Die Datenverordnung (auch bekannt als „Data Act“) regelt künftig in der ganzen EU, wie Unternehmen Daten verwerten dürfen. In unserem Newsletter haben wir Ihnen einen ersten Überblick über die Neuregelungen gegeben. Als Service für Sie gehen wir jetzt auf unserer Website in verschiedenen Beiträgen vertieft auf einzelne Themenbereiche der Datenverordnung ein. In diesem Beitrag erläutern wir, für welche Unternehmen die Datenverordnung gilt.

Welche Produkte betrifft die Datenverordnung?

Die umfangreichsten Neuregelungen enthält die Datenverordnung für Hersteller (= Dateninhaber) und Nutzer sogenannter „vernetzter Produkte“ sowie für Anbieter und Nutzer von sogenannten „Datenverarbeitungsdiensten“.

Was sind vernetzte Produkte?

Die Definition „vernetzter Produkte“ in Art. 2 Nr. 5 Datenverordnung fasst solche Produkte zusammen,

• die Daten über die Nutzung oder Umgebung erlangen, generieren oder erheben und
• die Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln können und
• deren Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei als dem Nutzer ist.

Das heißt zunächst, dass das Produkt selbstständig Nutzungsdaten erheben muss. Soweit Daten dagegen vom Nutzer erzeugt oder eingegeben werden (wie bspw. bei Smartphones oder Tablets), fallen sie nicht unter vernetzte Produkte. Die genaue Abgrenzung, welche Daten von einem Menschen stammen oder vom Produkt erzeugt wurden, wird voraussichtlich zu einigen Diskussionen führen. Erhebt z.B. ein Fitnesstracker Daten selbstständig oder wird er dazu vom Nutzer durch die entsprechenden Einstellungen veranlasst?

Zusätzlich muss das Produkt die Daten über einen Kommunikationsdienst übermitteln, das Stichwort lautet hier „Internet of Things“ (IoT). Dieses Merkmal ist etwas schwerer verständlich. Gemäß Erwägungsgrund 16 sollen bspw. Server und Cloud-Strukturen aus dem Anwendungsbereich der Datenverordnung ausgeschlossen werden, die vom „Eigentümer“ der Cloud (=Nutzer) ausschließlich im Auftrag Dritter betrieben werden. Damit möchte die Datenverordnung im Grundsatz denjenigen die Rechte an Daten zusprechen, die diese durch ihre Nutzung erzeugen, d.h. den Kunden des Cloud-Dienstes. Der Betreiber der Cloud bzw. eines Rechenzentrums soll jedoch keinen Anspruch auf die durch seine Kunden erzeugten Nutzungsdaten erhalten.

Was sind Datenverarbeitungsdienste?

Datenverarbeitungsdienste sind nach Art. 2 Nr. 8 Datenverordnung digitale Dienstleistungen, die einem Kunden online den Zugriff auf bestimmte Rechenressourcen ermöglichen, die der Anbieter mit minimalem Verwaltungsaufwand bereitstellen und freigeben kann. Unter den Begriff solcher Datenverarbeitungsdienste fallen bspw. Cloud- oder Edge-Dienste, die den Nutzern eine gemeinsame Plattform zur Verfügung stellen. Dies können „Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service“ (PaaS) und „Software-as-a-Service“ (SaaS) sein. Das hat erhebliche Auswirkungen auf die Praxis, da die Datenverordnung es sich u.a. zum Ziel gesetzt hat, den Wechsel zwischen derartigen Datenverarbeitungsdiensten für Kunden künftig stark zu erleichtern.

Wo gilt die Datenverordnung?

Grundprinzip des örtlichen Geltungsbereiches ist nach Art. 1 Abs. 3 Datenverordnung das Marktortprinzip. Danach kommt es nur darauf an, dass ein Unternehmen vernetzte Produkte oder Datenverarbeitungsdienste innerhalb der EU anbietet oder in Anspruch nimmt. Der Sitz des Unternehmens ist nicht relevant. Die Datenverordnung gilt auch für Unternehmen, die außerhalb der EU ihren Sitz haben, aber innerhalb der EU vernetzte Produkte vertreiben oder Datenverarbeitungsdienste anbieten.

Teilweise Ausnahme für Klein- und Kleinstunternehmen

Einige wenige Anforderungen der Datenverordnung gelten nicht für Klein- und Kleinstunternehmen. Diese definieren sich nach der Empfehlung der EU-Kommission aus dem Jahr 2003 (2003/361/EG). Danach beschäftigt ein kleines Unternehmen weniger als 50 Personen und hat einen Jahresumsatz bzw. eine Jahresbilanz von unter EUR 10 Mio. Ein Kleinstunternehmen beschäftigt weniger als 10 Personen und hat einen Jahresumsatz bzw. eine Jahresbilanz von unter EUR 2 Mio.

Für solche Klein- oder Kleinstunternehmen gelten nach Art. 7 Abs. 1 Datenverordnung die Anforderungen an Hersteller vernetzter Produkte nicht. Voraussetzung dafür ist jedoch, dass sie nicht Teil eines größeren Konzerns sind und dass sie die Herstellung nicht als Unterauftragnehmer für ein größeres Unternehmen durchführen.

Ausblick und Praxishinweise

Die Feststellung, in welcher Art und Weise ein Unternehmen von der Datenverordnung betroffen ist, fällt nicht immer leicht. Neben den vorgestellten Definitionen ist anschließend zwischen einer Vielzahl an unterschiedlichen Arten von Daten (u.a. Metadaten, Produktdaten, verbundenen Dienstdaten, ohne Weiteres verfügbaren Daten und exportierbaren Daten) zu unterscheiden, um daraus die jeweiligen rechtlichen Pflichten abzuleiten.

Soweit Sie Fragen zur Datenverordnung haben oder Unterstützung wünschen, wenden Sie sich sehr gerne an unsere Experten aus dem Bereich Geistiges Eigentum, Medien und Informationstechnologie. Wir helfen Ihnen bei der Prüfung, ob und in welchem Umfang die Datenverordnung für Ihr Unternehmen gilt und wie Sie als Unternehmen darauf am besten reagieren. Zu dem Beginn der Umsetzung bietet sich z.B. ein kurzer Workshop an, in dem wir gemeinsam mit Ihnen die konkreten Anforderungen an Ihr Unternehmen erfassen und die erforderlichen Schritte abstimmen.