EU verabschiedet Data Act

Am 11. Januar 2024 ist der Data Act der Europäischen Union in Kraft getreten. Dieses Gesetz regelt den Umgang mit Daten, die von vernetzten Produkten oder damit verbundenen Diensten erzeugt werden, und soll vor allem den Austausch von Industriedaten fördern.

Förderung von Innovation und Wettbewerb

Der Data Act („Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“) soll den Zugang zu und die Nutzung von Nutzungsdaten erleichtern, die von einer Vielzahl vernetzter Produkte erzeugt werden – von Haushalts- und Fitnessgeräten über Industriemaschinen bis hin zu Sprachassistenten erleichtern.

Durch die Beseitigung von Hindernissen für den EU-weiten Zugang zu diesen Daten soll eine gerechtere und integrativere digitale Wirtschaft geschaffen werden. Der Data Act wird nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 in der gesamten EU gelten.

Neue rechtliche Rahmenbedingungen

Der Data Act schafft einen neuen Rechtsrahmen für den Zugang zu und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Geräten (Internet of Things) erhoben werden. Diese Daten sind zentral für die Produktentwicklung, Gerätewartung und das Training von Algorithmen in der Künstlichen Intelligenz.

Umfassende Anwendbarkeit für Unternehmen

Der Data Act betrifft alle Branchen und Wirtschaftszweige und jedes Unternehmen, das in der EU vernetzte Nutzungsdaten erhebt und verarbeitet. Die Regelung gilt sowohl für europäische als auch für nicht-europäische Unternehmen, die auf dem EU-Markt tätig sind. Kleine und mittlere Unternehmen sind von einigen Anforderungen ausgenommen.

Änderungen bei der Nutzung und Weitergabe von Daten

Mit dem Data Act können Hersteller und Anbieter von IoT-Geräten die erzeugten Daten nicht mehr exklusiv nutzen. Vielmehr müssen sie diese Daten auch anderen Unternehmen zur Verfügung stellen, um die Entwicklung neuer Geschäftsmodelle zu ermöglichen.

Nutzer haben die Freiheit, die Empfänger ihrer Daten selbst zu bestimmen. Die Weitergabe der Nutzungsdaten soll in Echtzeit, kostenlos und in maschinenlesbaren Standardformaten erfolgen, wobei die Daten die gleiche Qualität wie die Originaldaten aufweisen müssen.

Verstärkte Informations- und Auskunftspflichten

Es werden strenge Informations- und Auskunftspflichten für Dateninhaber eingeführt. Vor Vertragsabschluss müssen Nutzer umfassend über den Zugriff und die Möglichkeiten der Weitergabe von Nutzungsdaten informiert werden. Zudem stärkt der Data Act das Recht der Nutzer, über Art und Umfang der bei der Nutzung von Produkten entstehenden Daten informiert zu werden, einschließlich der Nutzung und Weitergabe dieser Daten durch die Dateninhaber.

Cloud-Switching und Kündigungsfristen

Der Data Act regelt auch die Kündigungsfristen für bestehende Nutzungsverträge und erleichtert den Wechsel des Cloud-Anbieters. Nutzer können ihre Verträge künftig innerhalb von 30 Tagen kündigen. Cloud-Anbieter müssen die Übertragung von Daten zu einem anderen Anbieter in standardisierten Formaten und unter Einhaltung aktueller Sicherheitsstandards erleichtern. Nach der Übertragung müssen alle Daten und Metadaten beim alten Dienstleister gelöscht werden.

Schutz vor missbräuchlichen Vertragsklauseln

Der Data Act verbietet ausdrücklich missbräuchliche Vertragsklauseln in B2B-Beziehungen und stellt sicher, dass solche Klauseln, die erheblich von der guten Handelspraxis abweichen, nicht verbindlich sind.

Konsequenzen bei Nichteinhaltung

Verstöße gegen den Data Act können erhebliche Bußgelder nach sich ziehen, die bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können.

Verhältnis zur DSGVO

Der Data Act gilt zusätzlich zur Datenschutz-Grundverordnung (DSGVO). Werden personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind daher beide Regelungen zu beachten.

Handlungsempfehlungen

Der Data Act dürfte die Wettbewerbsbedingungen für viele kleine und mittlere Unternehmen deutlich verbessern. Gleichzeitig stellt das neue Gesetz insbesondere Dateninhaber, Hersteller und Anbieter von Dateninfrastrukturen vor große Herausforderungen. Unternehmen sind daher gut beraten, sich frühzeitig mit den Regelungen auseinanderzusetzen. Die Frist bis September 2025 bietet begrenzten Spielraum für die Umsetzung der erforderlichen Maßnahmen.

Headerbild: Mike Marchetti © Canva.com