Zurück zur Übersicht
23.11.2023Fachbeitrag

Update Datenschutz Nr. 158

Data Act (Update): EU-Parlament beschließt neues Datengesetz, welche Schritte müssen Unternehmen jetzt umsetzen?

Bereits im Juni dieses Jahres hatten sich EU-Parlament und EU-Rat auf eine gemeinsame Position zum Entwurf der neuen EU-Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung („Data Act“) geeinigt (wir hatten berichtet). Am 9. November 2023 erfolgte mit großer Mehrheit die formelle Verabschiedung des Entwurfes im EU-Parlament. Der verabschiedete Text des Entwurfes ist hier abrufbar. Nach Zustimmung des EU-Rates dürfte nun mit einem baldigen Inkrafttreten zu rechnen sein, allerdings mit einer Umsetzungsfrist bis 2025.

Wesentliche Inhalte des Data Act

Ziel des Data Act ist es, Anforderungen für die Nutzung und Wertschöpfung von Daten festzulegen, indem er den Nutzern vernetzter Produkte oder verbundener Dienst mehr Rechte einräumt und den Wettbewerb auf digitalen Märkten stärkt, insbesondere durch die Unterstützung von kleinen und mittleren Unternehmen.

Der Data Act definiert hierzu die Bedingungen für das Recht auf Zugang zu Nutzerdaten, die von vernetzten Produkten und verbundenen Diensten generiert werden. Der Verordnungsentwurf enthält auch Regelungen für Fälle, in denen öffentliche Stellen Zugang zu solchen Daten erhalten können. Auch bietet der Data Act Schutzmaßnahmen gegen die unrechtmäßige Nutzung durch Dritte, die Offenlegung von Geschäftsgeheimnissen und den Missbrauch von Vertragsklauseln der Anbieter vernetzter Produkte. Der Zugang von Regierungen aus internationalen Ländern und Drittländern zu nicht personenbezogenen Daten, die in der EU gespeichert sind, unterliegt hiernach Einschränkungen. Darüber hinaus legt der Data Act Interoperabilitätsstandards für Anbieter von Cloud- und anderen Datenverarbeitungsdiensten fest, um den Anbieterwechsel zu erleichtern. Bei Nichteinhaltung drohen Strafen, die von den EU-Ländern verhängt und durchgesetzt werden, mit Bußgeldern bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes.

Die überwiegende Anzahl der neuen Bestimmungen gelten für sog. „Dateninhaber“, in der Regel Hersteller von vernetzten Produkten (z. B. Smart-TV) und Anbieter verbundener Dienste (z. B. cloudbasierte Smart-TV-Plattformen). Der Data Act wird über die Grenzen der EU hinaus von Bedeutung sein. Er betrifft insoweit auch ausländische Hersteller von vernetzten Produkten und Anbieter von vernetzten Diensten, die ihre Produkte in der EU verkaufen.

Wichtige Umsetzungsschritte

Unternehmen sollten sich rechtzeitig auf die Umsetzung der neuen Maßnahmen vorbereiten, auch wenn die gesetzlichen Vorgaben des Data Act wohl erst im Jahr 2025 final umgesetzt sein müssen. Die nachfolgenden Schritte sind hervorzuheben:

  • Produktdesign: Vernetzte Produkte oder verbundene Dienste müssen so gestaltet und bereitgestellt werden, dass die Nutzerdaten (einschließlich Metadaten) entweder per Datenzugriff oder notfalls per elektronischer Übermittlung einfach und schnell zur Verfügung gestellt werden können.
  • Datenweitergabe an Dritte: Auf Anfrage eines Nutzers muss der Hersteller vernetzter Produkte oder verbundener Dienste die obigen Nutzerdaten auch an einen Dritten (beispielsweise bei einem Produktwechsel an ein Konkurrenzunternehmen) weitergeben.
  • Datenaustausch mit öffentlichen Stellen: Die Hersteller müssen die Nutzerdaten in außergewöhnlichen Fällen an öffentliche Einrichtungen weitergeben, etwa in Notfallsituation wie Waldbränden oder Hochwasser, wenn die Nutzerdaten zur effektiven Gefahrbegegnung benötigt werden.
  • Informationspflichten: Vor Abschluss eines Vertrags über den Kauf, die Miete oder das Leasing eines vernetzten Produktes oder Inanspruchnahmen eines verbundenen Dienstes muss der Hersteller dem Nutzer bestimmte Informationen in einem klaren und verständlichen Format zur Verfügung stellen.
  • Missbräuchliche Vertragsklauseln: Der Verordnungsentwurf verbietet missbräuchliche Vertragsklauseln, um den Missbrauch von Vertragsungleichgewichten in B2B-Beziehungen zu verhindern.
  • Interoperabilität: Bei einem Anbieterwechsel von Cloud- oder Datendiensten legt der neue Data Act Interoperabilitätsspezifikationen fest, um die technische Übermittlung der notwendigen Nutzerdaten zu gewährleisten.

Datenschutz

Datenschutzrechtlich tritt der neue Data Act neben die DSGVO. Während die DSGVO allerdings nur den Umgang mit personenbezogenen Daten regelt, gilt der Data Act auch für nicht-personenbezogene Daten. Überschneidungen sind insbesondere beim Recht auf Auskunft und Herausgabe einer Datenkopie (Art. 15 DSGVO) sowie dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) gegeben. Es gilt der Grundsatz, dass die DSGVO bei personenbezogenen Daten Vorrang besitzt.

Fazit

Der Data Act bietet kleineren und mittleren Unternehmen die Gelegenheit, an Nutzerdaten großer (internationaler) Hersteller von vernetzten Produkten und verbundenen Diensten zu gelangen, allerdings stets nur nach Beauftragung durch den jeweiligen Nutzer. Interessant wird diese Möglichkeit etwa für Autowerkstätten, die von den großen Autoherstellern im Auftrag ihrer Kunden wichtige IoT-Datenbestände herausverlangen können.

Auf Hersteller solcher vernetzten Produkte oder verbundenen Dienste kommen dagegen umfassende, technische und organisatorische Umstellungsmaßnahmen zu, denn diese müssen u. a. schon bald – bestenfalls vollautomatisch und unter Verwendung von Schnittstellen – die Produktdaten und verbundene Dienstdaten ihrer Nutzer einfach, sicher, unentgeltlich sowie in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format herausgeben können.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg

Weitere Artikel

25.04.2024
Europäische Kommission verstößt gegen DSGVO – Wiederaufleben der Debatte um die Nutzung von Microsoft 365?
23.04.2024
Aktuelles zum Spannungsfeld zwischen Design- und Urheberschutz
27.03.2024
Die Umsetzung der NIS2-Richtlinie in Deutschland: Herausforderung bei der Bestimmung des Anwendungsbereichs bei Konzernen
20.03.2024
Achtung Online-Marketer: Neues EuGH-Urteil zum IAB TCF
13.03.2024
EU-Digitalrecht: Formelle Einigung im EU-Parlament zur KI-Verordnung, zum Cyber Resilience Act und zum European Media Freedom Act
06.03.2024
Neues OLG-Urteil: Unterliegt die private E-Mail-Nutzung dem Fernmeldegeheimnis?
28.02.2024
Änderungen im BDSG und TTDSG – Was sich ändert und worauf insbesondere Unternehmen zu achten haben
27.02.2024
Online-Coaching und das Fernunterrichtsschutzgesetz – 180-Grad Wende der Rechtsprechung
21.02.2024
Offenlegung der Identität des Bewerters bei Kununu
09.02.2024
Verdeckte Kontrollen als Datenschutzverstoß im Kündigungsschutzprozess
07.02.2024
Aktuelles zu Auskunftsansprüchen gegen Plattformen nach DSA & TTDSG
01.02.2024
Endlich mehr Kohle! – Neue Rechtsprechung zum Schadensersatz bei Patentverletzungen

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.