Verbundene Produkte: Definition und rechtliche Bedeutung (AI Act / Data Act)
„Verbundene Produkte" nach Art. 2 Nr. 12 EU Data Act (Verordnung (EU) 2023/2854) sind Produkte, die Daten erfassen, erzeugen oder übertragen und mit einem elektronischen Kommunikationsnetz, einem aktiven Interface oder einem Computerprogramm verbunden sind. Beispiele: Smartphones, Wearables, Smart-Home-Geräte (Thermostate, Lampen, Überwachungskameras), vernetzte Fahrzeuge, Industrie-4.0-Maschinen, Smart-Meter, Connected Health-Devices. Bedeutung: für verbundene Produkte gelten die Datenzugangs-Pflichten des Data Act — Datennutzer haben Recht auf Zugang zu den durch das Produkt erzeugten Daten (Art. 4) und Weitergabe an Dritte (Art. 5); Dateninhaber müssen FRAND-Weitergabe an konkurrenzielle Unternehmen ermöglichen (Art. 9–11). Überlagert: DSGVO, AI Act (KI in verbundenen Produkten kann hochriskant sein), GPSR, branchenspezifische Regelungen (Telekommunikation, Energie). Der Data Act bricht Hersteller-Datenmonopole und öffnet Sekundärmärkte.
Steve Baka
Definition (Art. 2 Nr. 12 Data Act)
Art. 2 Nr. 12 Data Act definiert „verbundenes Produkt" als ein Produkt, das (1) Daten erfasst, erzeugt oder übertragen kann und (2) mit einem elektronischen Kommunikationsnetz, einem aktiven Interface (z. B. Touchscreen) oder einem Computerprogramm verbunden ist. Wesentliche Merkmale: (a) Datenerzeugung/-erfassung — das Produkt erzeugt Daten bei der Nutzung (z. B. Sensor-Daten, Nutzungsdaten, Status-Daten); (b) Konnektivität — das Produkt ist vernetzt (Internet, Bluetooth, NFC) oder hat ein digitales Interface. Ausgenommen: Produkte, deren primäre Funktion Datenerhebung/Übertragung ist (z. B. Webcams, Sensoren ohne weitere Funktion), AI-Systeme-Training, Software ohne physische Komponente (Ausnahme durch Art. 2 Abs. 2). Beispiele: Smartphones, Wearables, Smart-Home-Geräte, vernetzte Fahrzeuge, Industrie-4.0-Maschinen, Smart-Meter, Connected Health-Devices.
Datenzugangs-Pflichten (Art. 4–5 Data Act)
Für verbundene Produkte gelten die Datenzugangs-Pflichten des Data Act: (1) Zugangspflicht — Anbieter/Halter müssen dem Datennutzer Zugang zu den durch das Produkt erzeugten Daten geben, standardmäßig, in Echtzeit soweit technisch möglich, kostenlos (Art. 4). (2) Weitergabepflicht — Datennutzer können die Daten an Dritte weitergeben (Art. 5): unabhängige Dienstleister (freie Werkstatt, alternative Smart-Home-Plattform), Konkurrenten des Herstellers (kompatibles Zubehör). Ausnahmen: Trade Secrets (vertrauliche Behandlung auf Verlangen), öffentliche Sicherheit, unverhältnismäßiger Aufwand, DSGVO (personenbezogene Daten). Die Pflichten gelten ab dem 12. September 2025 (Anwendbarkeit Data Act). Aufsichtlich: nationale Datenzugangsbehörden (DE: BMWK-zugeordnet). Die Pflichten brechen Hersteller-Datenmonopole und öffnen Sekundärmärkte.
Schnittstellen: DSGVO, AI Act, GPSR
Überlagert: (1) DSGVO — Daten verbundener Produkte sind oft personenbezogen (Nutzungsverhalten, Anwesenheit, Gesundheitsdaten); Rechtsgrundlage, Einwilligung, DSFA bei hochriskanter Verarbeitung. (2) AI Act — KI in verbundenen Produkten kann hochriskant sein: als Sicherheitskomponente regulierter Produkte (Anhang I), als biometrische KI (Anhang III Nr. 1), in kritischer Infrastruktur (Nr. 2). Smart-Home-Überwachungs-KI, Connected-Vehicle-Autonomie, Wearable-Medizinprodukt-KI sind Beispiele. (3) GPSR (Verordnung (EU) 2023/988) — allgemeine Produktsicherheit, für verbundene Produkte relevant. (4) Branchenspezifische Regelungen — Telekommunikationsrecht (TKG), Energiewirtschaftsrecht (EnWG), NIS2 (kritische Infrastruktur). (5) Cyber Resilience Act — Sicherheit von Produkten mit digitalen Elementen (verbundene Produkte sind Produkte mit digitalen Elementen). Eine konsolidierte Compliance kombiniert Data Act, DSGVO, AI Act, GPSR, CRA, branchenspezifisches Recht.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act.
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung und GPAI-Aufsicht.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Artikelgenaue, inoffiziell-konsolidierte Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act.
European Data Protection Board (EDPB)EDPB. EU-Datenschutzgremium mit KI-Leitlinien.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Datenschutz-Aufsichten.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesdatenschutzbeauftragter Deutschland.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde.
Häufige Fragen
Was sind verbundene Produkte nach dem Data Act?
Art. 2 Nr. 12: Produkte, die Daten erzeugen/übertragen und mit einem Netz/Interface/Computerprogramm verbunden sind. Beispiele: Smartphones, Wearables, Smart-Home, Connected Vehicles, Industrie-4.0.
Welche Pflichten gelten für verbundene Produkte?
Datenzugangs-Pflichten (Art. 4 Zugang, Art. 5 Weitergabe an Dritte). Echtzeit, kostenlos. Ab 12. Sep. 2025. Trade Secrets, DSGVO-Ausnahmen.
Welche Überlagerung gibt es?
DSGVO (personenbezogene Daten), AI Act (KI in verbundenen Produkten kann hochriskant sein — Anhang I/III), GPSR, branchenspezifisch (TKG, EnWG, NIS2), Cyber Resilience Act.
Du willst EU AI Act und Data Act praktisch umsetzen?
Ich helfe dir, aus Konzepten, Pflichten, Use-Cases und Nachweisen ein Compliance-System zu bauen, das für Menschen verständlich und für Aufsichten nachvollziehbar ist.