Data Act: Diese Neuerungen bringt das europäische Datengesetz

Bedeutung und Ziel des Data Acts

Der Data Act soll die Nutzung von Daten in vielen verschiedenen Bereichen verstärken, verbessern und zur Wertschöpfung beitragen. Damit ist er die neben dem Daten Governance Act die zweite Säule der EU-Datenstrategie. Letzterer regelt die Prozesse und Strukturen, die einen Datenaustausch ermöglichen sollen. Der Data Act hingegen widmet sich einer anderen Frage: Wer kann zu welchen Bedingungen aus Daten einen Wert schaffen?

Daher regelt der Data Act unter anderem folgende wichtige Punkte:

• Die Datenweitergabe zwischen Unternehmen beziehungsweise zwischen Unternehmen und Verbraucherinnen oder Verbrauchern
• Die Pflichten von Dateninhaberinnen und -inhabern, die laut EU verpflichtet sind, Daten bereitzustellen
• Das Verbot missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen
• Die Bereitstellung von Daten für öffentliche Stellen (B2G)
• Die vertraglichen Regelungen und die technische Umsetzung beim Wechsel zwischen Verarbeitungsdiensten („Cloud Switching“)

Wann tritt der Data Act in Kraft?

Der Rat der Europäischen Union hat die Verordnung bereits am 27. November 2023 verabschiedet. Anschließend trat das Gesetz am 11. Januar 2024 in Kraft. Nach einer Übergangsfrist von 20 Monaten hat das neue Recht ab dem 12. September 2025 direkt Geltung.

Diese Parteien sind betroffen

Der Data Act bringt neue Vorgaben für verschiedene Parteien. Dazu gehören Herstellende, Nutzende, Dateninhaberinnen sowie -inhaber von vernetzten Geräten wie Haushaltsgeräte, Maschinen oder auch Autos. Auch auf Anbietende von Datenverarbeitungsdiensten (Cloud-Anbieterinnen und –Anbieter) warten neue Pflichten. Zusätzlich will der Data Act die Rechte Dritter stärken. So betrifft die Bereitstellung von Daten für öffentliche Stellen mit hoher Wahrscheinlichkeit alle Unternehmen – Ausnahmen gibt es höchstens für kleinere Betriebe. Diese sind in Kapitel 2 geregelt, das sich vor allem mit der Datenweitergabe zwischen Unternehmen oder von Unternehmen an Verbrauchende befasst.

Achtung: Nutzende können hierbei sowohl juristische Personen (Unternehmen) als auch natürliche Personen (Verbraucherinnen und Verbraucher) sein. Ausschlaggebend ist stets, ob jemand ein passendes Produkt gekauft, gemietet oder geleast hat.

Die Regelungen gelten dabei unabhängig vom Sitz des jeweiligen Unternehmens, denn es gilt das Marktortprinzip. Ist ein Angebot auf den europäischen Markt ausgerichtet, muss es sich also den Regelungen des Data Acts unterwerfen.

Anwendungsbereich des Data Acts

Die neue Verordnung bezieht sich auf Daten, die bei der Nutzung vernetzter Produkte oder verbundener Dienste entstehen. Das gilt auch für Daten, die nicht personenbezogen sind. Der Anwendungsbereich des Data Act geht also über den der DSGVO hinaus. Artikel 2 definiert eine Reihe wichtiger Begriffe, um den Anwendungsbereich genau abzugrenzen. Davon betroffen sind IoT (Internet of Things)- oder IIoT (Industrial Internet of Things)-Geräte. Diese Produkte erlangen, erzeugen und sammeln aufgrund ihrer vernetzten Funktionsweise automatisiert Daten über die Umgebung. Tablets, Smartphones, Kameras, Webcams, Textscanner fallen dagegen nicht unter die neue Regelung – denn hier braucht es einen menschlichen Beitrag, um Daten zu generieren.

Die wichtigsten Punkte des Data Acts

Der Data Act enthält viele neue Regelungen. Wir sehen uns hier die interessantesten Punkte an:

Nutzungshoheit über die eigenen Daten
Nutzerinnen und Nutzer vernetzter Geräte sollen künftig allein darüber bestimmen, wie mit den Daten verfahren wird, an deren Entstehung sie beteiligt waren. Der Data Act will es künftig ermöglichen, solche Daten auszuwerten und geregelt an Dritte weiterzugeben. Damit das technisch umsetzbar wird, müssen Herstellerinnen und Hersteller ihr Angebot so aufbauen, dass ein Zugang zu diesen Daten möglich ist.

Beispiel für Datenaustausch in B2B: Maschinendaten
Maschinen generieren jede Menge Daten, die für verschiedene Parteien von Interesse sein können. Möchte etwa der Hersteller einer Computerkomponente Zugang zu den Betriebsdaten seines Produkts erhalten, ließ sich das bisher frei in Verträgen ausgestalten. Diese Verträge waren je nach Marktmacht der Beteiligten allerdings sehr einseitig. Der Data Act will so einem Ungleichgewicht entgegenwirken. Er gibt nur den Nutzenden das Recht, über die Verwendung ihrer Daten zu bestimmen und diese an Dritte weiterzugeben.

Wechsel des Datenverarbeitungsdienstes
Zusätzlich soll es Nutzenden einfacher möglich sein, den Datenverarbeitungsdienst zu wechseln. Das bedeutet allerdings neue Pflichten für die Anbieter von Dateninfrastruktur: Sie müssen die Umstellung der Nutzerinnen und Nutzer unterstützen, indem sie kommerzielle, technische, vertragliche und organisatorische Hindernisse beseitigen, die einem reibungslosen Wechsel entgegenstehen können. Zusätzlich sollen Umstellungsgebühren schrittweise abgebaut werden.

Zugangsrechte öffentlicher Einrichtungen
Öffentliche Einrichtungen erhalten durch den Data Act erweiterte Zugangsrechte. Inhaberinnen und Inhaber von Daten müssen öffentlichen Einrichtungen auf Antrag Daten zur Verfügung stellen, wenn für die Datennutzung ein „außergewöhnlicher Bedarf“ besteht. Das gilt zum Beispiel für das Bekämpfen von Naturkatastrophen. In so einer Lage kann eine öffentliche Einrichtung verlangen, dass Unternehmen unentgeltlich Daten zur Verfügung stellen. Will der Staat jedoch „nur“ seinen Pflichten nachkommen, hat aber keine Chance, die nötigen Daten anderweitig zu beschaffen, können betroffene Dateninhaberinnen und -inhaber eine Aufwandsentschädigung verlangen.

Regelungen für Unternehmen
Folgende neue Vorgaben des Data Acts werden für Unternehmen besonders relevant:

Zugänglichmachen von Daten:
Für B2B und B2C ist vor allem Kapitel 2 des Data Acts (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) relevant. So regelt Artikel 3 die Pflicht der Zugänglichmachung von Daten, die bei der Nutzung vernetzter Produkte oder Dienste erzeugt werden.

Informationspflichten:
Artikel 3 Absatz 2 befasst sich mit der vorvertraglichen Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für ein IoT-Produkt. Relevante Informationen sollen transparent dargestellt werden, um Fairness für die Nutzenden zu gewährleisten. Relevante Informationen sind hierbei zum Beispiel die Art des Vertrags und der Umfang der Daten. Wichtig sind auch Informationen zu der Frage, ob ein vernetztes Produkt kontinuierlich und in Echtzeit Daten generiert und es möglich ist, diese Daten verständlich zur Verfügung zu stellen.

Zugang zu Produktdaten:
Artikel 4 bestimmt über das Zugangsrecht der Nutzenden, Dateninhaberinnen und -inhaber zu ihren Produktdaten. Verbundene Dienstdaten sowie das Recht auf deren Nutzung fallen ebenfalls in diesen Bereich. Generell sollen Nutzerinnen und Nutzer sich auf diese Weise ihrer Rechte besser bewusstwerden. Gleichzeitig will der Data Act so einen fairen Wettbewerb gewährleisten.

Gemäß Artikel 4 Absatz 13 dürfen Dateninhaberinnen und -inhaber Daten, die problemlos ohne Weiteres verfügbar und nicht personenbezogen sind, nur verarbeiten, wenn eine vertragliche Vereinbarung mit den Nutzenden vorliegt. Der Ausdruck „ohne Weiteres verfügbare Daten“ meint Produktdaten und verbundene Dienstdaten, die Inhabende von Daten ohne unverhältnismäßigen Aufwand erhalten können. Gegebenenfalls ist dann der Abschluss von Datenlizenzverträgen erforderlich.

Datenverkehr:
Artikel 5 des Data Acts regelt den Datenverkehr inklusive der Herausgabe von Daten an Dritte. Diese muss auf Verlangen der Nutzenden erfolgen.

Wechsel des Datenverarbeitungsdienstes:
Kapitel 6 beschreibt das Recht der Kundschaft, kostenlos den Datenverarbeitungsdienst zu wechseln und exportierbare Daten auf den neuen Dienst zu übertragen. Dabei dürfen keine Hindernisse bestehen, die diesen Wechsel unnötig erschweren. Datenverarbeitungsdienste müssen Verbraucherinnen und Verbrauchern außerdem aktiv beim Wechsel helfen -  etwa durch angepasste Vertragsklauseln und das Einhalten von Informationspflichten.

Interoperabilität:
Vorschriften zur Interoperabilität finden sich in Kapitel 8. Der Begriff Interoperabilität beschreibt die Fähigkeit verschiedener Systeme, vernetzter Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen. Dienste müssen daher künftig mit offenen Schnittstellen und Standards arbeiten, um diese Interoperabilität untereinander zu verstärken. Mit dieser Regelung soll auch der Wechsel zwischen Cloud-Diensten erleichtert werden.

Verbot missbräuchlicher Klauseln:
Artikel 13 enthält ein Verbot missbräuchlicher Klauseln hinsichtlich Datennutzung und Datenzugang. Eine Klausel gilt grundsätzlich als missbräuchlich, wenn sie zu einseitig ist. So enthält der Data Act also auch eine wettbewerbs- und kartellrechtliche Komponente, um eine faire Datenwirtschaft zu gewährleisten.

All diese Regelungen können kundenseitig vertraglich beziehungsweise von den Staaten durch Sanktionen durchgesetzt werden. Bei Verstößen drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes.

Darum braucht es die Regeln des Data Acts

Die sinnvolle Nutzung für Daten ist wichtig, um das Wachstum von Unternehmen voranzutreiben. Damit das gelingt, braucht es eine demokratische Nutzung der vorhandenen Daten – laut Data Act soll keine Partei allein darüber entscheiden. Hat jemand an der Entstehung von Daten mitgewirkt, steht es ihr oder ihm zu, sie im Rahmen eigener berechtigter Interessen zu nutzen. Gleichzeitig braucht es einen ausreichenden Schutz für sensible Daten. So entstehen Anreize, um datengetriebene Innovationen voranzubringen.

Data Act und DSGVO

Die DSGVO bleibt auch mit Inkrafttreten des Data Acts uneingeschränkt anwendbar. Beim Erheben personenbezogener Daten, die auch unter den Data Act fallen, müssen daher beide Gesetze beachtet werden. Das Verarbeiten personenbezogener Daten benötigt auch laut Data Act weiterhin eine gesetzliche Grundlage und muss im Einklang mit der DSGVO erfolgen. Der Data Act selbst ist dafür aber keine Basis – voraussichtlich ist also weiterhin eine Einwilligung nach DSGVO notwendig. Auch die Vorgaben des AI Acts sind in diesem Zusammenhang zu beachten. Die Regelungen im Einzelnen finden Sie hier: AI Act: Diese Neuerungen bringt das neue KI-Gesetz.

Data Act: Europas Datenpolitik der Zukunft

Der Data Act wird die Möglichkeiten zur Datennutzung erweitern und zukunftsweisend sein für den Umgang mit Daten. Um verschiedene Adressatinnen und Adressaten in der Verordnung in die Verordnung einzubeziehen, sind allerdings auch viele neue Regelungen notwendig. Wenn Sie die richtig umsetzen wollen, beschäftigen Sie sich am besten so früh wie möglich mit den neuen Vorgaben. So können Sie die Chancen, die die Verordnung bietet, optimal nutzen.