Aktuelles
Datum:
Dieser Artikel wurde verfasst von
Rechtsanwalt | Fachanwalt für IT-Recht
Vielen Unternehmen ist der EU Data Act noch unbekannt. Dabei wird er schon in wenigen Tagen - ab dem 12. September 2025 – anwendbar sein. Mit dem folgenden Beispiel möchten wir Sie auf die erheblichen Auswirkungen - z.B. auf Wartungsverträge hochwertiger Wirtschaftsgüter – aufmerksam machen:
Die Eigentümerin einer Windkraftanlage erhält ein Scheiben eines Anlagenherstellers. Dort heißt es, dass der EU Data Act (Verordnung EU/2023/2854) es notwendig mache, den Wartungsvertrag anzupassen, damit der Hersteller auf die Anlagendaten zugreifen könne. Der Hersteller möchte sich ein ausdrückliches Nutzungsrecht für diese Daten einräumen lassen.
Die Regelung lautet:
„Wir können die beim Betrieb Ihrer Anlage entstehenden, nicht-personenbezogenen Daten erfassen, exportieren und nutzen, um Dienstleistungen, Produkte und Lösungen zu entwickeln, Analysen durchzuführen, Wartungs- und andere Dienstleistungen zu erbringen sowie für andere rechtmäßige Zwecke verwenden. Wir können für diese Zwecke die Daten auch an Dritte weitergeben.”
Die Betreiberin müsse aktiv nichts veranlassen, die Leistungen und Vertragsbedingungen blieben im Übrigen unverändert, die neue vertragliche Regelung gelte ab dem 12. September 2025, es sei denn, sie widerspreche binnen 30 Tagen in Textform.
Diese oder ähnliche Schreiben erreichen aktuell unsere Mandantinnen und Mandanten nicht nur im Bereich der Energieerzeugung, sondern auch in der Haustechnik (z.B. Aufzüge oder Heiztechnik) oder des Nahverkehrs. Teilweise auch verbunden mit der unverhohlenen Drohung, dass der Dienst nur wenige Tage später nicht mehr zur Verfügung stehe, wenn der Betreiber nicht zustimme.
Mit dem EU Data Act will die EU die Datenschätze aus ‚vernetzten Produkten‘ heben. Gemeint sind damit Produkte, die vom Hersteller so gestaltet sind, dass die in ihnen durch die Nutzung entstehenden Daten zugänglich sind, sei es z.B. über USB-Kabel, WLAN oder 5G. Der Anwendungsbereich ist damit weit. Er reicht von Verbraucherartikeln (Bluetooth-fähige Zahnbürste) bis zu hochwertigen Investitionsgütern (LKW, Flugzeugen, Windkraftanlagen oder Aufzügen).
Weil der Datenzugang aber faktisch vom Hersteller kontrolliert wird, stehen den Eigentümern oder Mietern (Nutzern) bisher meist keine bzw. nur wenige Daten aus dem Gerät zur Verfügung. Das Produkt ist für sie eine ‚Black Box‘. Die Hersteller verwenden Daten zur Produktverbesserung oder zur Erbringung weiterer Dienste, wie etwa in unserem Beispiel oben für Wartungsleistungen im Rahmen von Serviceverträgen. Dies geschah bisher häufig ‚ungefragt‘.
Dabei sah die EU eine Reihe von Gefahren, u.a. die des so genannten ‚Vendor-Lock-Ins‘, d.h. dass (datenbasierte) Leistungen (z.B. Wartung) nur von den Herstellern erbracht werden können bzw. dass Gerätedaten ungenutzt bleiben. Deshalb regelt der EU Data Act die Rechtsverhältnisse in Bezug auf Daten dieser vernetzten Produkte grundlegend neu.
Der EU Data Act stellt nun den Nutzer des Produkts in den Mittelpunkt. Dieser soll einerseits selbst auf von ihm durch die Nutzung der jeweiligen Produkte erzeugten Daten zugreifen können, andererseits aber auch darüber entscheiden, ob und inwieweit die Hersteller die Daten verwenden können.
Nach Artikel 4 Abs. 13 EU Data Act kann der Dateninhaber - also typischerweise der Hersteller - die Daten nur ‚auf der Grundlage eines Vertrags‘ mit dem Nutzer verwenden. Nach Artikel 4 Abs. 14 EU Data Act ist eine Weitergabe von Daten an Dritte ebenfalls nur ‚zur Erfüllung ihres Vertrages ‘ möglich. Genau diese Grundlage möchte der Anlagenhersteller in unserem Beispiel durch seine Vertragsänderung schaffen.
Eigentlich benötigt der Hersteller gar keine Vertragsänderung, um seine Wartungsleistungen weiterhin zu erbringen.
Denn hier besteht im Wartungsvertrag selbst schon eine hinreichende Grundlage. Anders als die DSGVO für die Einwilligung bei personenbezogenen Daten (Artikel 4 Nr. 11 bzw. Artikel 7 DSGVO) – formuliert der EU Data Act keine besonderen Anforderungen, sondern spricht von einer vertraglichen ‚Grundlage‘ bzw. von ‚zur Erfüllung des Vertrages‘. Damit können die Daten, die z.B. ein Techniker für die Durchführung der Wartung oder die Software des Herstellers zur automatisierten Fehlerbenachrichtigung erhält, auch nach dem 12. September 2025 weiterhin verwendet werden, ohne dass hier ein formaler Vertrag notwendig wird. Ähnliches gilt im Urheberrecht im Rahmen der sogenannten Zweckübertragung (vgl. § 31 Abs. 5 UrhG).
Der Umfang der Datennutzung für den Nutzer transparent sein, wie der Erwägungsgrund 25 des EU Data Acts deutlich macht. Es gibt also eine Zweckbindung, die allerdings nicht so streng ist, wie im Datenschutzrecht.
Mit der beabsichtigten Vertragsanpassung will der Anlagenhersteller - über den Wartungsvertrag hinaus – die im Produkt entstehenden Daten für eigene Nutzungen und zur möglichen Weitergabe an Dritte (weiterhin) verfügbar machen. Die gewählte Formulierung ist dabei ausgesprochen breit, wenn sie von der Entwicklung von Dienstleistungen, Produkten und Lösungen, von Analysen, sonstigen Dienstleistungen oder anderen rechtmäßige Zwecken spricht. Gleiches gilt für die Möglichkeiten der Weitergabe an Dritte.
Für die Ausgestaltung eines solchen Datennutzungsvertrages gilt grundsätzlich die Vertragsfreiheit. Allerdings kommen mit dem EU Data Act auch neue zwingende vertragsrechtliche Schranken – auch im B2B Bereich. So sind nach Artikel 7 Abs. 2 EU Data Act Regelungen, die dem Nutzer seine Rechte nach dem EU Data Act nehmen bzw. davon abweichen, nicht bindend. In Artikel 13 EU Data Act findet sich sogar eine – dem deutschen AGB-Recht nicht unähnliche – Regelung zu missbräuchlichen Vertragsklauseln.
Ob die in unserem oben dargestellten Beispiel gewählte Klausel wirksam ist, kann zumindest in Bezug auf Formulierungen wie „für andere rechtmäßigen Zwecke“ oder die „Weitergabe an“ - nicht weiter benannte- „Dritte“ durchaus bezweifelt werden, da dies weder in Bezug auf die beabsichtigte Nutzung und noch auf die Empfänger transparent ist. Um wirklich sicherzustellen, dass konkrete Nutzungen und Weitergaben an Dritte auch rechtlich zulässig sind, sollte der Anlagenhersteller hier spezifischer werden.
Ebenfalls fragwürdig ist die Art und Weise der Anpassung. Der Anlagenhersteller will hier, dass die Änderung automatisch gilt, sofern die Eigentümerin der Änderung nicht innerhalb einer gesetzten Frist widerspricht. Diese Form der einseitigen Vertragsänderung ist nicht unproblematisch. Sie setzt voraus, dass sich der Anlagenhersteller eine solche Vertragsänderung im ursprünglichen Wartungsvertrag vorbehalten hat, da Schweigen im Rechtsverkehr keine Auswirkungen hat. Und selbst wenn es eine derartige Regelung im Wartungsvertag geben sollte, ist diese nach deutschem AGB-Recht häufig unwirksam.
Auch kurze, nur wenige Tage währende Fristen mit der Androhung der Beendigung der Leistungen sind als Kündigungen zur Unzeit wirkungslos.
Der Nutzer hat nach dem EU Data Act eine starke Position. Er kann ab dem 12. September 2025 die Herausgabe der „ohne Weiteres verfügbaren“ Daten verlangen. Dies sind die im Produkt entstehenden und an den Dateninhaber (d.h. in unserem Beispiel den Anlagenhersteller) übermittelten Daten aus dem Produkt. Dabei geht es um Rohdaten, wie etwa Statusmeldungen, Messwerte oder die Interaktionen mit der Anlage, wie sie an den Anlagenhersteller übermittelt werden.
Genau diese Daten sind dem Nutzer unentgeltlich bereitzustellen. Dies hat unverzüglich, einfach, sicher, in einem umfassenden, gängigen und maschinenlesbaren Format in der gleichen Qualität wie für den Dateninhaber und sogar - falls relevant und technisch durchführbar – kontinuierlich und in Echtzeit zu erfolgen. Die Daten sind mit den zur Auslegung und Nutzung der Daten erforderlichen Metadaten bereitzustellen.
Genau diesen wichtigen Aspekt berührt die Mitteilung des Anlagenherstellers in unserem Beispiel nicht.
Die Nutzer (d.h. in unserem Beispiel der Betreiber) kann die Daten dann selbst vielfältig nutzen, zum Beispiel, um die Anlagennutzung zu optimieren, alternative Wartungsdienste zu beziehen oder etwa die Finanzierung oder Versicherbarkeit des Geräts aufgrund einer besseren technischen und wirtschaftlichen Bewertung zu verbessern.
Der Anlagenhersteller geht hier grundsätzlich richtig vor, indem er eine vertragliche Grundlage für die – über den eigentlichen Wartungsauftrag hinausgehende – Nutzung der Daten sucht. Hersteller sollten sich dringend damit beschäftigen, welche Daten sie zu welchen Zwecken aus den Geräten benötigen, welche vertragliche Grundlagen hierfür notwendig sind.
An der konkreten Vorgehensweise bestehen aber erhebliche Zweifel, sowohl aufgrund der Regelungen des Data Acts als auch aufgrund des deutschen Vertragsrechts.
Sobald das deutsche Durchführungsgesetz in Kraft ist, drohen dem Hersteller sogar Bußgelder. Bei Gerätedaten, die personenbezogenen sind, werden die Datenschutzbehörden sogar schon ab dem 12. September 2025 zuständig sein und ggf. Bußgelder verhängen können (vgl. die Meldung des HamBfDI vom 9. September 2025).
Für den Betreiber ist der Versuch des Anlagenherstellers ein guter Anlass sich mit den Möglichkeiten des Data Acts zu beschäftigen.
Die beste Reaktion eines Nutzers auf ein solches Änderungsverlangen ist es, der vom Hersteller verlangten Anpassung zu widersprechen und dabei deutlich zu machen, dass die Datennutzung zum Zwecke der vereinbarten Wartung auch in Zukunft weiterhin erlaubt ist.
Zusätzlich ist einem Hersteller die Gegenfrage zu stellen, wie denn der gesetzlich geforderte Datenzugang ab dem 12. September 2025 gewährleistet wird. Die notwendigen Details über die Datennutzung können dann - vertraglich ausgewogen - neu geregelt werden.
Beide Seiten müssen sich zudem mit Fragestellungen wie dem Schutz ihrer Geschäftsgeheimnisse oder dem Schutz personenbezogener Daten auseinandersetzen.
Es gibt also viel zu tun…