Data Act - Glossar

Nach Art 2 Nr. 14 Data Act ist Datenempfänger eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschließlich eines Dritten, dem der Dateninhaber auf Verlangen des Nutzers oder im Einklang mit einer rechtlichen Verpflichtung aus anderem Unionsrecht oder aus nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, Daten bereitstellt.

Datenempfänger ist demnach derjenige, der nicht Nutzer des vernetzten Produkts oder verbundenen Dienstes ist, dem aber im beruflichen Kontext vom Dateninhaber Daten bereitstellt werden z.B. auf Verlangen des Nutzers oder kraft rechtlicher Pflicht. Ein Beispiel hierfür ist ein Versicherer, der Fahr-/Nutzungsdaten vom Dateninhaber zur Tarifierung eines Telematik-Tarifs erhält.

Datenextraktionsentgelte nach Art. 2 Nr. 25 sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.

Demnach ist ein Datenextraktionsentgelt die Vergütung für die Übertragung der Daten des Kunden an einen anderen Anbieter oder die eigene Infrastruktur.

Der Dateninhaber ist nach Art. 2 Nr. 13 Data Act eine natürliche oder juristische Person, die nach dieser Verordnung, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.

Dateninhaber ist demnach derjenige, der die bei Nutzung eines verbundenen Dienst abgerufenen bzw. generierten Daten sammelt und darüber verfügt oder nutzt. Dateninhaber kann also der Hersteller, der Anbieter, der Kunde oder ein Dritter mit eigener Berechtigung zur Datennutzung sein. Kein Dateninhaber ist der Auftragsverarbeiter nach der Datenschutzgrundverordnung.

Ein Datenverarbeitungsdienst ist nach Art. 2 Nr. 8 Data Act eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.

Ein Datenverarbeitungsdienst ermöglicht es Kunden, Rechenkapazitäten, Speicherplatz oder Softwareanwendungen flexibel und bedarfsgerecht zu nutzen. Darunter fallen in der Regel alle Cloud-Services, insbesondere bekannte Modelle wie IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) und SaaS (Software-as-a-Service), aber auch neue Entwicklungen wie „Storage-as-a-Service“ und „Database-as-a-Service“ (vgl. Erwägungsgrund (81) Data Act).

Nach Art. 2 Nr. 10 Data Act ist ein Datenvermittlungsdienst ein Datenvermittlungsdienst im Sinne von Artikel 2 Nummer 11 der Verordnung (EU) 2022/868 (Data-Governance-Akt).

Demnach ist ein Datenvermittlungsdienst ein Dienst, mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen, und die zumindest folgendes nicht umfassen:

• Dienste, in deren Rahmen Daten von Dateninhabern eingeholt und aggregiert, angereichert oder umgewandelt werden, um deren Wert erheblich zu steigern, und Lizenzen für die Nutzung der resultierenden Daten an die Datennutzer vergeben werden, ohne eine Geschäftsbeziehung zwischen Dateninhabern und Datennutzern herzustellen;

• Dienste, deren Schwerpunkt auf der Vermittlung urheberrechtlich geschützter Inhalte liegt;

• Dienste, die ausschließlich von einem Dateninhaber genutzt werden, um die Verwendung von im Besitz dieses Dateninhabers befindlichen Daten zu ermöglichen, oder die von mehreren juristischen Personen in einer geschlossenen Gruppe, einschließlich Lieferanten- oder Kundenbeziehungen oder vertraglich festgelegter Kooperationen, genutzt werden, insbesondere wenn deren Hauptziel darin besteht, Funktionen von Gegenständen und Geräten im Zusammenhang mit dem Internet der Dinge sicherzustellen; oder

• Datenvermittlungsdienste, die von öffentlichen Stellen ohne die Absicht der Herstellung von Geschäftsbeziehungen angeboten werden.

Ein Datenvermittlungsdienst ist damit ein Dienst, der gezielt den Austausch und Handel von Daten zwischen Dateninhabern und Datennutzern ermöglicht. Er darf dabei die Daten nicht selbst aggregieren oder wirtschaftlich verwerten, sondern stellt nur die rechtlichen und technischen Rahmenbedingungen für den Datenaustausch bereit z.B. ein Datenmarktplatz für IoT-Daten.

Digitale Vermögenswerte sind nach Art. 2 Nr. 32 Data Act Elemente in digitaler Form – einschließlich Anwendungen –, für die der Kunde ein Nutzungsrecht hat, unabhängig von der vertraglichen Beziehung mit dem Datenverarbeitungsdienst, den er wechseln möchte.

Digitale Vermögenswerte sind damit digitale Elemente wie z.B. Anwendungen, Metadaten für Konfiguration oder Zugangs- und Kontrollrechte, Darstellungen oder virtuelle Maschinen, für die der Kunde ein Nutzungsrecht hat, das auch ohne eine vertragliche Beziehung mit dem Anbieter besteht.

Exportierbare Daten sind nach Art. 2 Nr. 38 Data Act für die Zwecke von den Artikeln 23 bis 31 und Artikel 35 die Eingabe- und Ausgabedaten einschließlich Metadaten, die unmittelbar oder mittelbar durch die Nutzung des Datenverarbeitungsdienstes durch den Kunden oder gemeinsam generiert werden, mit Ausnahme der Vermögenswerte oder Daten eines Anbieters von Datenverarbeitungsdiensten oder Dritter, die durch Rechte des geistigen Eigentums geschützt sind oder ein Geschäftsgeheimnis darstellen.

Exportierbare Daten sind damit alle Daten und Zusammenhänge zwischen den Daten, die durch die Nutzung eines Datenverarbeitungsdiensts generiert werden. Beispiele hierfür sind Anwendungsdaten, Logdaten, Analysedaten, Nutzungsdaten oder spezielle Konfigurationsdaten, sowie die Zusammenhänge zwischen den Daten wie Zeitzusammenhänge oder bestimmte Verknüpfungen. Ausgenommen sind Geschäftsgeheimnisse oder durch z.B. Urheberrechte, Markenrechte oder Patentrechte geschützte Daten.

Die Funktionsäquivalenz ist nach Art. 2 Nr. 27 Data Act die Wiederherstellung – auf der Grundlage der exportierbaren Daten und digitalen Vermögenswerte des Kunden – eines Mindestmaßes an Funktionalität in der Umgebung eines neuen Datenverarbeitungsdienstes der gleichen Dienstart nach dem Wechsel, wenn der übernehmende Datenverarbeitungsdienst als Reaktion auf dieselbe Eingabe für gemeinsame Funktionen, die dem Kunden im Rahmen des Vertrags bereitgestellt werden, ein materiell vergleichbares Ergebnis erbringt.

Um Funktionsäquivalenz zu erreichen, stellt der neue gleichartige Dienst die gemeinsamen nicht-proprietären Funktionen beim Wechsel so bereit, dass mit den übertragenen Kundendaten die gleiche Eingabe zu im Wesentlichen gleichen Ergebnissen führt. Der ursprüngliche Anbieter muss sein Produkt nicht im Zielsystem reproduzieren, sondern schuldet nur eine angemessene Ermöglichung (z.B. durch Informationen, Dokumentation, technische Unterstützung).

Eine gleiche Dienstart meint nach Art. 2 Nr. 9 Data Act eine Reihe von Datenverarbeitungsdiensten, die dasselbe Hauptziel haben und dasselbe Dienstmodell für die Datenverarbeitung sowie dieselben Hauptfunktionen aufweisen.

Mithin betrifft die gleiche Dienstart Datenverarbeitungsdienste, die von verschiedenen Anbietern bereitgestellt werden, sich aber in den Hauptfunktionen, Ziel und Dienstmodell gleichen. Beispiele hierfür sind zwei Cloud-Speicherdienste zur Ablage und Verwaltung von Datenobjekten oder zwei Datenbankdienste zur Bereitstellung und Verwaltung relationaler Datenbanken.

Eine harmonisierte Norm ist nach Art. 2 Nr. 43 Data Act eine harmonisierte Norm im Sinne des Artikels 2 Nummer 1 Buchstabe c der Verordnung (EU) Nr. 1025/2012.

Demnach ist eine harmonisierte Norm eine europäische Norm, die auf der Grundlage eines Auftrags der Kommission zur Durchführung von Harmonisierungsrechtsvorschriften der Union angenommen wurde.

Im Zusammenhang mit dem Data Act also eine offizielle europäische Norm, die die Rechte und Pflichten aus dem Data Act konkretisiert. Derzeit wurde noch keine harmonisierte Norm im Zusammenhang mit dem Data Act erlassen.

IKT-Infrastruktur in eigenen Räumlichkeiten ist nach Art. 2 Nr. 33 Data Act die IKT-Infrastruktur und Rechenressourcen, die im Eigentum des Kunden stehen oder vom Kunden gemietet oder geleast werden und die sich im Rechenzentrum des Kunden befinden und von ihm oder einem Dritten betrieben wird bzw. werden.

IKT steht für „Informations- und Kommunikationstechnologien“ und umfasst alle technischen Systeme, die zur Verarbeitung von Daten und zur Ermöglichung von Kommunikation eingesetzt werden z.B. Rechner- und Netzwerkinfrastrukturen sowie die zugehörige Software. Erfasst werden nicht nur die eigene Infrastruktur und Rechenressourcen des Kunden, sondern auch von Drittanbietern für den Kunden betriebene Infrastrukturen.

Das Inverkehrbringen ist nach Art. 2 Nr. 22 Data Act die erstmalige Bereitstellung eines vernetzten Produkts auf dem Unionsmarkt.

Inverkehrbringen ist damit nur das erste Anbieten eines vernetzten Produkts an einen Händler oder Endnutzer in der EU für den Vertrieb oder die Verwendung unabhängig davon, ob der Akteur einen Sitz in der EU hat oder nicht. Maßgeblich ist, ob das Produkt objektiv für den EU-Markt bestimmt ist. Die Einordnung erfolgt z.B. durch Kriterien wie Versandoptionen, Sprache, Werbung und Währung. Zufallskäufe sind nicht betroffen.

Ein Kleinstunternehmen ist nach Art. 2 Nr. 26 Data Act ein Kleinstunternehmen im Sinne des Artikels 2 Absatz 3 des Anhangs der Empfehlung 2003/361/EG.

Dort wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet. Maßgeblich für die Berechnung der Mitarbeiterzahl sind Beschäftigte, die während des gesamten Berichtsjahrs einer Vollzeitbeschäftigung nachgegangen sind. Personen, die nicht das ganze Jahr gearbeitet haben oder die im Rahmen einer Teilzeitregelung tätig waren, werden nur anteilig berücksichtig. Auszubildende werden nicht berücksichtig.

Kleinstunternehmen:

·       Mitarbeiter: bis 9 und

·       Jahresumsatz: bis 2 Mio. EUR oder

·       Jahresbilanzsumme: bis 2 Mio. EUR

Ein Kleinunternehmen ist nach Art. 2 Nr. 25 Data Act ein Kleinunternehmen im Sinne des Artikels 2 Absatz 2 des Anhangs der Empfehlung 2003/361/EG.

Dort wird ein Kleinunternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt. Maßgeblich für die Berechnung der Mitarbeiterzahl sind Beschäftigte, die während des gesamten Berichtsjahrs einer Vollzeitbeschäftigung nachgegangen sind. Personen, die nicht das ganze Jahr gearbeitet haben oder die im Rahmen einer Teilzeitregelung tätig waren, werden nur anteilig berücksichtig. Auszubildende werden nicht berücksichtig.

Kleinunternehmen:

• Mitarbeiter: bis 49 und

• Jahresumsatz: bis 10 Mio. EUR oder

• Jahresbilanzsumme: bis 10 Mio. EUR

Der Kunde ist nach Art. 2 Nr. 30 Data Act eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen.

Der Kunde ist demnach ein Verbraucher oder Unternehmen, der/das den Datenverarbeitungsdienst gegen kostenpflichtig oder kostenlos vertraglich beziehet und nutzt.

Metadaten nach Art. 2 Nr. 2 Data Act sind strukturierte Beschreibungen der Inhalte oder der Nutzung von Daten, die das Auffinden eben jener Daten bzw. deren Verwendung erleichtert.

Metadaten sind damit neben dem Dateninhalt selbst zusätzliche Informationen über Daten, um sie leichter aufzufinden und gezielt zu verwenden. Beispiele hierfür sind das Aufnahmedatum und der Aufnahmeort eines Fotos, der Absender und Versand-Zeitpunkt einer E-Mail oder der Dateiname und das Änderungsdatum einer Word-Datei.

Nutzer ist nach Art. 2 Nr. 12 Data Act eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt.

Mithin ist der Nutzer der Eigentümer oder Besitzer eines vernetzten Produkts, dem bestimmte Rechte zur Nutzung übertragen wurden z.B. durch Mietvertrag oder derjenige, der verbundene Dienste für das vernetzte Produkt in Anspruch nimmt. Ausgeschlossen sind daher rein tatsächliche Nutzungen oder Gefälligkeitsverhältnisse.

Eine offene Interoperabilitätsspezifikation ist nach Art. 2 Nr. 41 Data Act eine technische Spezifikation im Bereich der Informations- und Kommunikationstechnologie, die leistungsbezogen darauf ausgerichtet sind, die Interoperabilität zwischen Datenverarbeitungsdiensten herzustellen.

Offene Interoperabilitätsspezifikationen sind demnach technische Vorgaben zur Zusammenarbeit von Datenverarbeitungsdiensten.

Derzeit wurde noch keine offene Interoperabilitätsspezifikation im Zusammenhang mit dem Data Act erlassen.

Ohne Weiteres verfügbare Daten sind nach Art. 2 Nr. 16 Data Act Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird.

Ohne Weiteres verfügbare Daten sind damit alle Produktdaten oder verbundener Dienstdaten, die faktisch bereits vorliegen und mit einfachen Mitteln abgerufen werden können, ohne dass sie erst neu erzeugt oder aufwendig und komplex verarbeitet werden müssen. Beispiele hierfür sind Minutenwerte der Herzfrequenz oder die Schrittanzahl, die durch die Nutzung einer Smart-Watch und der zugehörigen App generiert wurden und die in der App angezeigt werden und ohne Aufbereitung als CSV/JSON exportiert werden können.

Produktdaten sind nach Art. 2 Nr. 15 Data Act Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – abgerufen werden können.

Produktdaten sind damit alle Daten, die während der Nutzung eines vernetzten Produkts generiert und über eine technische Schnittstelle oder on-device abgerufen werden können. Beispiele hierfür sind die Schrittzahl oder Standortdaten einer Smart-Watch, die Waschdauer und das -programm einer smarten Waschmaschine, der Batteriestatus eines Autos oder die Temperatur- und Druckwerte einer vernetzten Produktionsmaschine.

Die Verarbeitung nach Art. 2 Nr. 7 Data Act ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Daten oder Datensätzen, wie etwa das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, der Abruf, das Abfragen, die Nutzung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Die Definition ist nahezu wortgleich mit der Definition der „Verarbeitung“ in der Datenschutz-Grundverordnung und umfasst ebenfalls alle denkbaren Vorgänge im Umgang mit Daten.

Verbundene Dienstdaten sind nach Art. 2 Nr. 16 Data Act Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden.

Verbundene Dienstdaten sind damit Daten, die bei der Nutzung eines vernetzten Produkts durch einen dazugehörigen verbundenen Dienst entstehen und digitale Abbildungen der Handlungen, Vorgänge oder Umgebungsbedingungen des Nutzers darstellen. Beispiele hierfür sind Standort- und Routendaten aus einem Navigationsdienst in einem vernetzten Auto oder Schlaf- und Aktivitätsdaten, die eine Gesundheits-App über eine Smartwatch erhebt und übermittelt.

Ein verbundener Dienst ist nach Art. 2 Nr. 6 Data Act ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.

Ein verbundener Dienst ist damit in der Regel eine Softwareanwendung, die die Funktionalität eines vernetzten Produkts erweitert oder modifiziert. Beispiele hierfür sind ein Navigationsdienst in einem vernetzten Auto oder eine Gesundheits-App einer Smartwatch.

Ein vernetztes Produkt nach Art. 2 Nr. 5 Data Act ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.

Ein vernetztes Produkt ist damit ein Gegenstand, der Daten für den Nutzer selbst (nicht für Dritte) sammelt und diese über technische Schnittstellen überträgt oder on-device zugänglich macht. Klassische Beispiele hierfür sind IoT-Geräte wie Smart-Watches oder vernetzte Autos.

Gemäß Art. 1 Nr. 34 Data Act ist ein Wechsel der Prozess, an dem ein Quellenanbieter von Datenverarbeitungsdiensten, ein Kunde eines Datenverarbeitungsdienstes und gegebenenfalls ein übernehmender Anbieter von Datenverarbeitungsdiensten beteiligt sind und bei dem der Kunde eines Datenverarbeitungsdienstes von der Nutzung eines Datenverarbeitungsdienstes zur Nutzung eines anderen Datenverarbeitungsdienstes der gleichen Dienstart oder eines anderen Dienstes, der von einem anderen Anbieter von Datenverarbeitungsdiensten angeboten wird oder der einem einer IKT-Infrastruktur in eigenen Räumlichkeiten angeboten wird, auch durch Extraktion, Umwandlung und Hochladen der Daten, wechselt.

Demnach ist der Wechsel der tatsächliche Vorgang, meist die Übertragung von Daten, der auf das Verlangen des Kunden folgt, vom ursprünglichen Anbieter eines Datenverarbeitungsdienstes zu einem anderen Anbieter oder auf die eigene IKT-Infrastruktur zu wechseln.

Wechselentgelte sind nach Art. 2 Nr. 36 Data Act andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.

Ein Wechselentgelt ist demnach die Vergütung für Leistungen im Zusammenhang mit der Ausführung und der Umsetzung des Wechsels an sich z.B. eine Gebühr für die Extraktion der Daten aus dem System und die anschließende Übertragung. Kein Wechselentgelt nach der Definition ist dabei die Vergütung für die Nutzung des Dienstes oder der Software an sich z.B. Lizenzgebühren und Nutzungsentgelte sowie Sanktionen für die frühzeitige Kündigung wie Early-Termination-Fees und Vertragsstrafen.