Der Data Act (Verordnung EU 2023/2584) legt neue Regeln für den fairen Zugang zu und die Nutzung von Daten in der EU fest. Die Europäische Kommission hat eine neue FAQ zu technischen und rechtlichen Fragen im Zusammenhang mit der Umsetzung des Data Act veröffentlicht. Wir geben einen Überblick über die wichtigsten Bestimmungen und erläutern die Herausforderungen für Unternehmen.
Wechselwirkungen zwischen Data Act und DSGVO
Der Data Act verfolgt das Ziel, die Marktdynamik im Bereich des Internet of Things (IoT) zu stärken, die Datenportabilität zu erleichtern und einen besseren Datenaustausch zwischen Unternehmen (B2B) sowie zwischen Unternehmen und der öffentlichen Hand (B2G) zu ermöglichen. Sie ist als horizontale Regelung konzipiert, die sektorenübergreifend Anwendung findet.
Der Data Act ist kein Datenschutzgesetz! Er regelt den Zugang zu und die Nutzung von Daten. Die Datenschutz-Grundverordnung (DSGVO) bleibt in vollem Umfang anwendbar, soweit personenbezogene Daten betroffen sind.
Artikel 1(5) des Data Act stellt klar, dass bei einem Konflikt zwischen beiden Regelwerken die DSGVO vorrangig ist. Dies bedeutet, dass personenbezogene Daten nur im Einklang mit der DSGVO verarbeitet und weitergegeben werden dürfen.
Ein weiterer wichtiger Unterschied:
- DGVO (Artikel 20) gewährt betroffenen Personen das Recht auf Datenportabilität unter bestimmten Bedingungen (nur für personenbezogene Daten und wenn diese auf Basis einer Einwilligung oder eines Vertrags verarbeitet wurden).
- Data Act (Artikel 4, 5) erweitert dieses Recht erheblich, indem auch nicht-personenbezogene Daten einbezogen werden und keine Einschränkung der rechtlichen Grundlage besteht.
Geltungsbereich und Datenkategorien des Data Act
Der Data Act betrifft insbesondere roh- und vorverarbeitete Daten, die durch vernetzte Produkte oder zugehörige digitale Dienstleistungen generiert werden. Dabei gibt es verschiedene Arten von Daten, die in den Anwendungsbereich der Verordnung fallen:
Produktdaten sind solche, die von IoT-Geräten erzeugt werden. Beispielsweise durch Sensoren, die Informationen über Nutzung, Leistung oder die Umgebung des Produkts erfassen. Diese Daten können genutzt werden, um die Effizienz und Funktionalität von Produkten zu verbessern oder neue Geschäftsmodelle auf ihrer Basis zu entwickeln.
Dienstleistungsbezogene Daten hingegen entstehen während der Nutzung einer vernetzten Dienstleistung. Dies umfasst beispielsweise Daten, die in Apps oder cloudbasierten Plattformen generiert werden, wenn Nutzer diese Services verwenden. Diese Daten sind oft entscheidend für die Optimierung von Dienstleistungen und die Bereitstellung personalisierter Nutzererfahrungen.
Darüber hinaus gibt es Daten, die unter das Geschäftsgeheimnis fallen und somit besonderen Schutz genießen. Solche Daten haben einen hohen wirtschaftlichen Wert, da sie strategische Informationen über Unternehmen enthalten können. Der Data Act stellt sicher, dass der Schutz dieser Informationen gewährleistet bleibt. Gleichzeitig wird der Zugang zu weniger sensiblen, aber wirtschaftlich wertvollen Daten, erleichtert.
Direkter vs. indirekter Zugang
Der Data Act unterscheidet außerdem zwischen direktem und indirektem Zugang zu Daten. Die Unterscheidung ist von zentraler Bedeutung, da sie unterschiedliche technische und rechtliche Rahmenbedingungen für die Nutzung von Daten schafft.
Direkter Zugang bedeutet, dass der Nutzer unmittelbar, ohne zusätzliche Genehmigung oder Vermittlung, auf die generierten Daten zugreifen kann. Dies kann beispielsweise durch eine API oder eine Benutzeroberfläche ermöglicht werden, über die der Nutzer die Daten in Echtzeit abrufen kann. Direkter Zugang fördert die Transparenz und erleichtert die sofortige Weiterverarbeitung der Daten durch den Nutzer oder durch beauftragte Dritte.
Indirekter Zugang hingegen erfordert, dass der Nutzer einen Antrag beim Datenhalter stellt, um die Daten zu erhalten. In diesem Fall entscheidet der Datenhalter über die Bereitstellung und kann beispielsweise die Einhaltung bestimmter Schutzmaßnahmen oder Vereinbarungen zur Nutzung verlangen. Diese Form des Zugangs ist insbesondere dann relevant, wenn Geschäftsgeheimnisse geschützt werden müssen oder wenn spezifische regulatorische Anforderungen an die Datenweitergabe bestehen.
Die Wahl zwischen direktem und indirektem Zugang hat erhebliche Auswirkungen auf die wirtschaftliche Nutzbarkeit von Daten, den Schutz sensibler Informationen und die Durchsetzung von Rechten der Nutzer. Während direkter Zugang eine schnellere und flexiblere Nutzung ermöglicht, bietet indirekter Zugang mehr Kontrollmöglichkeiten für Datenhalter, um beispielsweise Sicherheits- und Datenschutzvorgaben sicherzustellen.
Interoperabilität und Cloud-Switching
Ein zentrales Ziel des Data Act ist die Vermeidung von Anbieterabhängigkeiten (Vendor Lock-in) bei Cloud-Diensten. Unternehmen sollen durch offene Schnittstellen und standardisierte Formate in die Lage versetzt werden, ihre Daten unkompliziert zwischen verschiedenen Dienstleistern zu migrieren. Dies soll gewährleisten, dass Kunden nicht dauerhaft an einen bestimmten Cloud-Anbieter gebunden sind, sondern flexibel entscheiden können, wo ihre Daten gespeichert und verarbeitet werden.
Interoperabilität bedeutet, dass Cloud-Dienste miteinander kompatibel sein müssen, um einen nahtlosen Wechsel zu ermöglichen. Anbieter sind verpflichtet, standardisierte Schnittstellen bereitzustellen, die einen sicheren und verlustfreien Datentransfer gewährleisten. Dies erleichtert Unternehmen den Wechsel zwischen verschiedenen Cloud-Plattformen und fördert den Wettbewerb auf dem Markt für Cloud-Dienstleistungen.
Darüber hinaus sieht der Data Act vor, dass Cloud-Anbieter ihre Wechselkosten bis 2027 schrittweise senken und letztlich vollständig abschaffen müssen. Dies soll verhindern, dass hohe Umstellungskosten Unternehmen daran hindern, ihren Cloud-Anbieter zu wechseln. Dadurch entsteht eine größere Flexibilität, insbesondere für KMU, die bisher aufgrund finanzieller Hürden an einen Anbieter gebunden waren.
Rechte und Pflichten der Marktakteure
Die Verordnung definiert klare Rechte für Nutzer vernetzter Produkte sowie spezifische Pflichten für Dateninhaber und Dritte. Die Nutzer haben das Recht, auf die von ihnen erzeugten Daten zuzugreifen und diese mit Dritten zu teilen. Dies ist insbesondere für alternative Wartungsdienste oder Dienstleister von Bedeutung, die unabhängig vom Hersteller des vernetzten Produkts auf die benötigten Daten zugreifen können. Ein besonderer Schutz gilt für kleine und mittlere Unternehmen (KMU). Sie werden vor unangemessen hohen Gebühren für den Datenzugriff geschützt.
Dateninhaber, also Hersteller oder Dienstleister, die die generierten Daten verwalten, müssen unter bestimmten Voraussetzungen Daten an berechtigte Nutzer und Dritte weitergeben. Sie können dafür ein angemessenes Entgelt verlangen, sofern es sich bei dem Empfänger nicht um ein KMU oder eine gemeinnützige Einrichtung handelt. Der Schutz von Geschäftsgeheimnissen bleibt jedoch gewahrt: Wenn die Herausgabe der Daten zu erheblichen wirtschaftlichen Nachteilen führen würde, können Unternehmen die Herausgabe verweigern. Diese Schutzmaßnahme ist als Trade Secrets Handbrake bekannt und dient dazu, den Innovationsschutz nicht zu gefährden.
Dritte, die Daten von Nutzern oder Datenhaltern erhalten, unterliegen strengen Auflagen. Sie dürfen die Daten ausschließlich für die mit dem Nutzer vereinbarten Zwecke verwenden. Insbesondere ist es ihnen untersagt, diese Daten zur Entwicklung eines konkurrierenden Produkts zu nutzen oder sie an große Plattformbetreiber (Gatekeeper im Sinne des Digital Markets Act) weiterzugeben. Diese Regelung soll verhindern, dass dominante Marktteilnehmer durch bevorzugten Datenzugang unfaire Wettbewerbsvorteile erlangen.
Lese-Tipp: EDSA-Stellungnahme zur Nutzung personenbezogener Daten in KI-Modellen
Durchsetzung und Sanktionen
Jeder EU-Mitgliedstaat ist verpflichtet, eine zuständige Behörde zu benennen, die die Einhaltung des Data Act überwacht. Diese Behörde hat die Aufgabe, sicherzustellen, dass Unternehmen ihre Pflichten erfüllen und Nutzern ihre gesetzlich garantierten Rechte gewährt werden. Verstöße gegen den Data Act können rechtliche Konsequenzen nach sich ziehen, wobei die Höhe der Strafen von den nationalen Vorschriften der jeweiligen Mitgliedstaaten abhängt. Die Behörden sind befugt, Sanktionen zu verhängen, die sowohl finanzielle als auch verwaltungsrechtliche Maßnahmen umfassen können.
Unternehmen müssen sicherstellen, dass ihre Datenverarbeitungssysteme den Anforderungen des Data Act entsprechen, um Strafen zu vermeiden. Dazu gehört insbesondere die Bereitstellung von Datenzugangsmöglichkeiten für berechtigte Nutzer und die Einhaltung der Vorschriften zu Interoperabilität und Datenportabilität. Eine Missachtung der Vorgaben kann dazu führen, dass Unternehmen mit empfindlichen Geldstrafen oder Einschränkungen in ihrer Geschäftstätigkeit rechnen müssen.
Um eine einheitliche Umsetzung der Vorschriften zu gewährleisten, arbeiten die nationalen Behörden eng mit der Europäischen Kommission zusammen. Diese überwacht die allgemeine Durchsetzung des Data Act auf europäischer Ebene und kann bei systematischen Verstößen Maßnahmen ergreifen. Unternehmen sollten daher ihre internen Prozesse anpassen und sicherstellen, dass sie die regulatorischen Anforderungen rechtzeitig umsetzen, um Sanktionen zu vermeiden.
Jeder Mitgliedstaat muss eine zuständige Behörde benennen, die die Einhaltung des Data Act überwacht.
Data Act und Herausforderungen für Unternehmen
Der Data Act stellt eine umfassende regulatorische Maßnahme dar, die Unternehmen vor zahlreiche neue Herausforderungen stellt. Um den neuen rechtlichen Anforderungen gerecht zu werden, müssen Unternehmen frühzeitig Maßnahmen ergreifen. Insbesondere Hersteller und Plattformbetreiber sind dazu verpflichtet, technische Schnittstellen bereitzustellen, die den direkten und indirekten Zugriff auf Daten ermöglichen. Dies kann erhebliche Investitionen in IT-Infrastrukturen und Sicherheitsmaßnahmen erforderlich machen, um die Anforderungen an Datenzugang und -weitergabe zu erfüllen, ohne dabei den Schutz von Geschäftsgeheimnissen oder die Sicherheit der Systeme zu gefährden.
Für Unternehmen, die vernetzte Produkte oder digitale Dienstleistungen anbieten, bedeutet der Data Act eine verstärkte Verpflichtung zur Bereitstellung von Daten für Nutzer sowie für Dritte, die auf Grundlage einer Nutzereinwilligung agieren. Sie müssen sicherstellen, dass Daten in einem standardisierten und interoperablen Format verfügbar gemacht werden, um den Wettbewerb zu fördern und Datenportabilität zu ermöglichen. Gleichzeitig sind sie dazu verpflichtet, angemessene Schutzmechanismen für sensible oder geschützte Daten einzuführen und deren Weitergabe nur unter klar definierten Bedingungen zu gestatten.
Besonders für KMU bietet der Data Act neue Chancen. Sie können durch erleichterten Datenzugang ihre Geschäftsmodelle erweitern und innovative datengetriebene Dienstleistungen entwickeln. Gleichzeitig müssen sie darauf achten, keine übermäßigen Kosten für die Nutzung dieser Daten aufzubringen, da der Gesetzgeber klare Regeln für faire und angemessene Vergütungen aufgestellt hat. Dies bedeutet für Datenhalter, dass sie ihre Preisstrukturen anpassen und transparente, nichtdiskriminierende Bedingungen für die Datennutzung festlegen müssen.
Auch Cloud-Anbieter stehen vor neuen Verpflichtungen. Sie müssen den Wechsel zwischen ihren Diensten erleichtern müssen. Dies schließt die Bereitstellung offener Schnittstellen und die Reduzierung von Wechselkosten bis 2027 ein. Unternehmen, die auf Cloud-Dienste angewiesen sind, können dadurch flexibler agieren und Abhängigkeiten von bestimmten Anbietern reduzieren.
Zeit läuft: Ab September ist der Data Act anwendbar
Der Data Act wird tiefgreifende Veränderungen für die europäische Datenwirtschaft mit sich bringen. Da die Verordnung ab dem 12. September 2025 vollständig anwendbar wird, bleibt eine begrenzte Vorbereitungszeit, um Prozesse und technische Lösungen entsprechend anzupassen. Frühzeitige Maßnahmen zur Implementierung der neuen Anforderungen sind daher unerlässlich, um rechtliche Risiken zu vermeiden und von den neuen Möglichkeiten der Datenwirtschaft zu profitieren.
Sie haben noch Fragen zum Data Act? Wir beraten Sie gerne! Nehmen Sie einfach Kontakt zu uns auf:
Fon: +49 (228) 926165-100
E-Mail: info@2b-advice.com
German 
English 
Italian 
French