Der EU Data Act: Was auf Unternehmen zukommt
| | Editorial Team, SEEBURGER
Smarthome-Geräte wie Saugroboter und smarte Glühbirnen, aber auch Fitnesstracker sowie vernetzte Industrieanlagen: Nahezu jedes moderne Gerät sammelt inzwischen in irgendeiner Form Daten. Wer jedoch auf diese Daten zugreifen und sie nutzen darf, war bislang nicht klar geregelt. Hier schafft die Europäische Union nun einen bindenden rechtlichen Rahmen, der sowohl die Souveränität der Daten als auch den Schutz der Privatsphäre sicherstellen soll. Der Rechtsakt wurde am 22. Dezember 2023 im Amtsblatt der Europäischen Union verkündet und ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist von 20 Monaten wird er ab dem 12. September 2025 in EU-weit anzuwendendes Recht übergehen.1 In diesem Blogbeitrag erklären wir, was der Data Act ist, was er erreichen will und was auf betroffene Unternehmen zukommt.
Was ist der EU Data Act?
Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act, zu Deutsch auch Datengesetz) hat sich zum Ziel gesetzt, sowohl nicht-personenbezogene als auch personenbezogene Daten in verschiedenen Lebensbereichen besser nutzbar zu machen. Als „zweite Säule“ der europäischen Datenstrategie soll er das wirtschaftliche Potenzial rapide wachsender Datenmengen besser nutzbar machen. Als „erste Säule“ trat bereits im September 2023 der Data Governance Act in Kraft, der im ersten Schritt die Prozesse und Strukturen regelt, über die der Datenaustausch erfolgen soll. Im zweiten Schritt stellt der EU Data Act nun klar, wer mit diesen Daten Werte schaffen kann, und unter welchen Bedingungen. Durch die Verpflichtung zur Weitergabe der Nutzungsdaten sollen auch kleine Unternehmen die Möglichkeit erhalten, solche Daten zu nutzen und daraus neue Geschäftsmodelle zu entwickeln. Dabei soll die Datenweitergabe kostenlos sein und ohne Qualitätsverluste in Echtzeit sowie in maschinenlesbaren Standardformaten stattfinden. Nicht zuletzt unterstützt der EU Data Act auch das Ziel der Bundesregierung, durch wirtschaftlichere Datennutzung neue Geschäftsmodelle, Start-Ups und KMUs zu fördern.2
Was genau beinhaltet der EU Data Act?
Der EU Data Act stellt wichtige Regelungen im B2C-, B2B- und B2G-Bereich bereit, die die Datenweitergabe zwischen Unternehmen, Verbrauchern und im Ausnahmefall auch Regierungsbehörden betreffen. Er schafft einen neuen rechtlichen Rahmen für die Nutzung von (I)IoT-Daten, die beispielweise von Sport- und Fitnessgeräten, Apps, Haushaltsgeräten, Sprachassistenten oder vernetzten Fahrzeugen gesammelt und verarbeitet werden. Solche Daten sind einerseits für die Entwicklung innovativer Produkte, aber auch für das Training von KI-Algorithmen von besonderem Interesse und daher bares Geld wert.
Der EU Data Act im B2C-Bereich (Business-to-Customer)
Ein erheblicher Teil der gesammelten Daten stammt von smarten Geräten, die von Privatpersonen genutzt werden. Oft sind sich diese Nutzer gar nicht bewusst, dass und in welchem Umfang ihre Daten gesammelt und verarbeitet werden. Vor diesem Hintergrund befasst sich der EU Data Act auch mit der Frage, wer die Hoheit über die gesammelten Daten hat, und wie diese geschützt werden können. Hier hat der Gesetzgeber ganz klar im Sinne der Persönlichkeitsrechte der Bürgerinnen und Bürger entschieden: Jede Person soll stets die volle Kontrolle und Entscheidungsgewalt über ihre eigenen Daten behalten. Das gilt auch für anonymisierte Daten, die sich nicht eindeutig einer bestimmten Person zuordnen lassen. Zu diesem Zweck nimmt der Data Act explizit die Idee des Access by Design auf.
Daraus ergeben sich auch neue Verpflichtungen für die Unternehmen, die mit diesen Daten agieren:
So muss der Hersteller/Anbieter die Nutzer über den Datenzugang und die Möglichkeit zur Weitergabe der Nutzungsdaten informieren, und zwar schon bevor der Vertrag abgeschlossen wird. Außerdem haben die Nutzer jederzeit das Recht, Auskunft über die Art und den Umfang der Daten zu erhalten, die bei der Nutzung des Produktes erhoben werden. Darüber hinaus können sie auch erfragen, ob der Anbieter die gesammelten Daten selbst nutzt oder ob diese weitergegeben werden.
Der EU Data Act befasst sich jedoch nicht nur mit Neuverträgen, sondern regelt auch die Kündigungsfristen für bereits bestehende Nutzungsverträge neu. Das betrifft vor allem auch die Anbieter der Clouds, in denen die über IoT-Geräte erzeugten Daten gespeichert und verarbeitet werden. Nutzer haben nun das Recht, innerhalb von 30 Tagen ihre Verträge mit diesen Anbietern zu kündigen. Im Kündigungsfall muss der Cloudanbieter dafür Sorge tragen, dass die dadurch gegebenenfalls notwendige Datenübertragung an einen anderen Cloudanbieter sowohl in gängigen Standardformaten (siehe Artikel 26) erfolgt als auch den aktuellen Sicherheitsstandards entspricht (sog. Cloud-Switching). Nach der Umstellung ist der alte Anbieter zusätzlich verpflichtet, sämtliche gesammelten Daten und Metadaten zu löschen. Über die Löschung muss weiterhin ein Nachweis geführt werden. Für die Übermittlung der Nutzerdaten beim Anbieterwechsel dürfen außerdem nur reduzierte Entgelte verlangt werden.
Der EU Data Act im B2B-Bereich (Business-to-Business)
Doch auch bei der Datennutzung im B2B-Bereich, also zwischen Unternehmen, hat der Gesetzgeber nachgeschärft. Mit dem EU Data Act sind missbräuchliche Vertragsklauseln ab sofort gemäß Artikel 13 ausdrücklich verboten. Eine Klausel gilt dann als missbräuchlich, wenn sie erheblich von der „guten Geschäftspraxis“ abweicht und „gegen Treu und Glauben und den redlichen Geschäftsverkehr“ verstößt. Beispiele sind die Beschränkung der Haftung, der Ausschluss von Rechtsmitteln oder die Gewährung einseitiger Rechte. Verträge, die solche missbräuchlichen Klauseln enthalten, sind ungültig. Darüber hinaus will die EU-Kommission zu einem späteren Zeitpunkt zusätzlich Mustervertragsklauseln einführen, um die Vermeidung missbräuchlicher Klauseln zu erleichtern. Durch diese Regelung erhält der EU Data Act auch eine kartellrechtliche Komponente, die die Fairness auf dem Datenmarkt fördern soll.
Der EU Data Act im B2G-Bereich (Business-to-Government)
Im Normallfall tangiert der EU Data Act den B2G-Bereich nicht. Bei außergewöhnlichen Notwendigkeiten, die im öffentlichen Interesse liegen, oder Notfällen wie Naturkatastrophen oder Pandemien, können jedoch auch öffentliche Stellen und EU-Einrichtungen den Zugang zu den gesammelten Daten einfordern, sofern dies dem Allgemeinwohl dient. Erhält ein Unternehmen eine derartige Anfrage, ist es verpflichtet, Behörden und anderen öffentlichen Stellen die angeforderten Daten unverzüglich zur Verfügung stellen.
Welche Chancen bietet der EU Data Act für Unternehmen?
Im täglichen Leben generieren Unternehmen wie auch Privatpersonen enorme Mengen an Daten, deren Möglichkeiten bislang häufig nicht voll ausgeschöpft werden. Dabei haben diese Daten das Potenzial, bei der Gestaltung des digitalen Wandels eine entscheidende Rolle zu spielen. Große Unternehmen halten die mit ihren Geräten erzeugten Daten meist mit dem Argument, Betriebsgeheimnisse schützen zu müssen, geheim und können so vergütungsfrei weiter von den Daten profitieren, auch wenn die vernetzten Produkte gar nicht mehr in ihrem Besitz oder aktiv sind. Mega-Player wie Apple, Amazon und Google sitzen außerdem meist außerhalb der EU und haben kein Interesse daran, ihre Daten mit europäischen Unternehmen zu teilen, auch wenn die Daten in der EU gesammelt wurden. Hier setzt der EU Data Act an, indem er sich die gerechtere Verteilung der Fähigkeit zum digitalen Fortschritt auf die Fahnen schreibt. Die so entstehenden dezentralen Wertschöpfungsketten sollen helfen, neue Einnahmequellen und Geschäftsbereiche zu erschließen und nicht zuletzt auch Kleinst- und Kleinunternehmen ohne Marktmacht aber dafür mit einer breiten eigenen Nutzerbasis in die Lage zu versetzen, von solchen gesammelten Nutzerdaten zu profitieren. Sie können neue, bessere Produkte und Dienstleistungen entwickeln, die sich am tatsächlichen Nutzerverhalten der Kunden orientieren, unternehmensinterne Prozesse optimieren und die eigene Position durch genauere Marktanalyse verbessern.
Welche Unternehmen sind vom EU Data Act betroffen?
Der Data Act betrifft branchenunabhängig jedes Unternehmen, das vernetzte Nutzungsdaten erfasst und verarbeitet. Das gilt gleichermaßen für europäische wie auch für nicht-europäische Unternehmen, sofern diese in der EU tätig sind („Marktortprinzip“).
Bisher konnten Hersteller die Daten, die bei der Nutzung der von ihnen angebotenen (I)IoT-Geräte anfallen, exklusiv nutzen. Hier setzt der EU Data Act an, um diese wertvollen Daten einer breiteren Interessentengruppe zugänglich zu machen. In Zukunft sind Hersteller und Anbieter verpflichtet, die gesammelten Daten auch anderen Unternehmen zur Verfügung stellen. Dabei können die Nutzer der jeweiligen Geräte und Anwendungen selbst darüber bestimmen, wer Zugang zu ihren Daten erhalten soll. Das gilt auch für den Hersteller des verwendeten Gerätes: Hatte er bislang automatisch Zugriff auf die erhobenen Nutzungsdaten, darf er sie zukünftig nur noch dann für eigene Zwecke verwenden, wenn der jeweilige Nutzer dem ausdrücklich zugestimmt hat. So werden gleichzeitig auch die Rechte von Privatpersonen an ihren Daten gestärkt.
Von der Regelung ausgenommen sind lediglich Kleinst- und Kleinunternehmen, also Unternehmen mit weniger als 50 Angestellten und unter 10 Millionen Euro Jahresumsatz. Diese Ausnahme gilt allerdings nur, wenn die Kleinunternehmen keine Partner- oder sonstige verbundene Unternehmen haben, die dieses Größenkriterium übersteigen.
Risiken bei Nichteinhaltung
Unternehmen, die gegen die Auflagen des EU Data Act verstoßen und ihren Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommen, können mit Bußgeldern belegt werden. Wie auch bei der Datenschutzgrundverordnung (DSGVO) gilt dabei eine Höchstgrenze von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes (vorangegangenes Geschäftsjahr).
Was müssen Unternehmen tun, um den Anforderungen des Data Acts zu entsprechen?
Der EU Data Act wurde am 22. Dezember 2023 veröffentlicht und ist am 11. Januar 2024 in Kraft getreten. Als EU-Verordnung entfaltet der Data Act in den Mitgliedsstaaten unmittelbar Wirkung, ohne dass sie ihn zunächst eigenständig implementieren müssen. Die betroffenen Unternehmen haben jedoch bis September 2025 Zeit, die entsprechenden Prozessanpassungen intern umzusetzen. Angesichts der damit verbundenen technischen Anforderungen wie auch der Neugestaltung von Vertragswerken und Informationswegen ist das recht knapp bemessen. Betroffene Unternehmen sollten sich also frühzeitig informieren, um die Anforderungen des EU Data Acts rechtskonform und effizient umzusetzen.
Wie SEEBURGER Unternehmen bei der Umsetzung des Data Acts unterstützt
Im Rahmen des Data Acts müssen Unternehmen, wie beispielsweise Cloudanbieter, Daten an andere Unternehmen in einem strukturierten, gängigen und maschinenlesbaren Format (siehe Artikel 26) weitergeben – und das sicher, zuverlässig, hochqualitativ und ohne Zeitverzögerung. Eine Integrationsplattform wie die SEEBURGER BIS Plattform mit ihren Funktionen für API-Integration und API-Management bietet Vernetzung von Applikationen, Geschäftspartnern, Clouds und Daten in Echtzeit. SEEBURGER Konnektoren und Mappings binden Endpunkte schnell und unkompliziert an, während das flexible Prozessdesign die Optimierung von Daten- und Informationsflüssen zwischen Endpunkten aller Art ermöglicht. Schaffen Sie eine sichere digitale Basis für den reibungslosen Datenaustausch in Ihrem gesamten digitalen Ökosystem.
1 Quelle: EU verabschiedet Data Act, abgerufen am 16.02.2024.
2 Quelle: Nationale Datenstrategie der Bundesregierung – Weiterentwicklung
Vielen Dank für Ihre Nachricht
Wir freuen uns über Ihr Interesse an SEEBURGER
Haben Sie Fragen oder Anmerkungen?
Wir freuen uns hier über Ihre Nachricht.
Ein Beitrag von: Claudia Merklinger
Claudia hat Anglistik und Japanologie in Heidelberg und Tokyo studiert und ist im Marketing-Team von SEEBURGER für Blogs, Whitepaper, Social Media-Texte und alles, was mit Sprache zu tun hat, zuständig. Bevor sie 2022 zu SEEBURGER gewechselt ist, war sie als Leiterin eines Fachverlags tätig.
