EU verabschiedet neues Datengesetz: Das müssen Sie zum Data Act wissen

Am 11. Januar 2024 ist der Data Act der Europäischen Union in Kraft getreten. Das Gesetz regelt den Umgang mit Daten, die von vernetzten Produkten oder damit verbundenen Diensten erzeugt werden. Damit soll vor allem der Austausch von Industriedaten gefördert werden. Alexander Waschinger fasst im Folgenden die wichtigsten Neuregelungen zusammen.

Förderung von Innovation und Wettbewerb

Der Data Act („Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“) soll den Zugang zu und die Nutzung von Nutzungsdaten erleichtern, die von einer Vielzahl vernetzter Produkte erzeugt werden – von Haushalts- und Fitnessgeräten über Industriemaschinen bis hin zu Sprachassistenten.

Durch die Beseitigung von Hindernissen für den EU-weiten Zugang zu diesen Daten soll eine gerechtere und integrativere digitale Wirtschaft geschaffen werden. Mit einer Übergangsfrist von 20 Monaten wird der Data Act ab dem 12. September 2025 in der gesamten EU gelten.

Neue rechtliche Rahmenbedingungen

Der Data Act schafft einen neuen Rechtsrahmen für den Zugang zu und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Geräten (Internet of Things) erhoben werden. Diese Daten sind von zentraler Bedeutung für Produktentwicklung, Gerätewartung und das Training von Algorithmen in der Künstlichen Intelligenz.

Umfassende Anwendbarkeit für Unternehmen

Der Data Act richtet sich an alle Branchen und Wirtschaftszweige und betrifft jedes Unternehmen, das in der EU vernetzte Nutzungsdaten erhebt und verarbeitet. Die Regelung gilt sowohl für europäische als auch für nicht-europäische Unternehmen, die auf dem EU-Markt tätig sind. Ausnahmen bestehen für kleine und mittlere Unternehmen.

Änderungen bei der Nutzung und Weitergabe von Daten

Mit dem Data Act können Hersteller und Anbieter von IoT-Geräten die erzeugten Daten nicht mehr exklusiv nutzen. Vielmehr müssen sie diese Daten auch anderen Unternehmen zur Verfügung stellen, um die Entwicklung neuer Geschäftsmodelle zu ermöglichen.

Die Nutzer haben die Freiheit, die Empfänger ihrer Daten selbst zu bestimmen. Die Weitergabe der Nutzungsdaten soll in Echtzeit, kostenlos und in maschinenlesbaren Standardformaten erfolgen, wobei die Daten die gleiche Qualität wie die Originaldaten aufweisen müssen.

Verstärkte Informations- und Auskunftspflichten

Darüber hinaus werden strenge Informations- und Auskunftspflichten für Dateninhaber eingeführt. Vor Vertragsabschluss müssen Nutzer umfassend über den Zugriff und die Möglichkeiten der Weitergabe von Nutzungsdaten informiert werden.

Darüber hinaus stärkt der Data Act das Recht der Nutzer, über Art und Umfang der bei der Nutzung von Produkten entstehenden Daten informiert zu werden. Dies umfasst auch das Recht zu erfahren, ob und wie Dateninhaber diese Daten für eigene Zwecke nutzen oder weitergeben.

Cloud-Switching und Kündigungsfristen

Der Data Act regelt auch die Kündigungsfristen für bestehende Nutzungsverträge und adressiert die Herausforderungen beim Wechsel des Cloud-Anbieters. Nutzer können ihre Verträge künftig innerhalb von 30 Tagen kündigen, wobei Cloud-Anbieter die Übertragung von Daten zu einem anderen Anbieter in standardisierten Formaten und unter Einhaltung aktueller Sicherheitsstandards erleichtern müssen (Cloud-Switching).

Nach der Übertragung der Daten müssen alle Daten und Metadaten beim alten Dienstleister gelöscht werden, was nachweislich zu erfolgen hat.

Schutz vor missbräuchlichen Vertragsklauseln

Der Data Act verbietet ausdrücklich die Verwendung missbräuchlicher Vertragsklauseln in B2B-Beziehungen und stellt sicher, dass solche Klauseln, die erheblich von der guten Handelspraxis abweichen, nicht verbindlich sind.

Konsequenzen bei Nichteinhaltung

Verstöße gegen die Bestimmungen des Data Act können erhebliche Bußgelder nach sich ziehen, die bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können.

Verhältnis zur DSGVO

Der Data Act gilt neben der Datenschutz-Grundverordnung. Werden personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind daher beide Regelungen zu beachten.

Handlungsempfehlungen

Der Data Act dürfte die Wettbewerbsbedingungen für viele kleine und mittlere Unternehmen deutlich verbessern. Gleichzeitig stellt das neue Gesetz insbesondere Dateninhaber, Hersteller und Anbieter von Dateninfrastrukturen vor große Herausforderungen. Unternehmen sind daher gut beraten, sich frühzeitig mit den Regelungen auseinanderzusetzen. Die Frist bis September 2025 bietet begrenzten Spielraum für die Umsetzung der erforderlichen Maßnahmen.

Sie wollen Ihr Unternehmen fit für die Zukunft machen? Unsere Unternehmensberater unterstützen Sie bei der Initiierung neuer Anwendungen im Einklang mit den gesetzlichen Rahmenbedingungen. Schreiben Sie uns per Kontaktformular oder an datenschutz-ub@ecovis.com.

Das könnte Sie ebenfalls interessieren: Verschärfung der Cybersicherheitsanforderungen für Unternehmen (ecovis.com)