Worum es für Hersteller im Kern geht

Der Data Act verlangt, dass bestimmte Daten aus vernetzten Produkten für Nutzer

• standardmäßig zugänglich sind,
• einfach nutzbar sind und
• ohne zusätzliche Kosten bereitgestellt werden.

Praktisch heißt das: Daten, die durch die Nutzung eines vernetzten Produkts generiert werden, müssen für Nutzer derart zugänglich sein, dass der Nutzer sie tatsächlich weiterverwenden kann. Das ist nicht nur eine Frage des Produktdesigns.

Es geht um Geschäftsmodelle und Differenzierungsstrategien.

Was will ein Nutzer mit den Daten? Beispiele aus der Praxis sind das Ausleiten von Routen mit einem gemieteten E-Bike oder die Nutzung einer ergänzenden, konkurrierenden Software zum Produkt des Herstellers.

Wo die rechtlichen Risiken liegen

Die größte Gefahr bei der Anwendung des Gesetzes ergibt sich aus der offenen Formulierung zentraler Begriffe, wie z.B.

• „vernetzte Produkte“
• „durch Nutzung generiert“
• „abrufbar“

Aus meiner Beratungspraxis weiß ich, dass hier entscheidende Fehler passieren können.

• zu enge, für Hersteller günstige Auslegung →  Risiko von Verstößen und Bußgeldern
• zu weite Auslegung → Verlust von Wettbewerbsvorteilen und Fehlplanungen

Typische Fragen aus der Praxis:

In der Umsetzung stellen sich schnell sehr konkrete Fragen wie zum Beispiel:

👉🏻 Gehören interne Signale (z.B. aus SPS-Steuerungen) bereits zu den Produktdaten?

👉🏻 Welche Metadaten müssen unentgeltlich herausgegeben werden – und was bleibt als bezahlbarer Service?

👉🏻 Wie lassen sich Geschäftsgeheimnisse schützen, wenn Daten zugänglich sein müssen?

👉🏻 Wie weit reichen die technischen Pflichten zur sicheren Bereitstellung?

Das sind keine Detailfragen. Es sind Fragen mit unmittelbarer Auswirkung auf Marge und Geschäftsmodell.

Juristische Einordnungen

Was sind vernetzte Produkte“?

Der Data Act enthält eine eigene Definition „vernetzter Produkte“. Gemeint sind Gegenstände, die

👉🏻 im Zuge ihrer Nutzung Daten über Nutzung oder Umgebung generieren

👉🏻 so konzipiert sind, dass diese Daten abgerufen werden können

👉🏻 über Netzwerke, physische Verbindungen oder internen Zugriff zugänglich sind.

Wichtig:

Diese Definition ist nicht deckungsgleich mit den „Produkten mit digitalen Elementen“ aus dem Cyber Resilience Act. Der Unterschied ist wesentlich: Während der Data Act auf Datenzugang und Datennutzung abzielt, verfolgt der CRA das Ziel der Cybersicherheit.

In der Praxis zeigt sich Unsicherheit insbesondere bei der Frage, ob nun alle Daten, die durch die Nutzung generiert werden, abrufbar zu gestalten sind.

Juristische Einordnungen

Die Designpflicht der Hersteller

Nach Art. 3 Abs. 1 Data Act müssen vernetzte Produkte so gestaltet sein, dass Produktdaten (einschließlich relevanter Metadaten) standardmäßig einfach, sicher und unentgeltlich zugänglich sind. Das Format muss strukturiert, gängig und maschinenlesbar sein.

Was sind Produktdaten? Der Data Act definiert diese als Daten, die:

👉🏻 durch die Nutzung generiert werden und
👉🏻 vom Hersteller „abrufbar gestaltet“ wurden.

Die Krux in der Praxis: Diese Merkmale sind gesetzlich nicht abschließend geklärt. Ohne eine präzise juristische Einordnung – etwa durch Rückgriff auf Erwägungsgründe oder auf höherrangige Regelungen des europäischen Digitalrechts – riskieren Unternehmen teure Fehlplanungen. Häufig beobachte ich in der Praxis, dass Produktdesigner vorsichtshalber sämtliche anfallenden Daten abrufbar machen. Dieser Aufwand ist erheblich und vom Gesetzgeber (nach herrschender Meinung in der Fachliteratur) so nicht gewollt. Ein Beispiel hierfür sind reine Signale einer Industriesteuerung.

Abgrenzung zu kostenpflichtigen Services: Schwierigkeiten bereitet zudem die Grenze zwischen

👉🏻 Bereitstellungspflichtigen Metadaten (müssen kostenlos herausgegeben werden) und
👉🏻 Aufbereiteten Daten, die der Hersteller als kostenpflichtigen Service anbieten darf.

Ein klassisches Beispiel sind Standortdaten: Werden lediglich die Roh-Koordinaten bereitgestellt oder bereits veredelte Informationen über Schnittstellen wie Google Maps? Hier entscheidet die Architektur über Ihr Geschäftsmodell.

Hinweis: Die Frage, ob eine Industriesteuerung selbst als „vernetztes Produkt“ gilt oder lediglich als Komponente, wird in einem separaten Beitrag behandelt.

Juristische Einordnungen

Reichweite der Bereitstellungspflichten

Müssen Hersteller Daten zwingend über eine Cloud-Lösung bereitstellen? Die Antwort lautet derzeit: Nein – sofern auf sämtliche Produktdaten direkt am Produkt zugegriffen werden kann.

Allerdings gibt es eine wichtige Bedingung: Diese Daten müssen am Produkt leicht auffindbar und mit Standardmitteln sicher ausleitbar sein.

Vorsicht beim Datentransfer: Sobald ein Hersteller Produktdaten in seine eigene IT-Umgebung (z. B. eine Hersteller-Cloud) überträgt, verändert sich seine rechtliche Rolle: Er wird zum Dateninhaber. Damit treffen ihn weitreichende zusätzliche Pflichten, die ich in einem weiteren Beitrag dieser Serie detailliert behandle.

Fazit für die Geschäftsleitung

Der Data Act ist keine reine Compliance-Frage, sondern beeinflusst direkt Ihre Produktarchitektur, künftige Entwicklungskosten und Geschäftsmodelle.

👉🏻 Produkte müssen gezielt überprüft werden
👉🏻 Datenzugänge müssen bewusst gestaltet werden
👉🏻 Geschäftsmodelle gehören auf den Prüfstand

Gerne biete ich Ihnen eine kostenlose, 20-minütige Ersteinschätzung Ihrer Situation an. Lassen Sie uns kurz besprechen, welche spezifischen Pflichten für Ihr Portfolio greifen.