Site Search

Menu

Dienstleistungen

Menu

Private Wealth & Entrepreneurs

Menu

Familienunternehmen & KMU Beratung

Featured

Künstliche Intelligenz

Ergebnisse laden

FAQs zur EU-Datenverordnung (EU Data Act)
Lorem ipsum
  • Blog
  • 11 minute read
  • 03/10/24
Philipp Rosenauer

Philipp Rosenauer

Partner Legal, PwC Switzerland

E-Mail

In unserem letzten Blogpost haben wir Ihnen einen Überblick über die wichtigsten Aspekte rund um die EU-Datenverordnung (EU Data Act) gegeben.

Da viele Unternehmen bereits mit ihren Implementierungsprojekten begonnen haben, hat die Europäische Kommission vor Kurzem ein FAQ-Dokument zur Datenverordnung herausgegeben. In diesem Blogpost haben wir dessen wichtigste Elemente für Sie zusammengefasst.

Meist gestellte Fragen

Gilt die Datenverordnung für Hersteller vernetzter Produkte und Anbieter von verbundenen Diensten mit Sitz ausserhalb der EU, beispielsweise in der Schweiz?

Ja. Die Datenverordnung erfordert nicht, dass der Hersteller oder der verbundene Dienstleister seinen Sitz in der EU hat. Die Datenverordnung räumt Nutzern in der EU das Recht ein, auf die Daten, die ohne Weiteres verfügbar sind und auf die sie ein Recht haben, zuzugreifen, diese zu verwenden und sie weiterzugeben. Alle vernetzten Produkte und damit verbundenen Dienste, die in der EU in Verkehr gebracht werden, müssen daher so konzipiert sein, dass dieses Recht ausgeübt werden kann.

Welche Produkte fallen in den Anwendungsbereich der Datenverordnung?

In den Anwendungsbereich der Datenverordnung fallen «vernetzte Produkte». Vernetzte Produkte sind Gegenstände, die über ihre Nutzung, Leistung oder Umgebung Daten erzeugen, abrufen oder sammeln und diese Daten über eine kabelgebundene oder kabellose Verbindung übermitteln können. Hierzu gehört auch die Ad-hoc-Kommunikation von Daten ausserhalb des Produkts (z. B. bei Wartungsarbeiten). Vernetzte Produkte finden sich in allen Bereichen von Wirtschaft und Gesellschaft. Dies umfasst intelligente Haushaltsgeräte, Unterhaltungselektronik, Industriemaschinen, medizinische Geräte, Smartphones und Fernseher.

Produkte, deren Hauptfunktion die Speicherung, Verarbeitung oder Übertragung von Daten ist (z. B. Server und Router), fallen nicht in den Anwendungsbereich der obligatorischen Datenweitergabe gemäss Kapitel II, es sei denn, sie sind Eigentum des Nutzers oder werden von ihm gemietet oder geleast.

Ein vernetztes Produkt fällt in den Anwendungsbereich der Datenverordnung, wenn es «auf dem Markt in der Union in Verkehr gebracht» wurde. Beim «Inverkehrbringen» handelt es sich um die Übertragung des Eigentums, Besitzes oder eines anderen Eigentumsrechts zwischen zwei Wirtschaftsakteuren nach der Herstellungsphase.

Welche Daten fallen in den Geltungsbereich?

Generell gilt, dass Rohdaten und vorverarbeitete Daten (einfach ausgedrückt «Rohdaten, die jedoch nutzbar sind»), die dem Dateninhaber aufgrund der technischen Konzeption des Herstellers sofort zur Verfügung stehen, einer obligatorischen Verpflichtung zur Datenweitergabe unterliegen. Hierzu gehören:

  • Produktdaten: Von einem vernetzten Produkt erhaltene, generierte oder erhobene Daten, die sich auf dessen Leistung, Verwendung oder Umgebung beziehen. Rein beschreibende Daten, die dem vernetzten Produkt beiliegen (z. B. in Benutzerhandbüchern oder auf der Verpackung), sind keine Produktdaten.
  • Verbundene Dienstdaten: Daten, die Nutzerhandlungen, -inaktivität und -vorgänge im Zusammenhang mit dem vernetzten Produkt während der Bereitstellung eines verbundenen Dienstes darstellen.
  • Ohne Weiteres verfügbare Daten: Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismässigen, über einen einfachen Vorgang hinausgehenden Aufwand erlangen kann. Die Definition von «ohne weiteres verfügbaren Daten» enthält keinen Hinweis auf den Zeitpunkt ihrer Erstellung oder Erhebung. Nur Daten, die nach dem Inkrafttreten der Datenverordnung generiert/erhoben wurden, sollten als in den Anwendungsbereich fallend betrachtet werden.
  • Grad der Anreicherung der Daten: In den Anwendungsbereich fallend: Rohdaten und vorverarbeitete Daten, im Verbund mit den einschlägigen Metadaten, um sie verständlich und nutzbar zu machen. Dazu gehören beispielsweise Daten, die von einem einzelnen Sensor oder einer verbundenen Gruppe von Sensoren erhoben wurden, um die erfassten Daten für vielfältigere Anwendungsfälle verständlich zu machen, indem eine physikalische Grösse oder Eigenschaft oder die Veränderung einer physikalischen Grösse (wie Temperatur, Druck, Durchflussmenge, Ton, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit) bestimmt wird.
  • Personenbezogene vs. nicht-personenbezogene Daten: Nutzer haben das Recht, auf alle Daten zuzugreifen, die vom vernetzten Produkt oder dem verbundenen Dienst generiert werden, unabhängig davon, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt. Da die Verarbeitung personenbezogener Daten jedoch den Bestimmungen der DSGVO unterliegt, müssen die in der Datenverordnung vorgesehenen Rechte des Nutzers im Einklang mit der DSGVO ausgeübt werden.

Was passiert, wenn ein vernetztes Produkt weiterverkauft wird («gebrauchte vernetzte Produkte»)?

Wenn es um das Recht des Nutzers auf Zugang zu Daten geht, die durch die Verwendung eines vernetzten Produkts generiert werden, unterscheidet die Datenverordnung nicht zwischen vernetzten Produkten aus erster und zweiter Hand.

Beim (Weiter-)Verkauf eines vernetzten Produkts muss der Verkäufer seiner «Transparenzpflicht» nachkommen. Dies erfordert, dass der Verkäufer dem künftigen Eigentümer die notwendigen Informationen zur Verfügung stellt, damit dieser seine neuen Datenzugangsrechte gemäss Datenverordnung ausüben kann. Der künftige Eigentümer wird darüber informiert, wer Inhaber der Daten ist, und welche Modalitäten gelten, nach denen der Nutzer auf die generierten Daten zugreifen oder sie abrufen kann.

Was sind «Nutzer»?

Ein «Nutzer» ist eine natürliche oder juristische Person, die Eigentümer eines vernetzten Produkts ist oder der vertraglich zeitlich befristete Rechte zur Nutzung dieses vernetzten Produkts übertragen wurden, oder die einen damit verbundenen Dienst erhält.

Dies setzt voraus, dass dem Nutzer ein dauerhafter Anspruch auf das verbundene Produkt zusteht (z. B. durch Eigentum oder aus einem Miet- oder Leasingvertrag). Ein solcher Nutzer hat gemäss der Datenverordnung unmittelbare Rechtsansprüche auf die vom verbundenen Produkt generierten Daten.

Gilt die Datenverordnung für Nutzer mit Sitz ausserhalb der EU?

Ein Nutzer muss in der EU ansässig sein. Ein Nutzer kann auf Grundlage der Datenverordnung Zugang zu Daten verlangen, unabhängig davon, ob die Daten innerhalb oder ausserhalb der EU gespeichert sind.

Wie können Nutzer auf ihre Daten zugreifen?

Dateninhaber müssen den Nutzern Informationen zu den Daten bereitstellen, die ihr vernetztes Produkt oder der verbundene Dienst generiert. Dies wird als «Transparenzpflicht» bezeichnet.

Im Rahmen der Transparenzpflicht müssen Dateninhaber die Nutzer darüber informieren, wie sie auf die generierten Daten zugreifen können. Daten können «direkt» oder «indirekt» bereitgestellt werden. Dabei sind verschiedene Konfigurationen möglich (beispielsweise könnte ein Teil der Daten direkt und der Rest indirekt bereitgestellt werden).

  • Direkter Zugang bedeutet, dass der Nutzer über die technischen Möglichkeiten verfügt, auf die betreffenden Daten zuzugreifen, sie zu streamen oder herunterzuladen, ohne den Dateninhaber hierzu auffordern zu müssen. Ein vernetztes Produkt verfügt beispielsweise über eine digitale Schnittstelle, bei der ein Nutzer die Kontrolle über den Zugangsmechanismus hat, die Schnittstelle und die Arbeitsabläufe steuert und über die der Nutzer Daten direkt aus dem vernetzten Produkt extrahieren kann.
  • Indirekter Zugang bedeutet, dass das vernetzte Produkt oder der verbundene Dienst so konzipiert ist, dass der Nutzer den Dateninhaber um Zugang bitten muss (d. h., es muss ein Genehmigungsprozess durchlaufen werden). Ein Beispiel wäre ein Webportal, bei dem der Nutzer eine Anfrage auf Zugang zu den Daten stellen kann.

Ein Hersteller verfügt («soweit relevant und technisch durchführbar») über einen gewissen Spielraum bei der Entscheidung, ob das Produkt für einen direkten Zugang konzipiert werden soll oder nicht. Dies liegt daran, dass nicht alle Produkte (und nicht alle Daten) so konzipiert sind, dass die Daten den Nutzern direkt zugänglich sind.

Ist ein Hersteller immer auch ein Dateninhaber?

Obwohl Hersteller in der Regel Dateninhaber sind, ist dies nicht immer der Fall. Die Datenverordnung gestattet es einem Unternehmen, die Rolle des «Dateninhabers» auszulagern. Beispielsweise kann ein Hersteller die Rolle des «Dateninhabers» für alle oder einen Teil seiner vernetzten Produkte an ein anderes Unternehmen vergeben.

Verpflichtet die Datenverordnung Hersteller vernetzter Produkte, ihre vernetzten Produkte so zu gestalten bzw. umzugestalten, dass Nutzer direkt Zugang zu den Daten haben können?

Nein. Die Datenverordnung verpflichtet Hersteller nicht dazu, in allen Situationen und für alle vernetzten Produkte direkten Zugang zu den Daten zu gewähren. Die Daten sollten für den Nutzer «direkt zugänglich» sein, «falls relevant und technisch durchführbar».

Zusammenfassung

Die EU-Datenverordnung stellt einen bedeutenden Schritt hin zu einer stärker vernetzten und datengesteuerten europäischen Wirtschaft dar. Da der September 2025 nicht mehr weit entfernt ist, sollten Sie sich folgende Fragen stellen:

  • Welche vernetzten Produkte fallen in den Geltungsbereich?
  • Welcher Umfang der relevanten Daten muss berücksichtigt werden?
  • Wie muss ich meine Verträge mit Kunden aktualisieren, um die Nutzung der Daten von vernetzten Produkten zu ermöglichen?
  • Wie kann ich die Einwilligung des Nutzers einholen und dokumentieren?
  • Wie stelle ich die Vertraulichkeit meiner Geschäftsgeheimnisse sicher?
  • Angesichts der zunehmenden Konkurrenz im Bereich der Folgemarkt-Dienste stellt sich die Frage: Wie kann ich mich strategisch positionieren, um für meine Kunden in diesem Bereich relevant zu bleiben?

Wenden Sie sich bitte an unsere Experten, um weitere Informationen oder Unterstützung zu erhalten.

Datenschutz-Dienstleistungen

Besuchen Sie unsere Service-Seite für weitere Unterstützung und Informationen

Holen Sie sich Unterstützung

Datenschutz-Blogserie

Lesen Sie hier umfassende Informationen zum FADP.

Hier mehr erfahren

Kontaktieren Sie uns

Philipp Rosenauer

Partner Legal, PwC Switzerland

+41 58 792 18 56

E-Mail

Dienstleistungen Consulting Deals Familienunternehmen und KMU Globale Märkte Legal People und Organisation Private Wealth Steuerberatung Treuhand Wirtschaftsprüfung
Branchen Detailhandel und Konsumgüter Energie Finanzdienstleistungen Gesundheitswesen Immobilien Öffentlicher Sektor Pharma- und Life-Sciences Sports Business Advisory Telekommunikation und Medien Verarbeitende Industrie
Im Fokus Künstliche Intelligenz Workforce of the Future Finance Transformation Customer Transformation Cybersecurity Data & Analytics ESG: Die Kriterien und ihre Umsetzung
Über PwC Kontakt Presse Standorte Organisation und Führung Corporate Sustainability Zweck, Werte & Verhalten Fakten und Zahlen Geschichte Alumni
Karriere Karriere Events Offene Stellen Berufserfahrene Absolventen Studierende Lernende PwC als Arbeitgeber
Research & Insights Unsere neuesten Insights PwC Insights abonnieren Preference Centre

© 2018 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.