Innovation führt.
Herausforderung Datentransfer
„Das ist unheimlich viel Aufwand und vergleichbar damals mit der Einführung der DSGVO“, sagt Stefan Fein, Head of Legal bei der Kia Connect GmbH. Als Dateninhaber nach dem Data Act sieht er sein Unternehmen in einer Schlüsselposition, da es an der Schnittstelle zwischen Hersteller und Kunde agiert. „Wir müssen sämtliche Prozesse, sowie die Datenflüsse und Verträge überprüfen und anpassen“, erklärt Fein. Obwohl die grundlegenden Prinzipien nicht überraschend seien, steckten aus seiner Sicht die Unsicherheiten in den Details. Eine der größten Herausforderungen sei der Anspruch der Kunden auf Übermittlung ihrer Daten, sagt Fein. Kia Connect unterscheidet dabei zwischen Privatkunden, Geschäftskunden wie Autovermietungen und Dritten wie Versicherungen. Die Art des Datenempfängers entscheidet dabei über den Umfang der Daten. „Eine Versicherung möchte vielleicht viel mehr Daten haben als ein Privatkunde. Damit wird die Gefahr aber auch größer, dass Geschäftsgeheimnisse mit übermittelt werden“, warnt Fein. Zwar haben Nutzer nach dem Data Act prinzipiell Zugang zu all ihren Daten, doch Geschäftsgeheimnisse sind nach dem Gesetz geschützt. Auch die Auswertung von Rohdaten könnte Rückschlüsse auf die Geschäftsstrategie zulassen. „Wir müssen also analysieren, welche Daten verarbeitet werden, und dann müssen wir bewerten, ob eventuell Geschäftsgeheimnisse betroffen sind“, sagt Stefan Fein. Zwar ist die Entwicklung von Konkurrenzprodukten auf Basis dieser Daten verboten. Doch die Durchsetzung dieses Verbots sei schwierig, da die Verfolgbarkeit der Daten ab einem bestimmten Punkt nicht mehr möglich sei. Der Datentransfer ist ein zentrales Anliegen des Data Acts, doch allein die technische Realisierung bereitet Kopfzerbrechen. Ein Fahrzeug generiert stündlich rund 25 Gigabyte an Daten. Die Herausforderung besteht darin, eine praktikable und rechtskonforme technische Lösung für die Herausgabe der Daten aufzubauen. Fein weist darauf hin, dass jedes Auto, jede Marke, jedes Modell unterschiedliche Daten erzeugt und verarbeitet. Der Jurist schlägt vor, gemeinsame Standards zu etablieren, die für alle Unternehmen der Branche verbindlich sind. Dies könnte Einheitlichkeit und Vergleichbarkeit schaffen. Aus Sicht von Stefan Fein bietet der Data Act auch positive Aspekte, etwa die Möglichkeit für Hersteller, Daten von Dritten zu erwerben. Dies könnte neue Entwicklungschancen eröffnen. Dennoch steht dem potenziellen Nutzen ein enormer Aufwand gegenüber. „Ob das zukünftige Volumen von Datensätzen als Handelsgut den hohen bürokratischen und technischen Aufwand rechtfertigt, wird sich erst in der Zukunft zeigen“, sagt Fein. ■ Henning Zander
