Der EU Data Act kommt - Die wichtigsten Informationen

Worum geht es?

Die Europäische Union (EU) will weltweit eine führende Rolle in der Regulierung der digitalen Wirtschaft übernehmen. Mit dem Data Act macht die EU einen weiteren Schritt in Richtung eines europäischen Binnenmarktes für Daten. Das Gesetz regelt künftig Zugang, Nutzung und Markt von nicht personenbezogenen Daten in der EU. So soll eine dynamische und innovative Datenwirtschaft ermöglicht und gefördert werden.

Die EU-Organe haben den Data Act im November 2023 verabschiedet. Um Unternehmen ausreichend Zeit zur Anpassung zu geben, wird die Verordnung erst 20 Monate nach ihrer Annahme bindend, also ab dem 12. September 2025. Vernetzte Produkte und damit verbundene Dienste, die nicht dem Data Act entsprechen, dürfen jedoch noch bis zum 12. September 2026 auf den Markt gebracht werden.

Die nachfolgenden Ausführungen sollen Ihnen einen ersten Überblick über die Auswirkungen des EU Data Act auf die Schweizer Wirtschaft verschaffen.

Was ändert sich mit dem Data Act?

Datenweitergabe an Nutzer (B2C)
Nutzerinnen und Nutzer erzeugen durch die Nutzung vernetzter Produkte und Dienste Daten. Der Data Act legt fest, dass diese Daten den Nutzenden standardmässig zur Verfügung gestellt werden müssen, ein Prinzip, das als «Data Access by Design» bekannt ist. Dieser Datenzugang muss einfach, sicher und kostenfrei sein. Nutzerinnen und Nutzer sollen die Daten selbst nutzen oder an Dritte weitergeben können. Daher beeinflusst der Data Act den Design-Thinking-Prozess, indem er verlangt, dass der Datenzugang schon bei der Produktentwicklung berücksichtigt wird.

Datenweitergabe zwischen Unternehmen (B2B)
Gemäss Artikel 8 der EU-Verordnung 2023/2854, muss die Weitergabe von Daten in Geschäftsbeziehungen zwischen Unternehmen unter «fairen, angemessenen und nichtdiskriminierenden Bedingungen» und auf «transparente Weise» erfolgen. Der Data Act enthält Regelungen zum Schutz kleiner und mittlerer Unternehmen (KMU) vor unfairen Vertragsklauseln. Durch Fairness-Tests sollen solche Klauseln identifiziert und vermieden werden. Für KMU sind unfaire Vertragsbedingungen gegenüber Grossunternehmen nicht bindend. Zudem plant die Kommission, Musterklauseln für Verträge zur Datenweitergabe zu entwickeln, um den Missbrauch der Marktmacht durch grosse Unternehmen zu verhindern.

Datenweitergabe an Regierungen (B2G)
Nationale Behörden und EU-Organe können im Fall eines öffentlichen Notstands Unternehmen zur Herausgabe oder Weitergabe von Daten verpflichten. Diese Pflicht könnte etwa im Fall einer Pandemie, eines gravierenden Cybersicherheitsvorfalls oder einer Naturkatastrophe zur Anwendung kommen. Ausserhalb der Krisenbewältigung ist die Verwendung der erlangten Daten durch die öffentlichen Stellen nur zu Forschungszwecken gestattet.

Datenmärkte
Der Data Act zielt darauf ab, Märkte für nicht personenbezogene Daten zu fördern. Nutzerinnen und Nutzer sollen Daten zu kommerziellen Zwecken weitergeben können. Auch Unternehmen dürfen die von ihnen gesammelten Industriedaten lizenzieren oder verkaufen. Bis anhin war dies abhängig von Verträgen teils ohne Einschränkungen möglich.

Cloud Switching
Der Data Act beinhaltet Vorschriften, die den Wechsel von einem Cloudanbieter zu einem anderen vereinfachen sollen. So müssen Cloudanbieter Unternehmen so unterstützen, dass ihr Betrieb beim Wechsel reibungslos weiterläuft. Ab 2027 dürfen Cloudanbieter für diese Dienstleistung kein Entgelt mehr erheben. Ausserdem müssen Clouddienste künftig die Kompatibilität mit Interoperabilitätstandards sicherstellen. Diese Standards werden von der EU erarbeitet und festgelegt.

Intelligente Verträge
Sogenannte Smart Contracts sind selbstausführende Computerprogramme, die digitale Verträge automatisch umsetzen, überwachen oder verifizieren. Diese Verträge basieren häufig auf Blockchain-Technologie, die eine dezentrale und transparente Ausführung von Verträgen ermöglicht. Laut dem Data Act sind Anbieter intelligenter Verträge dazu verpflichtet, die Interoperabilität zwischen diesen Verträgen sicherzustellen, und müssen sich zudem an die Vorgaben des Data Acts halten.

Internationale Datenweitergabe
Bereits heute ist die Weitergabe von personenbezogenen Daten in Ländern ausserhalb der EU an Bedingungen geknüpft. Mit dem Data Act dürfen Cloudanbieter nicht personenbezogenen Daten nur noch an Drittstaaten weitergeben, wenn diese mit EU-Recht konform sind.

Wer ist grundsätzlich betroffen?

Der Data Act soll die Datenwirtschaft in der EU sektorübergreifend regeln. Entsprechend breit ist auch der Kreis der potenziell Betroffenen:

•    Hersteller von in der EU angebotenen, vernetzten Produkten:
Der Hauptfokus liegt auf «Internet der Dinge» resp. IoT-Geräten, deren Gebrauch durch die User Daten generiert, die nicht durch Persönlichkeitsrechte geschützt sind. Darunter fallen vernetzte Industrieanlagen, smarte Haushaltsprodukte oder moderne Fahrzeuge.

•    Anbieter von verbundenen Diensten:
Vernetzte Dienste sind Angebote, ohne die ein vernetztes Produkt nicht funktioniert, beispielsweise eine Software für eine vernetzte Produktionsanlage.

•    Nutzerinnen und Nutzer von vernetzten Produkten:
Sie haben neu Anspruch auf Daten, an deren Generierung sie beteiligt waren. Diese Daten sollen von den Nutzenden auch an Dritte weitergegeben werden können. Als Nutzer gelten sowohl Privatpersonen wie auch Unternehmen.

•    Unternehmen von Drittstaaten ohne Anerkennungsentscheid:
Die Schweiz gehört nicht zu dieser Gruppe an Ländern, sondern wird von der EU datensicherheits-technisch als «sicher» behandelt.

•    Anbieter von Smart Contracts:
Die Anforderung der Interoperabilität soll laut der Verordnung für alle Anbieter von Verträgen gelten, bei denen ein Computerprogramm die automatische Ausführung eines Vertrags oder Teilen davon übernimmt.

•    Clouddienst-Anbieter:
Cloud Service Provider müssen den Wechsel zu anderen Diensten erleichtern und kostenlos anbieten. Dabei muss der Clouddienst den unterbruchfreien Betrieb gewährleisten.

Ausnahmen und Sonderregeln gelten für folgende Arten von Unternehmen:

•    «Gatekeeper»-Unternehmen: Zu den Gatekeepern zählen Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft. Diese Tech-Unternehmen haben laut EU eine starke wirtschaftliche Position, verbinden eine grosse Anzahl Nutzerinnen und Nutzer mit Unternehmen und sind im Markt gefestigt. Sie haben als Dritte kein Anrecht auf Daten von vernetzten Produkten oder verbundenen Diensten.

•    Klein- und Kleinstunternehmen: Unternehmen mit unter 50 Mitarbeitenden und einer Bilanzsumme respektive einem Umsatz von unter 10 Millionen Euro sind von den Pflichten der neuen Verordnung weitgehend ausgenommen. Sie sind von der Verpflichtung zur Weitergabe personenbezogener Daten befreit und müssen diese weder an ihre Nutzerinnen und Nutzer noch an Dritte übermitteln.

Wie sieht es für Unternehmen mit Sitz in der Schweiz aus?

Obwohl der Data Act als EU-Verordnung in der Schweiz grundsätzlich keine direkte Anwendung findet, können Schweizer Unternehmen, die im EU-Binnenmarkt aktiv sind, dennoch davon betroffen sein. Produkte und Dienstleistungen, wie beispielsweise vernetzte Geräte, Apps oder Clouddienste, die von der Schweiz aus in der EU angeboten werden, fallen unter die Regelungen des Data Acts. Dies gilt unabhängig davon, ob der Firmensitz in der Schweiz liegt.

Ausblick

Expertinnen und Experten aus dem «Swico Legal Circle» setzen sich aktuell mit dem Data Act auseinander, um die offenen Fragen zum Data Act zu beantworten. Das Merkblatt zum Data Act wird sobald verfügbar unseren Mitgliedern zur Verfügung gestellt.