Der EU Data Act und die Folgen für das Design von IoT-Produkten

Die Pflicht zur Bereitstellung von Daten: Zwingt der EU Data Act Unternehmen zum Re-Design ihrer IoT-Produkte?

Für Hersteller datengenerierender, internetfähiger Produkte und damit verbundener Dienste droht Ungemach aus Brüssel. Dort verhandelt seit dem 28.03.2023 die EU-Kommission mit dem EU-Parlament und dem EU-Rat über ihren am 23.02.2022 vorgelegten Vorschlag für ein Datengesetz (nachfolgend: „Data Act (E)“).

Setzt sich die EU-Kommission mit Ihrem Vorschlag durch, werden zahlreiche Produktentwickler und -hersteller ihr Design ändern müssen. Der so genannte „Trilog“ soll bis zum Ende der schwedischen Ratspräsidentschaft am 30.06.2023 abgeschlossen sein. Je nach Interessenlage ein Tag zur Freude oder zur Sorge.

Politischer Hintergrund:

IoT-fähige Produkte und bei deren Nutzung generierte Daten sind wesentliche Bestand-teile der digitalen Wirtschaft und zentrale Ressourcen für den weltweiten ökologischen und digitalen Wandel. Mit der Zunahme solcher Produkte steigt die Marktmacht derjenigen, die die entstehenden Daten durch das Produktdesign faktisch kontrollieren. Hersteller von Maschinen bieten digitale Produktionsleitsysteme (MES) an, Hersteller von Haushaltsgeräten haben Smart-Home-Plattformen etabliert, Automobilhersteller bieten „over-the-air“ Ferndiagnosen an, die sie an ihre Partnerwerkstätten leiten, um so den Kunden eine schnelle und kostengünstige Reparatur zu ermöglichen.

Mit ihren jüngsten Gesetzgebungsinitiativen zielt die EU-Kommission darauf ab, entstehende „Datensilos“ und Abhängigkeiten der Nutzer aufzubrechen. Viel wird darüber diskutiert, das neue Wertschöpfungspotential gerecht zu verteilen. Von Datenteilungspflichten und Cloud-Portabilität ist die Rede.

Bei genauer Betrachtung zielt aber der Vorschlag der EU-Kommission nicht nur auf die Öffnung bestehender Datensilos ab. Die Entscheidung darüber, ob durch Produkte er-zeugten Daten überhaupt einer weiteren Verwendung zugeführt werden, soll unter die Kontrolle der Nutzer gestellt werden.

Der Kommissionsvorschlag:

Hierfür sieht der Kommissionsvorschlag vor, dass

• Entwickler oder Hersteller von IoT-Produkten und damit verbundener Dienste die bei deren Nutzung entstehenden Daten selbst nur auf der Grundlage eines Vertrages mit dem Nutzer verwenden dürfen und dass
• IoT-fähige Produkte künftig so zu konzipieren und herzustellen und verbundene Dienste so zu erbringen sind, dass die erzeugten Daten standardmäßig für den Nutzer einfach, sicher und direkt zugänglich sind (Produktdesignpflicht).
  Darüber hinaus sollen sie von einem Datenspeicher auf dem Gerät oder in einer Cloud an vom Nutzer benannte Dritte bereitgestellt werden können. Der Zugang könne kabelgebunden oder drahtlos über lokale Funknetze ermöglicht werden.

Dabei gilt folgendes:

• Inhalt der Bereitstellungspflicht gemäß Art. 3 Abs. 1 Data Act (E): Soweit der Nutzer nicht direkt vom Produkt aus auf die Daten zugreifen kann, stellt der Dateninhaber dem Nutzer die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten unverzüglich, kostenlos und gegebenenfalls kontinuierlich und in Echtzeit zur Verfügung. Dies geschieht auf einfaches Verlangen auf elektronischem Wege, soweit dies technisch machbar ist.
• Inhalt der Weitergabepflicht gemäß Art. 4 Abs. 1 Data Act (E): Auf Verlangen eines Nutzers […] stellt der Dateninhaber die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugten Daten einem Dritten unverzüglich, für den Nutzer kosten-los, in derselben Qualität, die dem Dateninhaber zur Verfügung steht, und gegebenen-falls kontinuierlich und in Echtzeit bereit.
• Definition von verbundenen Diensten: Ein digitaler Dienst, einschließlich Software, der so in ein Produkt integriert oder so mit ihm verbunden ist, dass das Produkt ohne ihn eine seiner Funktionen nicht ausführen könnte.

Notfall-App und Verbrauchsvergleichs-App als fiktive Beispiele:

Ein Unternehmen der Wasserversorgung integriert in seine intelligenten Messysteme Zähler eines beliebigen Herstellers. Wesentliche Funktionen der Zähler sind die Berechnung der Verbrauchsmenge durch Multiplikation der Rohdaten Durchflussgeschwindigkeit und Zeit mittels integrierter Software, sowie die Übermittlung der Verbrauchsmenge und der zur Abrechnung erforderlichen Metadaten an den Versorger. Es sei angenommen, die Rohdaten würden unmittelbar nach der Verarbeitung gelöscht. Daten über Zeiten der Nichtnutzung von Wasser (ein Nebenprodukt von Nutzeraktionen) würden nicht verarbeitet.

Nun möchte ein Start-up Unternehmen eine Notfall-App und eine Verbrauchsvergleichs-App entwickeln.

Die Notfall-App beruht auf dem Gedanken, dass Menschen, die über einen bestimmten Zeitraum in ihrer Wohnung kein Wasser nutzen, mit großer Wahrscheinlichkeit in Not sind und Hilfe benötigen. Hat die App Zugriff auf die Zeiten der Nichtnutzung, übermittelt sie nach einem bestimmten Zeitablauf einen Notruf an benannte Personen oder an eine Notrufzentrale.

In der Verbrauchsvergleichs-App können Nutzer die Anzahl und das Alter der im Haushalt lebenden Personen eingeben und anschließend ihren Verbrauch mit dem vergleichbarerer Haushalte abgleichen.

Auf Basis des Kommissionsentwurfs ergibt sich folgendes:

• Nach Erwägungsgrund 17 sind Daten i.S.d. Data Act (E) auch solche, die als „Nebenprodukt von Nutzeraktionen“ ohne jegliche Nutzeraktion erzeugt werden, z.B. während sich das Produkt im Bereitschaftszustand befindet oder ausgeschaltet ist. Damit dürfte auch die Zeit der Nichtnutzung über die Produktdesignpflicht der Bereitstellungspflicht unterliegen – unentgeltlich für den Nutzer und gegen ein angemessenes Entgelt für das Start-up Unternehmen.
• Die Verbrauchsmenge ist ein Datum, welches durch die Nutzung der in dem Zähler integrierten Software generiert wird. Da der Zähler ohne diese Software eine seiner Funktionen nicht ausführen könnte, dürfte es sich bei der Software um einen verbundenen Dienst i.S.d. Kommissionsvorschlages handeln und die Verbrauchsmenge unter die gleiche Datenbereitstellungspflicht wie die Zeit der Nichtnutzung fallen.

Entwickler und Hersteller der Zähler werden wohl das Produktdesign und das Design der Software so anpassen müssen, dass die Rohdaten und die Verbrauchsmenge dem Nutzer und einem von ihm benannten Dritten auf die genannte Art bereitgestellt werden können.

Die Stimmen des EU-Parlaments und des Rates dazu:

Das Parlament möchte die Datenbereitstellungspflicht auf solche Daten beschränken, die „readily available to the data holder“ sind. Die Produktdesignpflicht soll entsprechend reduziert werden, Erwägungsgrund 17 (s.o.) soll entfallen. Das würde in o.g. Beispiel dazu führen, dass der Zähler-Hersteller nichts unternehmen müsste. Ihm selbst sind keine Daten zugänglich.

Auch der Rat möchte Erwägungsgrund 17 streichen, nimmt „Nebenprodukte“, wie die Zeit der Nichtnutzung aber ausdrücklich in die Definition von Daten auf. Im Gegensatz zum Kommissionsvorschlag schließt der Rat sich dem Wunsch des Parlaments an, die Datenbereitstellungspflicht auf solche Daten zu beschränken, die „readily available to the data holder“ sind.

Liegt die Entscheidung vor, werden Sie hier auf dem Laufenden gehalten. Bei Fragen oder Beratungsbedarf stehe ich Ihnen gerne zur Verfügung.

Gegebenenfalls zu erstellende Verträge:

• Datennutzungsvertrag mit dem Nutzer von IoT-Produkten.
• Vertrag mit dem vom Nutzer benannten Dritten unter Beachtung der Regulatorik des Data Act.
• Vertrag zum Schutz von offenzulegenden Geschäftsgeheimnissen.