EU Data Act – Teil III: Die To-Do Liste
Der EU Data Act (Deutsch: „Datenverordnung“ schafft neue Grundregeln dazu, wer Zugang zu Daten aus vernetzten Produkten und Diensten in der EU hat und wer diese nutzen kann.
Die finale Fassung des Data Act wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht. Er gilt damit gemäß Art. 50 S. 2 Data Act ab dem 12. September 2025. Der Text findet sich hier. Mit insgesamt 119 Erwägungsgründen und 50 Artikeln handelt es sich, etwa im Vergleich zur DSGVO, um ein fast überschaubares Gesetz. Die ihm innenwohnende Komplexität sollte man allerdings nicht unterschätzen.
Kurz zusammengefasst soll der Data Act soll privaten und gewerblichen Nutzern Zugang zu Daten gewähren, die bei der Nutzung von vernetzten Produkte oder Diensten generiert werden. Dies beinhaltet sowohl personen- und nicht personenbezogene Daten. Die Verordnung unterscheidet an dieser Stelle nicht.
Den Unternehmen werden dabei zahlreiche Pflichten auferlegt, die mit erheblichem Umsetzungsaufwand verbunden sind. Die meisten Regelungen gelten zwar erst 20 Monate nach Inkrafttreten, also ungefähr ab August 2025, der Vorbereitungsaufwand für betroffene Unternehmen dürfte allerdings erheblich sein. Die Verpflichtung für Hersteller von vernetzten Produkten, Zugang zu Nutzerdaten standardmäßig („by default“) in ihren Produkten zu implementieren gilt für solche Produkte und die mit ihnen verbundenen Dienste, die 32 Monate nach dem Inkrafttreten des Data Act in Verkehr gebracht werden, konkret ab dem 12. September 2026.
In unserer dreiteiligen Serie stellten wir den Data Act im Detail vor. Danach wissen Sie, was Regelungsgegenstand und Hintergrund des Gesetzes ist, ob Ihr Unternehmen betroffen ist und wie Sie sich vorbereiten müssen.
Teil 3: Die wichtigsten To-Dos für Unternehmen
Durch den Data Act bekommen Nutzer exklusive Rechte an ihren Daten. Dies schafft ein neues Regelwerk für Datenverarbeiter, insbesondere im Bereich der nicht personenbezogenen Daten.
Mit Aufwand verbunden ist der Data Act vor allem für die Hersteller von vernetzten Produkten und Anbieter verbundener Dienste. Sie müssen technisch ermöglichen, dass der Zugang und die Weitergabe der Daten an den Nutzer und Dritte eröffnet wird. Zeitgleich müssen Geschäftsmodelle überdacht werden. Bürokratisch ist mit einem Mehraufwand zu rechnen, dessen Umfang von der noch nicht absehbaren Umsetzungspraxis abhängt.
Gesamtgesellschaftlich kann durch den Data Act ein neuer Umgang mit Daten erhofft werden. Daten sind wichtige Ressourcen, deren Verteilung über den Erfolg von Innovationen und somit das Funktionieren unserer Wirtschaft entscheiden kann. Eine effektivere Verteilung der Daten kann zu einem ausgeglicheneren Markt führen, der neue Innovationen hervorbringt. Andererseits mag der schwierigere Schutz von Geschäftsgeheimnissen das Interesse an eigenen Innovationen senken, wenn diese sich aufgrund des fehlenden Geschäftsgeheimnisschutzes in Drittländern nicht mehr rentieren. Besonders spannend wird es sein, wie Behörden und Gerichte die Auslegung der vielen unbestimmten Rechtsbegriffe und Themen rund um Geschäftsgeheimnisse und Beweispflichten angehen.
Jedenfalls wird der Data Act eine umfangreiche Wirkung entfalten, die für die wirtschaftlichen Abläufe in erheblichem Maße spürbar sein wird.
Was ist jetzt zu tun?
Ist Ihr Unternehmen Hersteller von vernetzten Produkten, Anbieter verbundener Dienste oder sonst vom Data Act betroffen, müssen Sie bereits jetzt mit der Vorbereitung beginnen. Wir haben dazu eine erste Checkliste mit Themen erstellt, welche Sie angehen sollten.
- Überblick verschaffen: Unternehmen müssen prüfen, welche Ihrer Produkte und Dienste und welche der dadurch gesammelten Daten in den Anwendungsbereich des Data Act fallen. Die Art und der Umfang dieser Daten sind zu ermitteln. Dabei muss besonders darauf geachtet werden, dass auch im Rahmen der Verarbeitung personenbezogener Daten teilweise nicht personenbezogene Daten verarbeitet werden.
- Erstellung / Überarbeitung der Transparenzhinweise: Der Data Act beinhaltet in Art. 3 Abs. 2 weitgehende Informationspflichten. Daher ist es in Zukunft notwendig, zusätzlich zu eventuell vorhandenen Datenschutzhinweisen nach DSGVO weitere Informationen nach dem Data Act bereitzustellen. Vor Vertragsschluss müssen Informationen dazu, welche Daten gesammelt und verarbeitet werden, zur Verfügung gestellt werden.
- Nutzerkonten mit Datenzugang einrichten: Die Unternehmen müssen Nutzern einen direkten Datenzugang einrichten, oder dem Nutzer ohne Weiteres verfügbare Daten anders zur Verfügung stellen Art. 4 Abs. 1 Data Act. Sinnvollerweise geschieht dies über ein Nutzerkonto, auf dem man sich legitimieren kann und dann einen sicheren Datenzugang gewährt bekommt.
Es müssen technische Voraussetzungen geschaffen werden, damit dies gewährleistet ist und rechtlich geprüft werden, dass Daten nur den tatsächlich berechtigten Nutzern zur Verfügung gestellt werden. - Technische Änderung einführen, um Datenzugang zu gewähren: Prozesse müssen so entwickelt werden, dass alle nutzergenerierten Daten, die von vernetzten Produkten und Diensten erhoben werden, direkt über das Produkt oder den Dienst, jederzeit, kostenlos und fortlaufend in einem maschinenlesbaren Format von den Nutzern heruntergeladen, gelesen und verwendet werden können.
- Technische Änderungen, um Geschäftsgeheimnisse zu schützen: Unternehmen müssen die auszugebenden Daten und ihre Verknüpfung mit unmittelbar oder mittelbar erkennbaren Unternehmensabläufen oder Programmstruktur intensiv betrachten, um frühzeitig technische Änderungen anzustreben, sodass bei der Datenausgabe keine Geschäftsgeheimnisse offengelegt werden müssen.
- Prüfung der Rechtsgrundlage bei personenbezogenen Daten: Die Unternehmen müssen nicht nur prüfen, ob derjenige, der die Daten empfängt, identisch mit der von den Daten betroffenen Person ist. Beispielsweise fällt das auseinander, wenn in einem Mehrpersonenhaushalt die Daten eines smarten Haushaltsgeräts abgefragt werden. Sollten der Nutzer und die von den Daten betroffene Person nicht identisch sein, kann die Datenweitergabe nur aufgrund einer Rechtsgrundlage nach der DSGVO erfolgen. Gleichfalls muss für jede Weitergabe oder Verarbeitung personenbezogener Daten im Zusammenhang mit dem Data Act eine Rechtsgrundlage nach Art. 6 DSGVO gefunden und dokumentiert werden. Anderenfalls drohen Bußgelder.
- Vorbereitung der Weitergabe von Daten an öffentliche Stellen: Abhängig davon, in welchem Gebiet ein Unternehmen tätig ist, muss es sich darauf vorbereiten, Informationen in außergewöhnlichen Situationen den Behörden zur Verfügung zu stellen, Art. 14 ff. Data Act. Diese Unternehmen müssen vorbereiten, diese Daten, sollten sie personenbezogen sein, zu anonymisieren oder pseudonymisieren, soweit dies möglich ist.
- Wechselanfragen vorbereiten: Unternehmen, bei denen ein Wechsel des Anbieters mit erheblichem Umfang an Datenübertragung zusammenhängt, müssen sich darauf vorbereiten die Daten so zur Verfügung zu stellen, dass andere Anbieter diese in ihre Systeme einlesen können, Art. 23 ff. Data Act.
- Umformulierung von Verträgen: Kündigungsfristen und Entgelte für Datenweitergabe bei Wechselanfragen müssen ggf. in den Nutzungsverträgen entsprechend der neuen Regelungen angepasst werden. Die Gebühren sind dabei angemessen festzulegen. Im Geschäft mit Kleinstunternehmen dürfen sie nicht über die tatsächlich angefallenen Kosten für die Erhebung und Bereitstellung der Daten hinaus gehen. Falls Die Datenübermittlung Sicherheitsaspekte im Sinne von Art. 4 Abs. 2 Data Act betrifft, müssen vertraglich Ausnahmen formuliert werden. Verträge zwischen Unternehmen müssen vorbereitet werden.
- Prüfung von Verträgen mit Blick auf Geschäftsgeheimnisse: Unternehmen sollten sich nicht nur technisch, sondern auch rechtlich vor der Weitergabe von Geschäftsgeheimnissen schützen. Empfehlenswert ist die Anwendung vertraglicher und technischer Schutzmaßnahmen gegen die Offenlegung von geistigem Eigentum bei der Bereitstellung von Daten. Rechtlich können als Grundlage Musterverträge der EU-Kommission für die Weitergabe an Datenempfänger genutzt werden, sobald diese bereitstehen.
- Umformulierung der Verträge, um Daten nutzen zu dürfen: Unternehmen müssen sicherstellen, dass die Nutzung der empfangenen Daten durch Verträge eingeräumt ist. Gegebenenfalls müssen bestehende Verträge und Vorlagen umformuliert oder ergänzt werden.
- Verträge zur Regelung von gemeinsamer Verantwortlichkeit und Auftragsverarbeitung: Im Fall von gemeinsamer Verantwortlichkeit oder bei der Einschaltung von Auftragsverarbeitern müssen zwischen den betroffenen Unternehmen Verträge geschlossen werden, um die Pflichten nach Data Act und DSGVO aufzuteilen und sicherzustellen, dass sie vollständig erfüllt werden können.
Insgesamt empfehlen wir, alle neuen Verpflichtungen in Unternehmensrichtlinien oder Standard Operating Procedures („SOP„) zu integrieren, damit alle betroffenen Unternehmensfunktionen in die Umsetzung eingebunden werden.
Sprechen Sie uns bei Fragen zu diesem komplexen Thema gerne an oder abonnieren Sie unseren Newsletter, um über alle weiteren Entwicklungen stets auf dem Laufenden zu bleiben.