Unternehmen sollen von fairen Wettbewerbsbedingungen profitieren, indem Daten einfacher geteilt und genutzt werden können. Besonders relevant ist dies für Hersteller sog. «vernetzter Produkte» und Anbieter digitaler Dienstleistungen, die Daten generieren oder verarbeiten. Das klingt vielversprechend – doch für Unternehmen bedeutet eine neue Regulierung zunächst vor allem eins: Mehr Pflichten und mehr Aufwand.

1. Warum betrifft das auch Schweizer Unternehmer?

Schweizer Unternehmen dürften sich regelmässig fragen: «Gilt diese EU-Gesetzgebung auch für uns?» Die Antwort lautet: In vielen Fällen ja! Der EU Data Act betrifft nicht nur Unternehmen mit Sitz in der EU, sondern auch Schweizer Unternehmen, die einschlägige Produkte oder Dienste in der EU aktiv anbieten, über einschlägige Daten verfügen oder mit europäischen Kunden und Partnern zusammenarbeiten. Dies ist bei Schweizer Unternehmen, welche ihre Produkte und Dienstleistungen auch in der EU aktiv absetzen, regelmässig der Fall. Besonders betroffen sind Unternehmen aus Branchen wie Maschinenbau, Medizintechnik, Automobilzulieferung und Softwareentwicklung.

Für KMUs sieht der EU Data Act zudem gewisse Ausnahmen von den Pflichten vor bzw. gewährt ihnen eine Übergangsfrist von einem Jahr.

2. Die wichtigsten Begriffe kurz erklärt

Die Anwendbarkeit des EU Data Acts knüpft an gewisse spezifische Produkte oder Eigenschaften an. Damit Unternehmen die neuen Vorgaben umsetzen können, müssen sie diese zentralen Begriffe des Data Acts verstehen:

Vernetzte Produkte

Geräte, die über ihre Nutzung, Leistung oder Umgebung Daten erzeugen bzw. sammeln und diese Daten übermitteln können (z.B. IoT-Geräte, Industriemaschinen, Smart-Home-Geräte, Smartphones, Fahrzeuge);

Verbundene Dienste

Digitale Services, die mit vernetzten Produkten verbunden sind und mit diesen Daten austauschen bzw. selbst Daten generieren (z.B. Software für Maschinendaten, Apps zu Smart-Home-Geräten);

Dateninhaber

Unternehmen/Personen, die über Daten verfügen, welche durch vernetzte Produkte (sog. Produktdaten) oder verbundene Dienste (sog. Verbundene Dienstdaten) generiert werden;

Dienstleistungen zur Datenverarbeitung

Anbieter von Cloud-, Edge- oder anderen Datenverarbeitungsdiensten.

3. Die zentralen Pflichten für Unternehmen

Der EU Data Act bringt eine Reihe neuer Verpflichtungen mit sich. Dazu gehören insbesondere:

Datenzugang für Nutzer und Datenweitergabe an Dritte

Daten aus vernetzten Produkten und verbundenen Diensten müssen dem Nutzer zugänglich gemacht werden. In bestimmten Fällen müssen Unternehmen auf Anfrage die von vernetzten Produkten und verbundenen Diensten generierten Produktdaten mit Wettbewerbern oder öffentlichen Stellen teilen.

Transparenzpflicht

Dateninhaber müssen Nutzer darüber informieren, welche Daten ihr Produkt generiert bzw. übermittelt und welche Daten das Unternehmen für welche Zwecke nutzt. Weiter sind Nutzer darüber zu informieren, auf welchem Weg sie auf die generierten Daten Zugang erhalten.

Datenlizenzierungspflicht

Möchten Dateninhaber die von vernetzten Produkten oder verbundenen Diensten generierten Daten für eigene Zwecke nutzen (z.B. Produktentwicklung, -verbesserung), müssen sie mit dem Nutzer eine entsprechende Lizenzvereinbarung abschliessen. Dies erfolgt bspw. in produktspezifischen AGB.

Regulierungen für Cloud-Dienste

Anbieter von Cloud- und Edge-Computing Diensten müssen sicherstellen, dass Kunden ihre Daten einfach zu anderen Anbietern migrieren können.

4. Fünf konkrete Schritte für Schweizer Unternehmen

Wie können sich Schweizer Unternehmen, die in den Geltungsbereich des EU Data Acts fallen auf die neuen Vorgaben vorbereiten? Wir empfehlen aus unserer Beratungserfahrung in diesem Bereich folgendes Vorgehen:

Schritt 1: Leistungsangebot, Datenströme und Geschäftsgeheimnisse analysieren

Schweizer Unternehmen sollten identifizieren, ob ihr Leistungsangebot «vernetzte Produkte», «verbundene Dienste» oder «Dienstleistungen zur Datenverarbeitung» beinhaltet und damit unter den EU Data Act fällt. Ermitteln Sie, ob und welche Daten diese Produkte oder Dienste generieren und ob Ihr Unternehmen diese Daten für eigene Zwecke nutzen möchte. Ist Ihr Unternehmen Inhaberin solcher Daten, welche aus unternehmensfremder Quelle stammen? Sind personenbezogene Daten enthalten, welche den Bestimmungen der DSGVO unterliegen? Prüfen Sie zudem, ob die fraglichen Daten Geschäftsgeheimnisse beinhalten (z.B. IP, Source-Codes); diese gelten auch unter dem EU Data Act als schützenswert und müssen – wenn überhaupt – nur eingeschränkt herausgegeben werden. 

Schritt 2: Datenzugänglichkeit gewährleisten, Geschäftsgeheimnisse schützen

Es bestehen zwei Wege, der Pflicht, generierte Daten dem Nutzer zugänglich zu machen, nachzukommen: Grundsätzlich sollen Geräte und Softwares so konzipiert werden, dass der Nutzer auf die durch seine Nutzung generierten Daten selbständig zugreifen kann («Access by Design»). Ist dies technisch nicht oder nur schwer machbar, muss das Unternehmen die Daten dem Nutzer jeweils auf Anfrage dem Nutzer zur Verfügung stellen. Letzteres gilt ohnehin für diejenigen Fälle, in welchen Daten an Dritte oder an Behörden herausgegeben werden müssen. Überdies bietet die zweite Variante die Möglichkeit, Geschäftsgeheimnisse von den Daten zu separieren, entsprechende Schutzmassnahmen zu treffen oder gar die Herausgabe vollständig zu verweigern.

Schritt 3: Technische Anpassungen vornehmen

Der EU Data Act verlangt einen Datenverkehr in einem verkehrsüblichen, maschinenlesbaren Datenformat. Um dies zu gewährleisten, sind allfällige technische Anpassungen notwendig. Gleiches gilt, um dem Nutzer zu ermöglichen, auf die generierten Daten direkt ab Gerät bzw. Software selbständig zugreifen zu können.

Schritt 4: Rechtliches Framework anpassen

Ein wesentlicher Teil der EU Data Act Compliance kann mittels Anpassungen am Vertragswerk (insbesondere der AGB) erreicht werden. Dies betrifft einerseits umfassende Informationspflichten gegenüber dem Nutzer. Andererseits sind Unternehmen neu verpflichtet, mit den Nutzern Daten-Lizenzierungsverträge abzuschliessen, sofern sie generierte Daten für eigene Zwecke nutzen möchten – auch dies lässt sich in den AGB oder vergleichbaren Vertragsdokumenten abdecken. Hinsichtlich Kompatibilität im Zusammenhang mit Datenverarbeitungsdienstleistungen verlangt der EU Data Act überdies faire Vertragsbedingungen, sodass ein einfacher Wechsel zwischen Anbietern gewährleistet ist.

Schritt 5: Rechtliche Beratung einholen

Der EU Data Act bietet einige Stolpersteine und weist in den Finessen eine nicht zu unterschätzende Komplexität auf. Zudem besteht in vielen Punkten Konkretisierungsbedarf, weshalb die weiteren Entwicklungen zu beobachten sind. Unternehmen sollten sich daher rechtzeitig juristischen Rat einholen. Dies hilft, spätere Risiken und kostspielige Anpassungen zu vermeiden. 

5. Chancen für Unternehmen – von der Pflicht zur Möglichkeit

Auch wenn der EU Data Act zunächst wie eine reine regulatorische Hürde wirkt, eröffnet er Unternehmen neue Chancen. Der Hauptzweck der Verordnung ist eine verbesserte Datennutzung. Insbesondere soll für neue Geschäftsmodelle, Start-Ups und KMU der Mangel an Daten behoben werden, über die bis jetzt in der Regel immer ausschliesslich die Hersteller von Geräten oder Applikationen verfügten. Unternehmen werden nämlich nicht nur in die Pflicht genommen, sondern erhalten – auf Anfrage des Nutzers – Zugang zu industriellen Daten. Überdies beabsichtigt der EU Data Act, eine vereinfachte Datenmigration zwischen Cloudplattformen zu ermöglichen. Unternehmen wird dadurch der Onboarding- und Migrationsprozess bei Neukunden erleichtert.

6. Noch viele offene Fragen – was kommt als Nächstes?

Viele Details des EU Data Acts müssen noch durch die Praxis geklärt werden. Insbesondere wird sich zeigen, wie die Datenweitergabe genau erfolgen muss und welche technischen Lösungen sich etablieren. Schweizer Unternehmen sollten die Entwicklungen aufmerksam verfolgen und flexibel auf neue Anforderungen reagieren.

Wer jetzt handelt, kann nicht nur Risiken minimieren, sondern auch neue Geschäftschancen nutzen. Daten sind eine wertvolle Ressource – und mit der richtigen Strategie können Schweizer Unternehmen langfristig profitieren.