EU verabschiedet neues Datengesetz: Das müssen Sie zum Data Act wissen
Am 11. Januar 2024 ist der Data Act der Europäischen Union in Kraft getreten. Das Gesetz regelt den Umgang mit Daten, die von vernetzten Produkten oder damit verbundenen Diensten erzeugt werden. Damit soll vor allem der Austausch von Industriedaten gefördert werden. Alexander Waschinger fasst im Folgenden die wichtigsten Neuregelungen zusammen.
Förderung von Innovation und Wettbewerb
Der Data Act („Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“) soll den Zugang zu und die Nutzung von Nutzungsdaten erleichtern, die von einer Vielzahl vernetzter Produkte erzeugt werden – von Haushalts- und Fitnessgeräten über Industriemaschinen bis hin zu Sprachassistenten.
Durch die Beseitigung von Hindernissen für den EU-weiten Zugang zu diesen Daten soll eine gerechtere und integrativere digitale Wirtschaft geschaffen werden. Mit einer Übergangsfrist von 20 Monaten wird der Data Act ab dem 12. September 2025 in der gesamten EU gelten.
Neue rechtliche Rahmenbedingungen
Der Data Act schafft einen neuen Rechtsrahmen für den Zugang zu und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Geräten (Internet of Things) erhoben werden. Diese Daten sind von zentraler Bedeutung für Produktentwicklung, Gerätewartung und das Training von Algorithmen in der Künstlichen Intelligenz.
Umfassende Anwendbarkeit für Unternehmen
Der Data Act richtet sich an alle Branchen und Wirtschaftszweige und betrifft jedes Unternehmen, das in der EU vernetzte Nutzungsdaten erhebt und verarbeitet. Die Regelung gilt sowohl für europäische als auch für nicht-europäische Unternehmen, die auf dem EU-Markt tätig sind. Ausnahmen bestehen für kleine und mittlere Unternehmen.
Änderungen bei der Nutzung und Weitergabe von Daten
Mit dem Data Act können Hersteller und Anbieter von IoT-Geräten die erzeugten Daten nicht mehr exklusiv nutzen. Vielmehr müssen sie diese Daten auch anderen Unternehmen zur Verfügung stellen, um die Entwicklung neuer Geschäftsmodelle zu ermöglichen.
Die Nutzer haben die Freiheit, die Empfänger ihrer Daten selbst zu bestimmen. Die Weitergabe der Nutzungsdaten soll in Echtzeit, kostenlos und in maschinenlesbaren Standardformaten erfolgen, wobei die Daten die gleiche Qualität wie die Originaldaten aufweisen müssen.
Verstärkte Informations- und Auskunftspflichten
Darüber hinaus werden strenge Informations- und Auskunftspflichten für Dateninhaber eingeführt. Vor Vertragsabschluss müssen Nutzer umfassend über den Zugriff und die Möglichkeiten der Weitergabe von Nutzungsdaten informiert werden.
Darüber hinaus stärkt der Data Act das Recht der Nutzer, über Art und Umfang der bei der Nutzung von Produkten entstehenden Daten informiert zu werden. Dies umfasst auch das Recht zu erfahren, ob und wie Dateninhaber diese Daten für eigene Zwecke nutzen oder weitergeben.
Cloud-Switching und Kündigungsfristen
Der Data Act regelt auch die Kündigungsfristen für bestehende Nutzungsverträge und adressiert die Herausforderungen beim Wechsel des Cloud-Anbieters. Nutzer können ihre Verträge künftig innerhalb von 30 Tagen kündigen, wobei Cloud-Anbieter die Übertragung von Daten zu einem anderen Anbieter in standardisierten Formaten und unter Einhaltung aktueller Sicherheitsstandards erleichtern müssen (Cloud-Switching).
Nach der Übertragung der Daten müssen alle Daten und Metadaten beim alten Dienstleister gelöscht werden, was nachweislich zu erfolgen hat.
Schutz vor missbräuchlichen Vertragsklauseln
Der Data Act verbietet ausdrücklich die Verwendung missbräuchlicher Vertragsklauseln in B2B-Beziehungen und stellt sicher, dass solche Klauseln, die erheblich von der guten Handelspraxis abweichen, nicht verbindlich sind.
Konsequenzen bei Nichteinhaltung
Verstöße gegen die Bestimmungen des Data Act können erhebliche Bußgelder nach sich ziehen, die bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können.
Verhältnis zur DSGVO
Der Data Act gilt neben der Datenschutz-Grundverordnung. Werden personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind daher beide Regelungen zu beachten.
Handlungsempfehlungen
Der Data Act dürfte die Wettbewerbsbedingungen für viele kleine und mittlere Unternehmen deutlich verbessern. Gleichzeitig stellt das neue Gesetz insbesondere Dateninhaber, Hersteller und Anbieter von Dateninfrastrukturen vor große Herausforderungen. Unternehmen sind daher gut beraten, sich frühzeitig mit den Regelungen auseinanderzusetzen. Die Frist bis September 2025 bietet begrenzten Spielraum für die Umsetzung der erforderlichen Maßnahmen.
Sie wollen Ihr Unternehmen fit für die Zukunft machen? Unsere Unternehmensberater unterstützen Sie bei der Initiierung neuer Anwendungen im Einklang mit den gesetzlichen Rahmenbedingungen. Schreiben Sie uns per Kontaktformular oder an datenschutz-ub@ecovis.com.
Das könnte Sie ebenfalls interessieren: Verschärfung der Cybersicherheitsanforderungen für Unternehmen (ecovis.com)
Ansprechpartner
Newsletter für Unternehmer
Sie wollten keine Neuigkeiten mehr verpassen? Alles, was aktuell wichtig ist, stellen die ECOVIS Unternehmensberater für Sie im monatlichen Newsletter kompakt zusammen.