Inhaltsverzeichnis
- Kernpunkte und Kontextualisierung des Data Act
- Wen betrifft der Data Act?
- Welche Vorgaben beinhaltet der Data Act?
- Herausforderungen und Kritik: Data Act oder DSGVO, wer hat Vorrang?
- Auswirkungen auf Unternehmen und Verbraucher
- Fazit – ein Ausblick
Kernpunkte und Kontextualisierung des Data Act
Der Data Act, der neben der eingangs erwähnten EU-Datenverordnung (2020/1828) auch Änderungen der Verordnung (EU) 2017/2394 („Durchsetzung Verbraucherschutzgesetze“) mit sich bringt, ist als Teil der EU-Digitalstrategie zu verstehen, deren weitere Bestandteile der Data Governance Act (DGA), der Digital Markets Act (DMA) sowie der Digital Services Act (DSA) darstellen.
Der Focus des Data Acts liegt anders als bei den erwähnten Beschlüssen vor allem auf durch vernetze Geräte (IoT) erhobenen Daten (Datennutzungsregulierung). Das Internet-of-Things, bzw. die darin verknüpften Geräte reichen von simplen intelligenten Haushaltsgeräten, über kommunikative Applikationen für das KFZ, hin zu komplexen automatisierten industriellen Anlagensystemen. Durch deren Kommunikation mit zentralen Datenerfassungs-/Steuerungseinheiten entsteht eine regelrechte Datenflut (Big Data), die für einen reibungslosen Ablauf in Echtzeit oder zur Prozessoptimierung zu späterem Zeitpunkt verarbeitet werden.
Der Data Act soll es nun speziell den Nutzern (egal ob Privatperson oder Unternehmen) ermöglichen, die eigenen Daten auszuwerten und nur unter bewilligten sowie klar definierten Rahmenbedingungen an Dritte zur Verarbeitungen weiterzugeben. Dabei ist ein klar definiertes Ziel des Data Acts die Agency, bzw. Kontrolle der Nutzer über die eigenen Datensätze zu erhöhen. In der Folge soll dies zu einem fairen „Datenwettbewerb“ führen, die Digitalisierung fördern und gleichzeitig die Erkenntnisgewinne aus derartigen Datensätzen erhöhen. Denn laut EU-Kommission werden bislang rund 80 Prozent der generierten Industriedaten nicht genutzt (vgl. EU-"Data Act": Was passiert mit den Daten der Geräte? | tagesschau.de )
Um diese ambitionierten Ziele zu erreichen, umfasst der Data Act mehrere Schlüsselbereiche, die darauf abzielen, die digitale Landschaft Europas zu transformieren:
- Zugang zu Daten und Datenteilung: Der Act fördert den Zugang zu und die Teilung von Daten zwischen Privatpersonen, Unternehmen und Organisationen, einschließlich der öffentlichen Hand. Dies soll Innovationen vorantreiben und neue Geschäftsmodelle ermöglichen.
- Datenhoheit und -schutz: Verbraucher und Unternehmen sollen mehr Kontrolle über ihre Daten erhalten. Dies beinhaltet die Möglichkeit, Daten von einem Dienstleister zum anderen zu übertragen, was die Abhängigkeit von einzelnen großen Plattformen verringern soll.
- Interoperabilität: Durch die Förderung von Standards für die Datenübertragung und -nutzung zielt der Act auch darauf ab, die Interoperabilität zwischen verschiedenen Technologien und Sektoren zu verbessern.
- Sicherheit und Datenschutz: Der Data Act betont die Bedeutung von Sicherheit und Datenschutz und versucht, dass die Datennutzung nicht mit der Datenschutz-Grundverordnung (DSGVO) in Widerspruch steht.
Wen betrifft der Data Act?
- Hersteller vernetzter Produkte, die in der EU in Verkehr gebracht werden.
- Anbieter verbundener Dienste, unabhängig vom Ort der Niederlassung
- Nutzer der vernetzten Produkte oder verbundenen Dienste innerhalb der EU
- Dateninhaber (unabhängig vom Ort der Niederlassung), die Daten in der EU zur Verfügung stellen.
- Datenempfänger innerhalb der EU, denen Daten bereitgestellt werden.
- Öffentliche Stellen, wie z. B. die Europäische Kommission oder Europäische Zentralbank; grundsätzlich aber für alle Institutionen, die von Dateninhabern die Bereitstellung von Daten fordern (öffentliche Organisationen können dabei eine Doppelrolle annehmen: sowohl als Dateninhaber als auch als Datenempfänger)
- Anbieter von Datenverarbeitungsdiensten, unabhängig vom Ort ihrer Niederlassung, die Kunden in der EU aufweisen.
- Teilnehmer an Datenräumen
- Anbieter von Anwendungen, die intelligente Verträge verwenden.
- Personen, deren gewerbliche geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für andere umfasst.
→ Ein intelligenter Vertrag stellt eine Vereinbarung dar, die auf Blockchain-Technologie beruht und automatisch ausgeführt wird, wenn es zum Vertragsabschluss kommt.
Welche Vorgaben beinhaltet der Data Act?
Der Data Act beinhalte einen Pflichtenkatalog, der sowohl grundlegender als auch spezieller Natur ist. Das Ganze lässt sich beispielshaft veranschaulichen:
Eine der zentralen Pflichten formuliert der Data Act in Art. 3 Abs. 1, indem Dateninhaber unentgeltlichen Zugang zu Produktdaten und verbundenen Daten fortan ermöglichen müssen. Dies soll den „freien Datenverkehr“ fördern. Nur einen Absatz später schreibt das Datengesetz eine Informationspflicht vor, die vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt gegenüber dem Nutzer einzuhalten sei. Dies umfasst Angaben zu Art der Leistung, dem Format und speziell zum Umfang der Produktdaten (in Einklang mit Art. 13 und 14 DSGVO).
Darüber hinaus formuliert der Data Act folgende Rechte und Pflichten (Auswahl):
Recht der Nutzer auf Zugang zu den bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten sowie das Recht auf deren Nutzung (Art. 4 –„AGB-Klausel“) | Dieses Recht sorgt somit einerseits für die Stärkung der Zugänglichkeitsrechte des Nutzers, sowie für einen fairen Wettbewerb – d.h. es gelten Einschränkungen bei Geschäftsgeheimnissen und anderen sensiblen Daten. Folgen dieses Rechts sind notwendige Verträge zwischen Nutzern und Dateninhabern. |
Recht auf Datenweitergabe (Art. 5) | Dateninhaber müssen den Datenzugang auch Dritten gewähren, wenn dies Nutzer verlangen (Ergänzung Art. 20 DSGVO); ein Wechsel von cloudbasierten Datenverarbeitungsdiensten soll somit erleichtert werden. |
… | … |
Produktempfehlung
Weitere Einzelheiten und Handlungsempfehlungen finden Sie in dem Kurzüberblick zum Data Act (VO (EU) 2023/2854) im VORSCHRIFTENMONITOR. Jetzt informieren und rechtssicher agieren!
Auswirkungen auf Unternehmen und Verbraucher
Für Unternehmen, insbesondere für KMUs und Start-ups, bietet der Data Act die Chance, auf Datenbestände zuzugreifen, die bisher von großen Konzernen monopolisiert wurden. Dies könnte das Innovationspotenzial erheblich steigern und zu einem ausgewogeneren digitalen Markt führen.
Gleichzeitig unterliegen Kleinst- und Kleinunternehmen nicht den allgemeinen Verpflichtungen des Data Acts, heißt sie müssen Daten nicht zwangsweise teilen, es sei denn, sie haben Partnerunternehmen, die nicht als Kleinst- oder Kleinunternehmen gelten.
Verbraucher hingegen profitieren von einer erhöhten Transparenz und Kontrolle über ihre Daten. Die Möglichkeit, Dienstleister zu wechseln, ohne Datenverluste befürchten zu müssen, stärkt die Verbraucherrechte und fördert einen gesunden Wettbewerb. Auch bei der Ersatzteilversorgung oder Reparaturen können Verbraucher künftig auf alternative Drittanbieter zurückgreifen.
→ Data-Act-Verpflichtungen für Verbraucher existieren momentan noch keine.
Herausforderungen und Kritik: Data Act oder DSGVO – wer hat Vorrang?
Trotz der positiven Aspekte gibt es auch Bedenken hinsichtlich der Umsetzung des Data Act. Kritiker weisen auf die potenziellen Herausforderungen bei der Gewährleistung der Datensicherheit hin und befürchten, dass die zusätzlichen Regulierungen für mittelgroße Unternehmen belastend sein könnten. Zudem gibt es Bedenken bezüglich der Auswirkungen auf den internationalen Datenverkehr und die globalen Geschäftsbeziehungen.
Viele Unternehmen sehen die Einführung des Data Acts ebenfalls kritisch, da bislang eine „funktionierende Vertragsfreiheit“ im Datenaustausch möglich war und nun durch o.g. Nutzungsverträge verkompliziert werden könnte.
Da die meisten durch Nutzer erzeugten Daten gleichzeitig personenbezogene Daten darstellen, fallen sie uneingeschränkt unter die DSGVO. Speziell zum Verhältnis zwischen Data Act und DSGVO formuliert das Datengesetz den Satz, dass beide unabhängig des Anderen Gültigkeit besäßen. Käme es hingegen zu Widersprüchen, so haben Unionsrecht oder nationales Recht zum Schutz personenbezogener Daten Vorrang.
Der BDI kritisierte hingegen seit der ersten Lesung den „horizontal angelegten Regulierungsansatz“ für sämtliche IoT-Daten. Diese Pauschalisierung könnte vom Ansatz her dem heterogenen Feld nicht gerecht werden und würde nicht ausreichend individuelle Schutzmaßnahmen liefern (vgl. https://bdi.eu/artikel/news/eu-data-act-im-eiltempo-zur-neuen-datennutzungsregulierung ).
Fazit – ein Ausblick
Der Data Act markiert einen wichtigen Schritt in Richtung einer gerechten und offenen digitalen Wirtschaft in Europa – die Schaffung eines regulierten Datenbinnenmarktes ist dabei eine unweigerliche Folge des Datengesetzes. Durch die Stärkung der Datenhoheit von Verbrauchern und Unternehmen sowie die Förderung des fairen Wettbewerbs hat die EU die Möglichkeit, eine führende Rolle in der globalen digitalen Landschaft einzunehmen. Die erfolgreiche Umsetzung des Data Act wird jedoch von der Fähigkeit abhängen, die Balance zwischen Regulierung und Innovation zu wahren und die Interessen aller Beteiligten zu berücksichtigen.
Durch den Data Act soll, wie bereits erwähnt, das Effizienz- oder Wertschöpfungspotenzial von erhobenen Daten erhöht werden. Durch das gezielte Teilen von Datensätzen zwischen den Stakeholdern lässt sich dabei das größte Potenzial abschöpfen. Dennoch kommt für viele Unternehmen ein bürokratischer Mehraufwand hinzu. Falls die Implementierung jedoch reibungslos stattfinden sollte, könnte damit das Problem der unrechtmäßigen Datenübermittlungen behoben werden.
Quellen: Verordnung (EU) 2023/2854, „VORSCHRIFTENMONITOR“, EU-"Data Act": Was passiert mit den Daten der Geräte? | tagesschau.de, https://bdi.eu/artikel/news/eu-data-act-im-eiltempo-zur-neuen-datennutzungsregulierung