EU Data Act – Teil I: Hintergrund & Regelungsgegenstand
Der EU Data Act (Deutsch: „Datenverordnung“ schafft neue Grundregeln dazu, wer Zugang zu Daten aus vernetzten Produkten und Diensten in der EU hat und wer diese nutzen kann.
Die finale Fassung des Data Act wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht. Er gilt damit gemäß Art. 50 S. 2 Data Act ab dem 12. September 2025. Der Text findet sich hier. Mit insgesamt 119 Erwägungsgründen und 50 Artikeln handelt es sich, etwa im Vergleich zur DSGVO, um ein fast überschaubares Gesetz. Die ihm innenwohnende Komplexität sollte man allerdings nicht unterschätzen.
Kurz zusammengefasst soll der Data Act soll privaten und gewerblichen Nutzern Zugang zu Daten gewähren, die bei der Nutzung von vernetzten Produkte oder Diensten generiert werden. Dies beinhaltet sowohl personen- und nicht personenbezogene Daten. Die Verordnung unterscheidet an dieser Stelle nicht.
Den Unternehmen werden dabei zahlreiche Pflichten auferlegt, die mit erheblichem Umsetzungsaufwand verbunden sind. Die meisten Regelungen gelten zwar erst 20 Monate nach Inkrafttreten, also ungefähr ab August 2025, der Vorbereitungsaufwand für betroffene Unternehmen dürfte allerdings erheblich sein. Die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten standardmäßig („by default“) in ihren Produkten zu implementieren gilt für solche Produkte und die mit ihnen verbundenen Dienste, die 32 Monate nach dem Inkrafttreten des Data Act in Verkehr gebracht werden, konkret ab dem 12. September 2026.
In unserer dreiteiligen Serie stellten wir den Data Act im Detail vor. Danach wissen Sie, was Regelungsgegenstand und Hintergrund des Gesetzes ist, ob Ihr Unternehmen betroffen ist und wie Sie sich vorbereiten müssen.
Teil 1: Hintergrund und Regelungsgegenstand
Warum wurde der Data Act erlassen?
Daten, gleich welcher Art, werden heute in jeder Sekunde millionenfach generiert und es gibt kaum Lebensbereiche, in die vernetzte Strukturen noch keinen Einzug erhalten haben. Die Menge an Daten wächst exponentiell und ihre Nutzung ist derzeit von unausgeschöpftem Potential geprägt. Die EU verfolgt mit ihrer Europäischen Datenstrategie das Ziel, eine umfangreiche und moderne Regelung für Datennutzung in der EU zu etablieren. Als Teil davon wirkt der Data Act mit zielgleichen oder -ähnlichen Maßnahmen wie dem Data Governance Act, Digital Services Act und Digital Markets Act zusammen.
Ziel des Data Act ist eine faire gemeinsame Nutzung von Daten, die Vorteile für alle Beteiligten bringen soll. Die Gesellschaft soll Daten bestmöglich nutzen. Bislang werden laut der Europäischen Kommission 80% der gesammelten Daten nicht genutzt. Diese Daten sind nach Auffassung der Kommission für Innovationen und gesellschaftliche Entwicklungen von erheblicher Bedeutung und könnten ohne Qualitätsverlust vielfach genutzt werden. Insbesondere im Bereich der künstlichen Intelligenz würden große Datenmengen für das Training und die Weiterentwicklung benötigt. Daher soll es ermöglicht werden, dass die Daten optimal zum Nutzen der Gesellschaft verteilt werden.
Neben dem gesamtgesellschaftlichen Vorteil soll es für die Nutzer auch individuell vorteilhaft sein, über die eigenen Daten bestimmen zu können. So sollen Kundendienstleistungen und Reparaturen dadurch billiger werden. Insgesamt wird die Rechtsposition von Nutzern gestärkt.
Weiterhin sollen insbesondere kleinere Unternehmen, denen bisher die Ressourcen zur effektiven Datennutzung gefehlt haben, geschützt werden. Die Verhandlungsübermacht großer Unternehmen soll eingeschränkt und der Wechsel zwischen Datenverarbeitungsdiensten erleichtert werden, sodass Nutzer selbstbestimmter über ihre Daten bestimmen können.
Wer ist betroffen?
An den Data Act gebunden sind gem. Art. 1 Abs. 3 Data Act in erster Linie Hersteller vernetzter Produkte und Anbieter verbundener Dienste, die in der Union in Verkehr gebracht werden; aber auch Dateninhaber, Datenempfänger, öffentliche Stellen und Anbieter von Datenverarbeitungsdiensten treffen gewisse Pflichten. Der Anwendungsbereich ist also sehr weit, sodass die Verordnung eine umfangreiche Wirkung entfalten wird. Insbesondere werden auch Unternehmen betroffen sein, die sich bisher nicht so intensiv mit datenrechtlicher Regulatorik beziehungsweise Datenschutz auseinandersetzen mussten, weil die dort verarbeiteten Daten nicht personenbezogen sind.
Die Begriffe des vernetzten Produktes und der verbundenen Dienste werden in Art. 2 Data Act legaldefiniert. So bezeichnet ein „vernetztes Produkt“ einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist. Ein „verbundener Dienst“ bezeichnet einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Vernetzte Produkte kommen laut der Erwägungsgründe in allen Bereichen der Wirtschaft und Gesellschaft vor und umfassen Fahrzeuge, medizinische Ausrüstung, Lifestyle-Ausrüstung, Schiffe, Luftfahrzeuge, Haushaltsgeräte und Konsumgüter und einiges mehr.
Verbundene Dienste sind solche, mit denen man die vernetzten Produkte steuern kann, beispielsweise die App, mit der die smarte Heizung reguliert oder der Staubsaugroboter angeschaltet werden kann.
Die Hersteller und Anbieter von Fitnessarmbanduhren, Sprachassistenten, internetfähigen Fernsehgeräten, vernetzten Fahrzeugen, internetfähigen Haushaltsgeräten und vielen anderen „smarten“ Geräten und deren App-Steuerung sind also vom Data Act betroffen. Nicht verbergen möchten wir, dass es auch Ausnahmen vom weiten Anwendungsbereich gibt, z. B. für kleinere Unternehmen oder soweit Geschäftsgeheimnisse betroffen sind. Hierzu erfahren Sie mehr in den weiteren Beiträgen.
Lesen Sie im zweiten Teil unserer Serie, welche Pflichten der Data Act den betroffenen Unternehmen konkret auferlegt. Abonnieren Sie gerne unseren Newsletter, wenn Sie keinen Beitrag verpassen wollen. Hier geht es zur Anmeldung.