Digitale Daten sind das Rückgrat vieler Geschäftsmodelle. Doch mit der zunehmenden Verbreitung vernetzter Geräte und datengetriebener Dienste wächst auch der gesetzliche Regelungsbedarf. Der Data Act der Europäischen Union will genau hier ansetzen: Er soll einen verbindlichen Rahmen für den fairen Zugang zu und die Nutzung von Daten in der EU schaffen.
Anders als bislang sollen die gewaltigen Datenmengen, die im Umgang mit digitalen Diensten und Produkten entstehen, nicht mehr nur alleine bei den Herstellern und / oder Anbietern bleiben, sondern auch für die Nutzer, Dritte sowie öffentliche Stellen zur Verfügung stehen – sofern es sich um nicht-personenbezogene Daten handelt.
Doch was genau bedeutet das für die Anbieter solcher Dienste, welche Änderungen treffen sie im Detail? Auf diese Fragen wird im folgenden Artikel tiefergehender eingegangen.
Was ist der Data Act?
Der Data Act ist eine Verordnung der Europäischen Union, die den Zugang zu und die Nutzung von nicht-personenbezogenen Daten regeln soll. Ziel ist es, Daten als wirtschaftliche Ressource besser nutzbar zu machen und dabei faire Wettbewerbsbedingungen zu schaffen.
In Kombination mit dem bereits seit September 2023 geltenden Data Governance Act soll der Data Act dazu beitragen, einen sicheren und verlässlichen Zugang zu Daten zu ermöglichen. Beide Gesetze zielen darauf ab, den Wert von Daten gerechter zu verteilen.
Konkret bedeutet das: Vernetzte Produkte und digitale Dienste müssen künftig so gestaltet sein, dass nicht nur Hersteller, sondern auch Nutzer sowie berechtigte Dritte, wie zum Beispiel öffentliche Stellen, auf die erzeugten Daten zugreifen und diese verwenden oder teilen können. Dabei ersetzt der Data Act keine bestehenden Rechtsvorschriften wie etwa die DSGVO, sondern soll mit ihnen in Einklang gebracht werden.
Hinweis: Der Austausch personenbezogener Daten wird explizit nicht durch den Data Act gesteuert. Dieser fällt ausschließlich unter die bestehende Regelung durch die Datenschutz-Grundverordnung. Der Datenschutz bleibt auch nach Inkrafttreten des Data Act weiterhin vorrangig.
Welche Ziele hat der Data Act?
Der Data Act verfolgt das Ziel, den Zugang zu Daten fairer, sicherer und einfacher zu gestalten. Im Zentrum steht dabei die Idee, dass Daten einen größeren gesellschaftlichen und wirtschaftlichen Nutzen entfalten können, wenn sie unter klaren Regeln zugänglich gemacht werden. Die EU-Kommission hat dabei fünf zentrale Maßnahmen formuliert:
1.) Mehr Rechtssicherheit im Umgang mit Daten schaffen:
Der Data Act legt fest, unter welchen Bedingungen Daten, insbesondere aus vernetzten Geräten, genutzt werden dürfen. Bisher war oft unklar, wer diese Daten nutzen darf, unter welchen Bedingungen der Zugriff möglich ist oder welche Rechte Nutzer dabei haben.
Mit dem Data Act sollen nun klare Spielregeln für Unternehmen und Verbraucher entstehen. Er legt beispielsweise fest, dass auch Nutzer oder berechtigte Dritte auf diese Daten zugreifen dürfen. Gleichzeitig sollen Anreize erhalten bleiben, weiterhin in hochwertige Datenerfassung zu investieren.
2.) Ungleichgewichte bei Datenverträgen abbauen:
In vielen Fällen haben große Anbieter eine stärkere Marktposition und können durch ihre Marktmacht einseitige Vertragsbedingungen durchsetzen. Der Data Act will solche unfairen Praktiken verhindern und faire Wettbewerbsbedingungen schaffen.
3.) Datenzugang für öffentliche Stellen ermöglichen:
In bestimmten Fällen, zum Beispiel bei Krisen oder Naturkatastrophen, sollen Behörden leichter auf relevante, nicht-personenbezogene Daten aus dem privaten Sektor zugreifen können. Die Maßnahme soll Behörden helfen, schneller und präziser auf Krisen zu reagieren, ohne die betroffenen Unternehmen dabei unangemessen zu belasten.
4.) Wechsel zwischen Cloud-Anbietern erleichtern:
Kunden von Datenverarbeitungsdiensten sollen künftig einfacher zwischen Anbietern wechseln können. Dafür sieht der Data Act vor, dass technische und vertragliche Hürden abgebaut werden.
Das soll nicht nur die Entscheidungsfreiheit der Kunden stärken, sondern auch einen wettbewerbsfähigeren europäischen Cloud-Markt fördern. Gleichzeitig werden Standards für die Interoperabilität von Daten eingeführt – also für den reibungslosen Austausch zwischen verschiedenen Systemen.
5.) Klarheit beim Schutz von Datenbanken schaffen:
Der Data Act überprüft zudem bestimmte Aspekte der bestehenden Datenbankrichtlinie. Hintergrund ist, dass viele moderne Datenbanken aus Daten bestehen, die durch vernetzte Systeme automatisch erzeugt und gesammelt werden. Der bisher hier genutzte "Sui generis"-Datenbankschutz war allerdings rechtlich schwer einzuordnen.
Der Data Act stellt nun klar, wann ein solcher Schutz gilt und wann nicht. Ziel ist es, das Gleichgewicht zwischen den Interessen derjenigen, die Datenbanken pflegen, und denen, die sie nutzen möchten, transparenter und im Einklang mit den Zielen der europäischen Datenbankpolitik zu gestalten.
Wann tritt der Data Act in Kraft?
Der Data Act wurde bereits am 22. Juni 2023 offiziell im Amtsblatt der EU veröffentlicht und ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist gilt er nun ab dem 12. September 2025 verbindlich in allen EU-Mitgliedstaaten.
Was bedeutet der Data Act für Organisationen?
Organisationen, die Cloudlösungen, vernetzte Geräte oder digitale Dienste anbieten oder nutzen, sind direkt durch den Data Act betroffen. Das betrifft vor allem zahlreiche Unternehmen aus dem industriellen Sektor. Dabei ist es unerheblich, ob sie die Daten selbst erzeugen oder lediglich verarbeiten.
Die wichtigsten Auswirkungen:
- Hersteller vernetzter Geräte oder digitaler Produkte müssen den Zugang zu durch Nutzer erzeugten, nicht-personenbezogenen Daten ermöglichen.
- Dateninhaber müssen bestimmte Daten bei berechtigtem Interesse Dritten wie zum Beispiel offiziellen Einrichtungen zur Verfügung stellen.
- Anbieter von Cloudlösungen müssen Vorkehrungen treffen, um den Wechsel zwischen Cloud-Diensten zu erleichtern.
- Öffentliche Stellen sollen unter bestimmten Umständen, etwa im Krisenfall, auf Daten zugreifen können. Dieser Forderung muss seitens der Organisationen stattgegeben werden.
Grundsätzlich sind alle Organisationen vom Data Act betroffen. Ausgeschlossen sind einzig Klein- und Kleinstunternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz unter zehn Millionen Euro, solange sie keine größeren Partner- oder Mutterunternehmen haben und/oder nicht als Unterauftragnehmer auftreten (siehe die offizielle EU-Verordnung, Punkt 41).
Was sind die Pflichten betroffener Organisationen?
- Relevanz prüfen: Zunächst sollte geklärt werden, ob eigene Produkte oder Dienstleistungen unter den Anwendungsbereich des Data Act fallen. Dazu zählt etwa das Anbieten vernetzter Geräte oder datenbasierter Dienste. Auch Datenverarbeitungsdienste wie zum Beispiel Cloud-Anbieter sind betroffen.
- Dateninventar erstellen: Organisationen sollten erfassen, welche nicht-personenbezogenen Daten bei der Nutzung ihrer Produkte oder Dienste entstehen, wie sie gespeichert werden und wer auf sie zugreifen kann. Durch eine solche Übersicht wird gleichzeitig ersichtlich, welche Daten für welche Unternehmensbereiche potentiell von Interesse sein können.
- Personenbezug ausschließen: Da der Data Act primär auf nicht-personenbezogene Daten anzuwenden ist, ist eine saubere Trennung zwischen Daten mit und ohne Personenbezug notwendig. Wo Daten potenziell Rückschlüsse auf Personen erlauben, insbesondere bei Mischdatensätzen, muss geprüft werden, ob nicht Datenschutzgesetze wie die DSGVO greifen.
- Schutzbedürfnisse klären: Nicht alle Daten müssen ohne Weiteres geteilt werden. Organisationen müssen definieren, welche Informationen als besonders schützenswert gelten. Dazu zählen etwa Betriebsgeheimnisse oder sicherheitsrelevante Daten.
Achtung: Dieser Schutzanspruch muss aus objektiven Gründen nachvollziehbar dargelegt werden.
- Technische Schnittstellen schaffen: Die Systeme müssen technisch in der Lage sein, Daten strukturiert, maschinenlesbar und sicher bereitzustellen – etwa für Nutzer, Dritte oder bei Anbieterwechseln im Cloud-Bereich.
- Vertragsgrundlagen anpassen: Alle vertraglichen Regelungen zur Datennutzung müssen im Einklang mit dem Data Act gestaltet werden. Hilfreich ist es, wenn entsprechende Musterverträge vorbereitet sind, etwa auch für ein möglicherweise notwendiges Einwilligungsmanagement.
Hinweis: Der Data Act sieht zwar grundsätzlich Maßnahmen zum Schutz von Geschäftsgeheimnissen vor, eine Verweigerung der Datenherausgabe ist aber nur in begründeten Ausnahmefällen zulässig.
Fazit: Der Umgang mit Daten wird neu gedacht
Der Data Act markiert einen wichtigen Wendepunkt im Umgang mit Daten in der EU. Organisationen werden nicht nur stärker in die Verantwortung genommen, sondern erhalten zugleich neue Möglichkeiten im datengetriebenen Wettbewerb.
Die EU hat mit dem Data Act einen verbindlichen Rahmen geschaffen, um die Nutzung von Daten gerechter und transparenter zu gestalten. Für viele Unternehmen bedeutet das eine strukturelle und strategische Neuausrichtung.
Nicht zuletzt zeigt sich darin auch ein Umdenken in der europäischen Datenpolitik: Nicht-personenbezogene Daten sollen kein abgeschottetes Gut mehr sein, sondern fair und verantwortungsvoll zugänglich.
Fast fertig...Bitte klicke auf den Link in der E-Mail, um Deine E-Mail Adresse und die Anmeldung zum Newsletter zu bestätigen.
Verpasse keinen Beitrag mehr.