Gesetzlicher Rahmen und Stichtermine
Der EU Data Act (Verordnung (EU) 2023/2854) wurde im Dezember 2023 veröffentlich und trat am 11. Januar 2024 in Kraft.
Ab dem 12. September 2025 gelten die Pflichten des EU Data Act. Ab diesem Zeitpunkt können Nutzer (Unternehmen sowie auch Privatpersonen) auf generierte Gerätedaten zugreifen.
Ab dem 12. September 2026 müssen dann neue in Verkehr gebrachte, verbundene Produkte von Beginn an so entwickelt werden, dass der Zugang zu den generieten Nutzungsdaten technisch gewährleistet werden kann.
Ziele des EU Data Act und seine Relevanz für Unternehmen
Was ist das Ziel des EU Data Act? Der EU Data Act hat es zum Ziel einen Datenzugang zu ermöglichen, den Wettbewerb und Innovationen zu fördern. Dadurch soll die Wertschöpfung auf Daten gesteigert werden. Gleichzeitig soll dieser Zugang zu Daten fair gewährt werden, sodass KMUs vor unfairen Vertragsbedingungen großer Hersteller geschützt sind und gleichzeitig Zugang zu den Daten erlangen.
Verpflichtungen für Unternehmen (Datenhalter)
Welche Pflichten kommen damit auf Unternehmen zu? Anbieter sowie Hersteller verbundener / vernetzter Produkte müssen es den Nutzern ihrer Produkte ermöglichen, auf die bei der Nutzung erzeugten Daten (personenbezogene und nicht-personenbezogene) zugreifen zu können. Dies gilt für direkt erzeugte Daten oder durch Übermittlung an Drittparteien.
Diese Daten müssen kostenfrei abrufbar sein. Bei einer Weiterleitung an Dritte ist es dem Datenhalter erlaubt eine faire Vergütung zu fordern. Diese sollte die entstehenden Kosten decken.
Die zugrundeliegenden Vertragsbedingungen müssen transparent, nichtdiskriminierend und fair sein.
Nun stellt sich die Frage, was mit Daten zu tun ist, welche Geschäftsgeheimnisse oder gar die Sicherheit gefährden würden. In einer solchen Situation ist es möglich die Datenweitergabe zu verweigern. Dies ist jedoch nur unter bestimmten Voraussetzungen möglich. Zugleich müssen verschiedene Instanzen darüber informiert werden. Dazu gehören beispielsweise: nationale Behörden.
Unternehmen sind zudem dazu angehalten Kunden das Wechseln eines Anbieters leicht zu machen. Heißt, sie dürfen durch vertragliche Hindernisse nicht daran gehindert werden. Entsprechende Maßnahmen zur Interoperabilität sind vorgesehen.
Schnittstelle zur DSGVO (GDPR)
Der EU Data Act befasst sich mit personenbezogenen sowie nicht-personenbezogene Daten. Durch diesen Umstand ist zwangsläufig eine Schnittstelle zur DSGVO gegeben.
Der EU Data Act soll die DSGVO ergänzen. Für den Umgang mit personenbezogenen Daten gilt die DSGVO weiterhin uneingeschränkt. Der Data Act enthält jedoch zusätzliche Regelungen. Manche Pflichten des EU Data Act (z.B. Löschpflichten, Zweckbindung) sind strenger als die DSGVO. Bei Unklarheiten muss in den jeweiligen Einzelfällen geprüft werden, welche Regelung greift.
Hilfreich und wichtig ist die eindeutige Klassifizierung von Daten. Oftmals enthalten Datensätze Mischformen von Kategorien von Daten (also personenbezogene und nicht-personenbezogene Daten). Hier ist es hilfreich, dass die Definition der DSGVO des Begriffs „personenbezogene Daten“ Anwendung findet.
Entsprechend ist es also weiterhin wichtig zu beachten, dass es eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten geben muss, wie in Artikel 6 der DSGVO gefordert. Diese Anforderung sollte strengstens erfüllt werden.
Ein Unterschied kann jedoch in den Begrifflichkeiten „Datenverarbeiter“ und „Datenhalter“ festgestellt werden. Ein Datenverarbeiter nach der Definition der DSGVO ist nicht automatisch ein Datenhalter per EU Data Act. Bestehende Definitionen und Strukturen müssen dahingehend geprüft werden, um eine klare Abgrenzung zu schaffen.
Sollte es zu Verletzungen im Umgang mit Daten kommen, orientieren sich die Sanktionen an der Datenschutzgrundverordnung.
Nationale Behörden (in Deutschland bspw. die Datenschutzaufsicht) können demnach Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängen.
Handlungsempfehlungen für Ihr Unternehmen
Was können Sie als Unternehmen nun tun?
- Klassifizieren Sie Daten (z.B. personenbezogene und nicht personenbezogene)
- Definieren Sie Zuständigkeiten (Datenhalter, Nutzer, Dritte,…) und dokumentieren Sie diese Definition.
- Prüfen Sie Ihre Verträge auf Fairness, Transparenz sowie Rechte und Pflichten
- Schaffen Sie Schnittstellen, Interoperabilität und sicher Übertragungsprozesse
- Erweitern Sie Ihre Datenschutz-Dokumentation um Hinweise auf Data-Act Pflichten und mögliche Rechtsgrundlagen
- Informieren Sie die relevanten Stakeholder über neue Pflichten und Prozesse zur Einhaltung der Verordnung des EU Data Acts
Fazit – Warum jetzt handeln?
Compliance-Anforderungen werden immer wichtiger und komplexer. Bei Verstößen drohen Sanktionen oder Image-Verluste. Unternehmen sollten ihre Prozesse entsprechend anpassen, denn wer jetzt nicht handelt, dem drohen Sanktionen oder höhere nachträgliche Prozesskosten durch kurzfristig notwendige Umsetzung.
Viele Unternehmen verpassen die zeitgerechte Umsetzung der neuen Anforderungen, dies hat sich bereits im Jahr 2018 bei in Kraft treten der DSGVO gezeigt. Vermeiden Sie Risiken, handeln Sie spätestens jetzt!