Die Datenverordnung (auch bekannt als „Data Act“) regelt künftig in der EU, wie Unternehmen Daten verwerten dürfen. In unserem Newsletter haben wir Ihnen einen ersten Überblick über die Neuregelungen gegeben und in einem Blogbeitrag genauer untersucht, für wen die Datenverordnung gilt. In diesem Beitrag erläutern wir, was die Datenverordnung für die Nutzung von Produktdaten durch die Hersteller (und damit auch für die Nutzer) bedeutet.

Bisherige Situation

Bislang gibt es keine umfassende Regelung zu Nutzungsrechten an Produktdaten. Eine Regelung findet sich lediglich in Teilbereichen, wie z.B. dem Datenschutzrecht oder dem Urheberrecht. Ansonsten gilt der Grundsatz, dass der Partei die Rechte an Daten zustehen, die den Zugang zu diesen Daten hat, sofern nicht im Einzelfall vertragliche Regelungen (z.B. F&E-Projekte, Joint Ventures oder auch Vertraulichkeitsvereinbarungen) existieren. Im Regelfall hat der Hersteller eines IoT-Produkts den faktischen Zugang zu den Produkt- und Nutzungsdaten. Somit können die Hersteller diese Daten auswerten, beispielsweise zur Verbesserung der eigenen Produkte. 

Wie erhalten Hersteller künftig Zugang zu Daten von IoT-Produkten?

Die entscheidende neue Regelung zur Nutzung von Produktdaten durch Hersteller findet sich in Artikel 4 Abs. 13 Datenverordnung. Danach darf der Dateninhaber (also der Hersteller) ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf Grundlage eines Vertrages mit dem Nutzer (also im Regelfall dem Eigentümer des Produkts) nutzen. Er darf solche Daten nicht dazu verwenden, Informationen über den Nutzer zu sammeln. Ohne Weiteres verfügbare Daten sind solche Produktdaten, die der Hersteller ohne unverhältnismäßigen Aufwand von dem vernetzten Produkt erhält oder erhalten kann.

Vertrag zwischen Hersteller und Nutzer

Um künftig Produktdaten nutzen zu können, müssen Hersteller einen Vertrag zur Datennutzung mit dem Nutzer abschließen. Gerade in Lieferketten stellt dies die Hersteller vor Herausforderungen. Aktuell haben Hersteller vernetzter Produkte meist keine direkte vertragliche Beziehung zum Käufer der Produkte, beispielsweise wenn diese durch Zwischenhändler verkauft werden. In diesen Fällen ist ein Vertragsschluss mit dem Nutzer nur durch eine Art End User License Agreement (EULA) möglich. Dabei müssen Hersteller sicherstellen, dass der Vertragsschluss rechtmäßig, dokumentiert und mit dem Nutzer (bzw. mit einem vertretungsbefugten Mitarbeitenden des Nutzers) erfolgt. 

Keine personenbezogenen Daten

Ein weiteres praktisches Problem für Hersteller ist der Ausschluss von personenbezogenen Daten aus der Regelung. Hintergrund für den Ausschluss ist, dass die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten in der EU-Datenschutz-Grundverordnung (DSGVO) geregelt sind. Danach kann ein Vertrag mit dem Nutzer nur dann nach Art. 6 Abs. 1 lit. b) DSGVO die Verarbeitung rechtfertigen, wenn der Nutzer auch gleichzeitig die betroffene Person ist. Gerade im B2B-Bereich benötigen Hersteller für die Verarbeitung personenbezogener Daten somit eine andere Rechtsgrundlage. Hersteller müssen zunächst sorgfältig prüfen, inwiefern die Produktdaten einen Personenbezug aufweisen. Dabei ist die aktuelle Rechtsprechung des EuGH zum relativen Personenbezug von Fahrzeugidentifikationsnummern (C‑319/22) sowie vom EuG zum fehlenden Personenbezug bei bestimmten pseudonymisierten Daten (T-557/20) zu berücksichtigen. Soweit ein Personenbezug (teilweise) vorliegt, benötigen sie zusätzlich zu dem Vertrag einen weiteren Rechtfertigungsgrund nach der DSGVO, bspw. die Wahrung ihrer berechtigten Interessen.

Inhaltskontrolle von Verträgen

Vertragliche Regelungen, mit denen Hersteller sich den Zugang zu Produktdaten sichern wollen, unterliegen zusätzlich einer Missbrauchskontrolle nach Art. 13 Datenverordnung. Danach sind Vertragsklauseln in Bezug auf den Datenzugang nicht bindend, wenn sie „missbräuchlich“ sind. Gemäß Art. 13 Abs. 3 Datenverordnung ist das bei einer groben Abweichung von der guten Geschäftspraxis oder bei einem Verstoß gegen Treu und Glauben der Fall. Die Regelung wird durch eine Reihe an Beispielen in den Absätzen 4 und 5 weiter konkretisiert. Die Inhaltskontrolle erinnert an die AGB-Kontrolle nach dem deutschen Recht und erfordert eine große Sorgfalt beim Erstellen der Verträge. 

Mustervertragsklauseln

Gemäß Art. 41 Datenverordnung wird die EU-Kommission vor dem 12. September 2025 Mustervertragsklauseln für den Datenzugang und die Datennutzung erstellen und veröffentlichen. Die Nutzung der Mustervertragsklauseln ist ausdrücklich unverbindlich (siehe Erwägungsgrund 42). Bei Verwendung dieser Mustervertragsklauseln können Unternehmen sicher sein, dass sie nicht missbräuchlich sind. Unternehmen sollten daher genau prüfen, inwiefern die Mustervertragsklauseln für sie eine sinnvolle Option darstellen können. 

Ausblick und Praxishinweise

Die Datenverordnung bringt für Hersteller von IoT-Produkten umfangreiche neue Anforderungen mit sich. Besonders bei der Erstellung und Überarbeitung ihrer Verträge sollten Unternehmen frühzeitig ihre Optionen prüfen und Änderungen vornehmen. Das gilt besonders für langfristig genutzte Produkte, da nach einem Verkauf die Vereinbarung oder Änderung von vertraglichen Regelungen mit dem Nutzer deutlich erschwert ist. Diese Neuregelungen werden auch Nutzer von IoT-Produkten vor Herausforderungen stellen, wenn sie sich mit neuen Verträgen konfrontiert sehen.

Soweit Sie Fragen zur Datenverordnung haben oder Unterstützung wünschen, wenden Sie sich sehr gerne an unsere Expert:innen aus dem Bereich Geistiges Eigentum, Medien und Informationstechnologie. Wir helfen Ihnen bei der Prüfung möglicher Änderungen Ihrer vertraglichen Absicherungen und bei der bestmöglichen Implementierung dieser Neuregelungen. Zu dem Beginn der Umsetzung bietet sich z.B. ein kurzer Workshop an, in dem wir gemeinsam mit Ihnen die konkreten Anforderungen an Ihr Unternehmen erfassen und die erforderlichen Schritte abstimmen.