Data Act: Teil 7 – Was sind eigentlich „ohne Weiteres verfügbare Daten“?

Die Datenverordnung („DVO“) verpflichtet in Art. 4 und Art. 5 Dateninhaber, unter bestimmten Voraussetzungen Daten an Nutzer oder – auf Verlangen des Nutzers – an Dritte herauszugeben. Diese Datenzugangsrechte des Nutzers gelten jedoch nicht für sämtliche Daten, die das jeweilige vernetzte Produkt oder der damit verbundene Dienst generiert. Stattdessen beschränken sich die Ansprüche auf die Herausgabe von „ohne Weiteres verfügbaren Daten“ (in der englischen Sprachfassung: „readily available data“).

Diese Daten sollten von Dateninhabern bereits im Vorfeld möglicherweise geltend gemachter Ansprüche herausgearbeitet werden, um die Ansprüche entsprechend der gesetzlichen Anforderungen „unverzüglich“ umsetzen zu können.

Das Gesetz definiert in Art. 2 Nr. 17 DVO ohne Weiteres verfügbare Daten als „Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird“.

Diese Definition untergliedert sich im Wesentlichen in drei Teile:

1. Es muss sich um Produktdaten oder verbundene Dienstdaten handeln.
2. Der Erhalt der Daten muss rechtmäßig sein.
3. Der Aufwand, mit dem ein Dateninhaber diese Daten rechtmäßig erhalten kann, muss verhältnismäßig sein.

Produktdaten oder verbundene Dienstdaten

Die erste Voraussetzung bemisst sich nach eigenen Definitionen aus der Datenverordnung, nämlich nach Art. 2 Nr. 15 und 16 DVO. Bei Produktdaten handelt es sich um „Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – gegebenenfalls einschließlich des Herstellers – abgerufen werden können“.

Produktdaten beziehen sich daher immer auf „vernetzte Produkte“.

Bei „verbundenen Dienstdaten“ wiederum handelt es sich um „Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen im Zusammenhang mit dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden“.

Nach Erwägungsgrund 15 DVO umfassen beide diese Kategorien absichtlich aufgezeichnete oder solche Daten, die indirekt durch Nutzerhandlungen generiert werden, wie z. B. Daten über die Umgebung oder Interaktionen des vernetzten Produkts. Hierunter sollen Informationen fallen, die von Sensoren des (in der Regel IoT-)Geräts (bzw. „Produkts“ in der Terminologie des Gesetzes) automatisch generiert wurden und Daten, die z.B. den Hardwarestatus und Funktionsstörungen über eingebettete Anwendungen umfassen. Beispiele sind Daten über die Temperatur, Geschwindigkeit oder den Flüssigkeitsstand.

Demgegenüber fallen Informationen, die erst aus Daten abgeleitet werden und das Ergebnis zusätzlicher Investitionen in die Zuweisung von Werten oder Erkenntnissen aus den Daten sind, nicht unter die Termini „Produktdaten“ oder „verbundene Dienstdaten“. Ebenfalls sollen in bestimmtem Umfang Inhalte wie Texte oder Audioinhalte nicht unter Produktdaten fallen (s. ErwGr 16).

Rechtmäßigkeit des Erhalts

Als ohne Weiteres verfügbare Daten gelten nur solche Daten, auf die der Dateninhaber in rechtmäßiger Weise zugreifen kann.

Der Dateninhaber wird nicht durch das Gesetz beispielsweise in einen Vertragsbruch gezwungen. Für Dateninhaber bieten sich dadurch möglicherweise durchaus Gestaltungsspielräume. Wenn Dateninhaber auf bestimmte Daten faktisch zugreifen können, diese aber nicht unbedingt benötigen und künftige Ansprüche nach der Datenverordnung vermeiden möchten, wäre es eine Möglichkeit, den Datenzugriff vertraglich bereits auszuschließen.

Aber auch bei Verboten aus anderen Gesetzen als der Datenverordnung mag man unter bestimmten Umständen die Eigenschaft als ohne Weiteres verfügbares Datum verneinen. Dies gilt jedenfalls bei dem sehr praktischen Anwendungsbeispiel einer Überschneidung mit der Datenschutz-Grundverordnung. Sofern im Datensatz personenbezogene Daten enthalten sind, gilt nach Art. 4 Abs. 12 und Art. 5 Abs. 7 DVO bereits ausdrücklich, dass die personenbezogenen Daten nur bei Vorliegen der Voraussetzungen des Art. 6 Abs. 1 (und ggf. des Art. 9 Abs. 1) DSGVO herausgegeben werden dürfen. Dies bedeutet nicht nur im Umkehrschluss, dass die Herausgabepflichten nach Art. 4 und Art. 5 DVO nicht als eine gesetzliche Pflicht im Sinne des Art. 6 Abs.1 lit. c DSGVO zu verstehen sind. Sofern für den Zugriff des Dateninhabers kein Erlaubnistatbestand aus dem Katalog des Art. 6 Abs. 1 DSGVO einschlägig ist, wäre wohl auch bereits tatbestandlich das Vorliegen eines ohne Weiteres verfügbaren Datums zu verneinen.

Nicht durch den Wortlaut des Gesetzes gelöst ist die Frage des korrekten normenhierarchischen Ansatzes für die Beurteilung der Rechtmäßigkeit des Erhalts der Daten. Insbesondere wäre es denkbar, dass mitgliedstaatliches Recht den Erhalt der Daten beschneidet. Nach hier vertretener Auffassung würde es jedoch zu weit führen, nationalen Vorschriften insoweit Vorrang einzuräumen. Andernfalls könnte der einzelne Mitgliedstaat den Anwendungsbereich einer vollharmonisierenden Verordnung zu weit ausdefinieren. Relevant sind insoweit Verbote aus mindestens gleicher Rangordnung, also insbesondere solche des europäischen Sekundärrechts.

Verhältnismäßigkeit des Aufwands

Das im Einzelfall sicherlich interpretationsbedürftigste Tatbestandsmerkmal der ohne Weiteres verfügbaren Daten betrifft die Möglichkeit des Erhalts der Daten für den Dateninhaber „ohne unverhältnismäßigen Aufwand“.

Die deutsche Sprachfassung der Datenverordnung schreibt dabei recht missverständlich, es werde „über eine einfache Bearbeitung hinausgegangen“. Es ist bereits unklar, worauf sich dieses Satzende bezieht. Mehr Erkenntnis liefern insoweit andere Sprachversionen: „without disproportionate effort going beyond a simple operation“, “sans effort disproportionné allant au-delà d'une simple opération”, „sin un esfuerzo desproporcionado que vaya más allá de una operación simple“.

Es handelt sich also nicht etwa um eine weitere Tatbestandsvoraussetzung für ohne Weiteres verfügbare Daten, sondern um eine (sprachlich verunglückte) Konkretisierung der Verhältnismäßigkeit, nämlich sinngemäß: Aufwand, der nicht lediglich in einem einfachen Arbeitsschritt besteht.

Was diese Anforderung im Einzelfall bedeutet, ist freilich nicht vollständig rechtssicher zu konturieren. Einige Anhaltspunkte lassen sich dennoch entnehmen:

• Daten, über welche der Dateninhaber bereits die Kontrolle hat und auf sie z.B. in eigenen Datenbanken zugreifen kann, werden im Regelfall als ohne Weiteres verfügbar anzusehen sein.
• Umgekehrt sind alle Daten, die vom Dateninhaber erst generiert werden müssen, nicht von den Ansprüchen erfasst. Der Dateninhaber muss vernetzte Produkte und verbundene Dienste nicht so verändern, dass neue Daten überhaupt entstehen. Entsprechend kann der Dateninhaber durchaus durch eigene Designvorstellungen den späteren Umfang möglicher Ansprüche nach der Datenverordnung beeinflussen.
• Wenn auf Daten beispielsweise nur direkt an einem Gerät selbst und nicht remote zugegriffen werden kann und ein solcher Zugriff am Gerät selbst in der Praxis kaum möglich ist (z.B. weil die Geräte nicht beim Dateninhaber, sondern bei einem Kunden des Dateninhabers belegen sind), wären die Daten in der Regel nicht ohne Weiteres verfügbar.

Die einzelnen Aspekte der Verhältnismäßigkeit (und damit letztlich einer Abwägung) sind dabei umfassend zu würdigen. Dies bedeutet, dass nicht nur rechtliche, sondern auch technische und wirtschaftliche Faktoren zu berücksichtigen sind.

Konsequenzen der Einordnung

Soweit Dateninhaber zu dem Schluss kommen, dass sie auf Produktdaten und/oder verbundene Dienstdaten rechtmäßig und mit angemessenem Aufwand zugreifen können, sollten sie diese Daten als solche „clustern“ und in einer internen Policy folgenden Besonderheiten zuordnen:

• Grundsätzlich sind diese Daten auf Betreiben des Nutzers an diesen oder an Dritte herauszugeben.
• Sofern die Daten Personenbezüge enthalten (was schon aus datenschutzrechtlichen Gründen nicht erst im Fall eines gestellten Anspruchs, sondern bereits vorab z.B. im Rahmen des Verarbeitungsverzeichnisses nach Art. 30 DSGVO herauszuarbeiten ist), dürfen diese nicht ohne Vorliegen einer Rechtsgrundlage aus dem Katalog des Art. 6 Abs. 1 DSGVO herausgegeben werden (s.o., Art. 4 Abs. 12 und Art. 5 Abs. 7 DVO). Sofern für den Datenzugriff durch den Dateninhaber keine datenschutzrechtliche Rechtfertigung greift, handelt es sich zudem tatbestandlich bereits nicht um ein ohne Weiteres verfügbares Datum.
• Eigene Nutzungen anonymer Daten sind auf die Inhalte des Vertrags mit dem Nutzer beschränkt (Art. 4 Abs. 13 DVO).
• Anonyme Daten dürfen an Dritte nur auf Basis eines Vertrags mit dem Nutzer bereitgestellt werden (Art. 4 Abs. 14 DVO).