1. Worum gehts beim Data Act?

Mit dem Data Act werden Hersteller und Anbieter von vernetzten Geräten und Diensten verpflichtet, Daten, die im Rahmen der Nutzung der Produkte und Dienste erzeugt werden, Nutzern und anderen Dritten nach bestimmten Vorgaben zur Verfügung zu stellen. Das Gesetz ist bereits in Kraft getreten. Die Vorgaben sind durch betroffene Unternehmen ab dem 25. September 2025 umzusetzen.

2. Warum ist das für die Automobilundustrie so wichtig?

Der Data Act verpflichtet Automobilhersteller und Anbieter von vernetzten Diensten im Fahrzeug Umfeld, Nutzern sowie Drittunternehmen einschließlich Wettbewerbern, über spezielle Schnittstellen zur Verfügung zu stellen. Der Zugang zu den Daten ist auf Antrag des Nutzers (z. B. des Fahrzeughalters) zu gewähren und muss strengen formalen Anforderungen genügen, wie z. B. ohne unangemessene Verzögerung erfolgen, leicht verfügbar sein, in derselben Qualität, wie die Daten dem Dateninhaber (= OEM oder Fahrzeugdatendiensteanbeiter) zur Verfügung steht, einfach, sicher, kostenlos sowie in einem umfassenden, strukturierten, allgemein verwendeten und maschinenlesbaren Format und, soweit relevant und technisch möglich, kontinuierlich und in Echtzeit. Der Data Act sieht gewisse Mechanismen für den Schutz von Betriebs- und Geschäftsgeheimnissen vor, die aber durch die Industrie als vollkommen unzureichend kritisiert werden.

Das Design der erforderlichen Schnittstellen stellt Automobilhersteller und Diensteanbieter vor enorme praktische wie rechtliche Herausforderungen. Die Tatsache, dass Daten auch Wettbewerbern im Umfeld verletzter Fahrzeugdienste und After Sales zur Verfügung gestellt werden müssen, verschiebt zudem erheblich die Wertschöpfungskette und erhöht den Wettbewerbsdruck für Automobilhersteller und Dienste Anbieter erheblich.

„Der Data Act verschiebt die Wertschöpfungskette in der Industrie und erhöht weiter den kommerziellen Druck auf die Automobilhersteller.“

Besondere Schwierigkeiten liegen darin, dass die bereits mehrfach durch die EU-Kommission angekündigten Sonderregelungen für den Zugang zur Fahrzeugdiensten bislang noch nicht veröffentlicht wurden. Automobile Hersteller und Dienste Anbieter müssen somit bis September 2025 die allgemeinen Vorgaben des Data Agent so gut es geht umsetzen, wobei vielfältige Fragestellung bislang völlig ungeklärt sind. Besondere Schwierigkeiten bereitet dabei insbesondere die Berücksichtigung der Tatsache, dass vernetzte Fahrzeuge oftmals von einer Mehrzahl von Personen genutzt werden, die nach den Vorgaben des Data Act, alle für sich genommen Zugang zu entsprechenden Fahrzeugdaten einfordern könnten. Hier stellen sich besondere Herausforderungen bei der rechtskonformen Authentifizierung, entsprechender Daten berechtigter sowie dem ordnungsgemäßen Design der jeweiligen Nutzerschnittstellen.

„Das Verhältnis von Data Act und GDPR ist weitestgehend ungeklärt und wirft komplexe Fragestellungen auf. Data Act und GDPR müssen in einen vernünftigen Einklage gebracht werden, will man sich nicht zusätzlich dem Risiko von GDPR-Sanktionen aussetzen.“

Die gesetzlichen Regelungen lassen dabei zudem eine Reihe datenschutzrechtlicher Fragen, insbesondere in dem zuvor angesprochenen Multi-User Szenarien offen, z.B. in Fällen, in denen der Betreiber einer Fahrzeugflotte Nutzerdaten vom Automobilhersteller oder Dienste Anbieter anfordert, die sich gegebenenfalls auf einzelne natürliche Personen (Fahrer der Fahrzeuge der Flotte beziehen). Soweit das Gesetz vorsieht, dass der die Daten an Dritte bereitstehende Daten Inhaber eine datenschutzrechtliche Zulässigkeitsprüfung für die Übermittlung durchführen muss, ist ungeklärt, wie detailliert diese genau zu erfolgen hat.

3. Was müssen Automobilhersteller jetzt tun?

Automobilhersteller und Anbieter von Connected Services im Fahrzeug Umfeld müssen bis zum 25. September entsprechende Schnittstellen entwickeln und implementieren, um ab diesem Datum Daten Zugangsansprüche von Nutzern und Dritten (Wettbewerbern) ordnungsgemäß erfüllen zu können. Vor dem Hintergrund, dass bislang durch die EU Kommission keine weitergehenden Hilfestellungen für die Umsetzung des Data Acts speziell für die Automobilindustrie bereitgestellt wurden, stellt dies Automobilhersteller und Automotive Dienste Anbieter vor großer Herausforderungen.

4. Was passiert, wenn man das nicht oder nicht richtig macht?

Zum einen kann die unzureichende Umsetzung mit Sanktionen einschließlich Bußgeldern durch die zuständigen Behörden sanktioniert werden. Der Bußgeldrahmen ist noch durch die in den Mitgliedstaaten zuständigen Behörden festzulegen. Bußgelder im „GDPR-Style“ sind aber durchaus denkbar. Daneben besteht das Risiko von Wettbewerbern und Interessenverbänden abgemahnt zu werden.

„Das Beanstandungsrisiko bei unzureichender Umsetzung ist immens – Wettbewerber stehen bereits in den Startlöchern, um entsprechende Rechte ab September 2025 durchzusetzen!“

Neben Datenzugangs- und Unterlassungs- bzw. Beseitigungsansprüchen für nicht rechtskonforme Geschäftspraktiken sind auch Schadensersatzansprüche denkbar. Wenn diese durch eine Vielzahl Betroffener Nutzer im Wege des Kollektivrechtsschutzes geltend gemacht werden, besteht das Risiko von massenhaften Klagen, bei denen die schiere Anzahl von Anspruchstellern und Verfahren einen enormen praktischen wie rechtlichen Aufwand erzeugen kann, auch wenn am Ende im Einzelfall nur gering bemessene Schadensersatzansprüche zuerkannt werden sollten (Streuschadenrisiko).