Data Act: Teil 6 – Der Dateninhaber und der Nutzer als Zentralfiguren der Datenverordnung

Die Datenverordnung („DVO“) besteht aus verschiedenen Kapiteln, die nur teilweise sachlich miteinander zusammenhängen. Ein wichtiges Rechtssubjekt in mehreren dieser Kapitel der DVO ist der sogenannte „Dateninhaber“. Das Verständnis um die Identität des Dateninhabers ist deshalb zentral, um den personellen Anwendungsbereich wichtiger Teile der DVO zu bestimmen. Dies betrifft insbesondere die sog. „IoT-Regelungen“ in Kapitel II (und hiermit korrespondierend Kapitel III), aber auch Bestimmungen zur Herausgabe von Daten an öffentliche Stellen in Kapitel V DVO (s. hierzu umfassend Teil 5 der Osborne Clarke-Reihe zum Data Act).

Im Rahmen der Ansprüche auf Herausgabe von Daten aus vernetzten Produkten und verbundenen Diensten ist gewissermaßen der „Gegenspieler“ des Dateninhabers der „Nutzer“. Auch dessen korrekte Identifikation ist wichtig und kann im Einzelfall (und insbesondere präventiv bei der Erarbeitung von Prozessen) durchaus herausfordernd sein. Eine besondere Schwierigkeit besteht zudem, wenn Gegenstand von Herausgabeverlangen auch personenbezogene Daten sind und diese nicht (nur) Informationen über den Nutzer, sondern (auch) über weitere betroffene Personen enthalten. Um diesen Herausforderungen gewachsen zu sein, empfiehlt es sich, für die eigenen vernetzten Produkte und verbundenen Dienste bereits frühzeitig die relevanten Personengruppen zu identifizieren.

Die Identifizierung des Dateninhabers

Das Gesetz definiert den Dateninhaber (englisch: „data holder“) in Art. 2 Nr. 13 DVO als

„eine natürliche oder juristische Person, die nach dieser Verordnung, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat“.

Diese Definition ist leider in verschiedener Hinsicht missglückt und bringt deshalb wenig Klarheit:

Grundsätzliche Logik der Definition

Recht offensichtlich enthält die Definition einen Zirkelschluss: Zusammengefasst ist Dateninhaber, wer nach der Datenverordnung (oder einem anderen Gesetz) verpflichtet ist, Daten bereitzustellen. Eine solche Verpflichtung ergibt sich insbesondere aus Art. 4 und 5 DVO. Diese Normen knüpfen auf Tatbestandsebene jedoch wiederum an den Dateninhaber an, dessen Definition ja aber gerade geprüft wird. Im Grunde sagt die Definition damit, man sei Dateninhaber, wenn man Dateninhaber ist und Daten herausgeben muss. Hiermit ist also wenig Klarheit gewonnen.

Beschränkung auf verbundene Dienste

Außerdem schließt die Definition mit einer wenig sinnvollen Beschränkung auf Daten, welche der Dateninhaber „während der Erbringung eines verbundenen Dienstes“ gewonnen hat. Der Wortlaut des Gesetzes klammert damit überraschenderweise solche Daten aus, die der Dateninhaber beim Einsatz eines vernetzten Produkts abgerufen oder generiert hat.

Nimmt man nur den Wortlaut des Gesetzes zum Maßstab, würde der Kern der „IoT-Regelungen“ aus Art. 4 und 5 DVO leerlaufen, soweit dieser ganz wesentlich die Herausgabe von „Produktdaten“ i.S.d. Art. 2 Nr. 15 durch den Dateninhaber zum Gegenstand hat. Bei diesen handelt es sich jedoch um Daten aus vernetzten Produkten. Wenn die Dateninhaberschaft jedoch ausschließlich an Daten aus verbundenen Diensten anknüpft, wären die Pflichten zur Herausgabe von Produktdaten gegenstandslos, weil sie keinen Adressaten hätten – es gäbe insoweit nie einen Dateninhaber. Hierbei kann es sich nur um einen redaktionellen Fehler des Gesetzgebers handeln, den der EuGH vermutlich im Wege einer „Korrektur“ des Gesetzes auflösen würde. Das Gesetz ist deshalb wohl so zu lesen, dass auch Produktdaten ein Unternehmen zum Dateninhaber machen können.

Interessant wäre dann gleichwohl der mögliche Anknüpfungspunkt einer Korrektur, und zwar dahingehend, auf welchen Vorgang mit Produktdaten es ankäme (also was die Entsprechung zur „Erbringung eines verbundenen Dienstes“ wäre). Sinnvollerweise wäre dies jedenfalls nicht die „Herstellung“ eines vernetzten Produkts, da dabei typischerweise (noch) keine Nutzerdaten generiert werden. Denkbar wäre es, darauf abzustellen, welche Person außer dem Nutzer und ggf. dem Datenempfänger nach Art. 5 DVO Produktdaten aus dem vernetzten Produkt kontrolliert (zu letzterem sogleich). Das Gesetz wäre dann beispielsweise wie folgt zu ergänzen/ zu lesen: „Dateninhaber [ist] eine […] Person, die nach […] Rechtsvorschriften berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat oder über die sie (im Falle von Produktdaten) die Kontrolle ausübt“.

Eine rechtssichere Identifizierung des Dateninhabers ist damit nach dem Gesetzeswortlaut in seiner gegenwärtigen Fassung allein schwerlich möglich. Dies ist ein Ärgernis für die Rechtsanwender, weil damit Unsicherheiten einhergehen. Zugleich bieten sich gewisse Verteidigungsmöglichkeiten für den Fall, dass man vermeintlichen Pflichten einer Dateninhaberschaft aus dem Weg gehen möchte.

Position der Kommission

Die Kommission betont in ihren FAQ vom 3. Februar 2025 (Version 1.2), typischerweise seien Hersteller vernetzter Produkte auch Dateninhaber. Es sei jedoch auch möglich, diese Eigenschaft über ein Outsourcing vertraglich auf einen Dritten zu verlagern.

Als entscheidend für die Frage der Dateninhaberschaft wird nicht die Frage angesehen, wer die Hard- oder Software hergestellt hat, sondern wer den Zugang zu den ohne Weiteres verfügbaren Daten kontrolliert.

Diese Klarstellung ist in Teilen durchaus hilfreich, wenngleich sie den Anwendungsbereich der Pflichten des Dateninhabers zu sehr verengt. Die Pflichten des Dateninhabers beziehen sich nämlich nicht nur auf „ohne Weiteres verfügbare Daten“, sondern auch darüber hinaus auf andere Daten (etwa in Kapitel V DVO – dort findet sich zudem noch die Rechtsfigur der „Dateninhaber, bei denen sich die Daten befinden“, in ihrer Intransparenz noch gesteigert durch die englische Sprachfassung „data holders […] which hold those data“; s. hierzu bereits umfassend Teil 5 der Osborne Clarke-Reihe zum Data Act).

Ergebnis der Anforderungen an die Dateninhaberschaft

Berücksichtigt man auch den zuletzt dargestellten Aspekt, lässt sich die Position der Kommission leicht korrigiert anwenden. Das Kernkriterium der Dateninhaberschaft ließe sich dann wie folgt fassen: Es kommt darauf an, welche natürliche oder juristische Person die Kontrolle über Daten jeder Art innehat. Dies erscheint zunächst sehr allgemein. Die notwendigen Einschränkungen des Anwendungsbereichs bestimmter Pflichten ergeben sich dann aus den jeweiligen konkreten Vorschriften (also beispielsweise durch Beschränkungen auf „Produktdaten“, „ohne Weiteres verfügbare Daten“ etc. sowie auf die Existenz eines „Nutzers“, gleichsam als Gegenpartei des Dateninhabers, ebenso etwa durch Beschränkungen bei Kleinst- und Kleinunternehmen gem. Art. 7 DVO).

Die oben erwähnte Position der Kommission, es sei möglich, die Dateninhaberschaft vertraglich „outzusourcen“, steht dem nicht entgegen. Insoweit kommt es insbesondere auch auf rechtliche Möglichkeiten und damit einen wichtigen Teilbereich der „Kontrolle“ an (die faktische Kontrolle war zwischenzeitlich Anknüpfungspunkt von Entwürfen für die DVO, dies wurde jedoch gestrichen). Eine vertragliche Gestaltung kann also die Kontrolle beeinflussen. Der rechtliche Teil der Kontrolle ist auch wichtig, um beispielsweise die Dateninhaberschaft einzelner Arbeitnehmer auszuschließen, die rein faktisch auf bestimmte Daten zugreifen können. 

Ausnahme für Auftragsverarbeiter gemäß DSGVO

Das Zusammenspiel mit der Datenschutz-Grundverordnung (DSGVO) kann die Qualifikation als „Dateninhaber“ zusätzlich beeinflussen. ErwGr 22 DVO statuiert, dass Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO nicht als Dateninhaber zu verstehen seien. In diesem Lichte erscheint auch die oben skizzierte Position der Kommission sinnvoll, dass es auf die Kontrolle des Datenzugangs ankommt und nicht nur auf die rein faktische Verfügungsmacht, die häufig beim Auftragsverarbeiter liegen wird.

Dies stellt auch sicher, dass Dateninhaber sich nicht durch eine gezielte Allokation der datenschutzrechtlichen Rollen ihrer Pflichten aus der Datenverordnung entziehen können. Der Verantwortliche kann nämlich aufgrund seiner Weisungsbefugnis auf den Auftragsverarbeiter dahingehend einwirken, dass letzterer dem Nutzer oder dem Dritten (ggf. über den Verantwortlichen und Dateninhaber) Daten herausgibt.

Die Bestimmung des Nutzers

Der Nutzer ist häufig der Anspruchsgegner des Dateninhabers. Insbesondere kann er vom Dateninhaber die Herausgabe bestimmter Daten an sich selbst (Art. 4 DVO) oder einen Dritten (Art. 5 DVO) verlangen. Ohne einen Nutzer treffen den Dateninhaber diese Pflichten nicht. Ob es überhaupt Nutzer zu einem bestimmten Produkt oder Dienst geben kann und wer Nutzer ist, erweist sich daher als sehr relevant.

Rechte an vernetzten Produkten/ Inanspruchnahme verbundener Dienste

Das Gesetz definiert den Nutzer in Art. 2 Nr. 12 DVO als

„eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt“.

Dass es dabei nicht auf den Besitz im Sinne der §§ 854 BGB ankommen kann, liegt bereits aufgrund des unionsrechtlichen Charakters der DVO auf der Hand. In anderen Sprachfassungen wird auch nicht etwa – vergleichbar dem „Besitz“ – auf die tatsächliche Sachherrschaft über das vernetzte Produkt abgestellt, sondern wohl auf das Eigentum oder eher untechnisch ein „gehören“ (engl.: „[…] that owns a connected product“; franz: „appartenir“, span.: „poseer“).

Auch durch die Erwähnung der vertraglichen Rechteübertragung und die „Inanspruchnahme“ wird deutlich, dass man Nutzer nicht durch rein faktische Inbetriebnahme oder Nutzung wird. Stattdessen muss die Person über ein „stable right“ verfügen, wie es die Kommission in ihren FAQ ausdrückt (beispielsweise als Eigentümer oder Mieter eines vernetzten Produkts; sicherlich auch als Anspruchsberechtigter an einem hiermit verbundenen Dienst). Ausgeschlossen sind damit reine Gefälligkeitsverhältnisse.

Hinsichtlich der verbundenen Dienste ist die gesetzliche Formulierung der „Inanspruchnahme“ im Gleichklang mit den „stable rights“ an den vernetzten Produkten so zu lesen, dass nicht jede Person, die den verbundenen Dienst irgendwie nutzt, zum Nutzer im Sinne der Datenverordnung wird. Üblicherweise wird dies derjenige sein, der (häufig vertraglich) zur Nutzung des Produkts berechtigt ist. Bei einem Mietwagen beispielsweise, der mit einem verbundenen Dienst verknüpft ist, wären dies nicht sämtliche Mitfahrer, welche den Dienst vielleicht faktisch auch kurzzeitig bedienen, sondern eher nur der Mieter. Bei einem intelligenten Küchengerät mit mehreren möglichen Nutzeraccounts wären nach hier vertretener Ansicht hingegen auch die übrigen Account-Inhaber (und nicht nur der Eigentümer des Küchengeräts) berechtigte Nutzer, nicht aber beispielsweise Besucher im Haushalt, die den verbundenen Dienst einmalig ausprobieren. Wird ein Kartenterminal zur Abwicklung von Kartenzahlungen dem Betreiber eines Restaurants zur Nutzung überlassen, ist er der Nutzer, nicht aber die das Terminal zu Zahlung nutzenden Restaurantgäste. Hier wird es sicherlich einige Grenzfälle geben, die erst in der Rechtsprechung geklärt werden.

Territorialer Anknüpfungspunkt

Interessanterweise kommt es für die Anwendbarkeit der hier relevanten Bestimmungen der DVO darauf an, ob der Nutzer seinen (Wohn-)sitz in der Union hat (und nicht etwa auf den Sitz des Dateninhabers oder den Ort, an dem die Daten gespeichert sind).

Art. 1 Abs. 3 b DVO drückt sich hierbei recht lakonisch und wiederum nicht ganz eindeutig aus: „Diese Verordnung gilt für […] die Nutzer der […] vernetzten Produkte oder verbundenen Dienste in der Union“. Unklar ist, ob sich die Nutzer oder die Produkte und Dienste in der Union befinden müssen. Deutlicher wird dies in anderen Sprachfassungen (im Englischen.: „users in the Union of connected products or related services“, im Französischen: „aux utilisateurs dans l'Union“, etwas ungelenk hingegen im Spanischen: „los usuarios de la Unión“). Relevant für die Eröffnung des personellen Anwendungsbereichs ist also im Sinne des Marktortprinzips der Aufenthalt des Nutzers.

Die Kommission interpretiert dies in ihren FAQ so, dass es darauf ankomme, ob der Nutzer in der Union „established“ sei. Dies ist sicherlich sinnvoll, um reine Zufallsergebnisse zu vermeiden (etwa bei Flugreisen über das Unionsgebiet). Nach hier vertretener Auffassung bedarf es hierfür nicht eines Haupt(wohn-)sitzes, wohl aber irgendeiner ständigen Niederlassung/ irgendeines ständigen Wohnsitzes.

Mehrzahl an Nutzern

Es ist denkbar, dass ein vernetztes Produkt (oder ein verbundener Dienst) über mehrere Nutzer verfügt. Dies ist zum einen „nebeneinander“ möglich, etwa bei Familienmitgliedern, die ein intelligentes Küchengerät nutzen. Eine praktische Möglichkeit, in einer solchen Konstellation die richtige Bearbeitung von Nutzeransprüchen zu gewährleisten, besteht darin, einzelne Nutzeraccounts zuzulassen.

Denkbar ist eine Mehrzahl an Nutzern auch gleichsam vertikal „in der Kette“. Die Kommission bildet hierfür das Beispiel eines Mietwagenanbieters, der ein vernetztes Fahrzeug an einen Mieter übergibt. Der Fahrzeughersteller kann bei entsprechenden Kontrollmöglichkeiten als Dateninhaber fungieren. Der Mietwagenanbieter als Eigentümer (oder Leasingnehmer) des Fahrzeugs kann Nutzer sein. Der Mieter des Wagens kann ebenfalls Nutzer sein, da ihm vertraglich ein temporäres Recht eingeräumt wurde.

Interessant in einer derartigen Konstellation dürfte es sein, zu sehen, ob eine Person gleichzeitig Dateninhaber und Nutzer sein kann (hier wäre dies beim Mietwagenanbieter denkbar, wenn sowohl der Hersteller als auch der Mietwagenanbieter Zugriff auf dieselben Daten hätte, der Mietwagenanbieter aber eben auch das Eigentum am Fahrzeug erworben hat und damit Nutzer wurde). Wir halten eine solche Doppelrolle für durchaus denkbar. Welche Rolle „durchschlägt“, bemisst sich dann nach dem jeweiligen Gegenüber, also ob der Anspruchsgegner hinsichtlich derselben Daten selbst Dateninhaber oder Nutzer ist. 

Interaktionen mit dem Datenschutzrecht

Der Nutzer ist nicht zwingend identisch mit der „betroffenen Person“ aus Art. 4 Nr. 1 DSGVO. Beispielsweise kann eine Person ein vernetztes Produkt erwerben. Dieses Produkt kann jedoch von anderen Personen (temporär) genutzt werden, etwa von Arbeitnehmern oder Familienmitgliedern. Diese werden nicht zwingend selbst zu Nutzern im Sinne der DVO. Entsprechend wichtig ist es, bei der Bearbeitung von Herausgabeansprüchen nicht nur den Nutzer als Anspruchsinhaber im Blick zu behalten, sondern auch mögliche (andere) betroffene Personen. Der Dateninhaber benötigt für die Herausgabe personenbezogener Daten betroffener Personen an eine andere Person eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. In einer solchen Konstellation kann es sinnvoll sein, Daten zu anonymisieren oder gemischte Datensätze zu trennen, um sowohl der DVO als auch der DSGVO gerecht zu werden (s. ErwGr 7 DVO).

Ergebnis

Es ist durchaus herausfordernd, die Rollen der insbesondere an den Rechten und Pflichten der „IoT-Regelungen“ teilhabenden Parteien treffsicher zu bestimmen. Erschwert wird dies durch die wenig präzisen Definitionen in der DVO selbst. Sinnvollerweise stellt man bei der Identifizierung des Dateninhabers darauf ab, wer die tatsächliche und insbesondere rechtliche Kontrolle über Daten jeder Art ausübt. Die weitere Eingrenzung des Anwendungsbereichs der jeweiligen Pflicht ergibt sich dann aus der jeweils konkreten Norm (etwa hinsichtlich bestimmter Datenkategorien).

Der „Gegenspieler“ des Dateninhabers ist der Nutzer, der über ein „stable right“ an dem vernetzten Produkt verfügen muss (etwa das Eigentum oder eine Miete/Leasing) oder berechtigterweise den verbundenen Dienst in Anspruch nimmt. Auch hier bestehen noch einige Unklarheiten, etwa welchen Grad der Berechtigung und Kontinuität die „Inanspruchnahme“ eines verbundenen Dienstes haben muss. Im Zweifel ist Unternehmen hier zu einer eher weiten Interpretation zu raten, die jedoch wiederum ihre Grenzen haben muss, soweit die Daten Personenbezug aufweisen. Der Nutzer muss zudem im Unionsgebiet „established“ sein, um den Anwendungsbereich der Datenverordnung zu eröffnen.

Unternehmen, die beispielsweise IoT-Geräte oder mit deren Funktionen verbundene Apps anbieten, sollten frühzeitig klären, ob und wenn ja für welche Daten sie Dateninhaber sind und wer Nutzer ist. Hierdurch wird gewährleistet, dass sie von den Pflichten aus der DVO nicht überrascht werden, sondern diese innerhalb der gesetzlichen Fristen („unverzüglich“) umsetzen können. Außerdem empfiehlt es sich, in derartigen Datensätzen enthaltene Personenbezüge zu identifizieren und Prozesse zum Umgang mit Datenherausgabeverlangen bereits frühzeitig aufzusetzen. Letztlich mag es ein Ergebnis der Analyse sein, dass das eigene Unternehmen „Nutzer“ ist und selbst Ansprüche auf die Herausgabe von Daten nach der DVO hat, die es für datenbasierte Geschäftsmodelle nutzen kann.