Aus aller Welt

Pflichten aus dem EU Data Act: Was kommt auf Unternehmen zu?

RedaktionBy
0
Pflichten aus dem EU Data Act: Was kommt auf Unternehmen zu?
Foto von Tetiana SHYSHKINA auf Unsplash

Der EU Data Act hat die klare Botschaft, dass Daten nicht länger allein dem Hersteller oder Anbieter eines Produkts gehören, sondern sollen auch jenen offenstehen, die das Produkt nutzen. Am 11. Januar 2024 trat die Verordnung in Kraft, ab dem 12. September 2025 entfaltet sie ihre volle Wirkung.

Die Übergangsfrist ist also nicht lang und schon bald wird spürbar, dass ein neues Kapitel in der europäischen Datenwirtschaft aufgeschlagen wird. Der Data Act ist dabei keine trockene Fußnote im Amtsblatt, sondern ein Rechtsrahmen, der Unternehmen zu echten Veränderungen zwingt und gleichzeitig ungeahnte Chancen eröffnet.

Ab wann gilt der EU Data Act verbindlich und welche Unternehmen sind betroffen?

Verabschiedet wurde der Data Act im Jahr 2023, seit Anfang 2024 ist er formell gültig, doch seine Pflichten greifen erst nach einer Übergangszeit von 20 Monaten. Ab dem 12. September 2025 wird es ernst. Anders als viele Richtlinien ist der Data Act eine Verordnung, das heißt, er gilt unmittelbar und muss nicht erst in nationales Recht umgesetzt werden.

Von den neuen Regeln erfasst sind im Prinzip alle Unternehmen, die Daten verarbeiten und innerhalb der EU tätig sind. Besonders im Fokus stehen Hersteller vernetzter Produkte, Anbieter digitaler Dienste wie Cloud-Plattformen oder Software-as-a-Service-Lösungen sowie Datenintermediäre. Damit ist der Anwendungsbereich breit gesteckt.

Für Kleinst- und Kleinunternehmen gibt es zwar Ausnahmen, diese greifen jedoch nur unter engen Voraussetzungen, beispielsweise wenn weniger als 50 Mitarbeiter beschäftigt sind und der Jahresumsatz unter 10 Millionen Euro liegt. Für alle anderen heißt es, dass die Uhr tickt.

Bestimmte Branchen stehen traditionell stärker im Rampenlicht, wenn es um Datennutzung und Transparenz geht. Dazu gehört auch der Glücksspielsektor, in dem Themen wie Verifizierung, Identitätsprüfung und Datenzugang eine wichtige Rolle spielen. Angebote wie auf https://www.cardplayer.com/de/casinos/ohne-verifizierung aufgeführt, verdeutlichen, dass es hier unterschiedliche Ansätze gibt, wie mit Nutzerdaten umgegangen wird. Der Data Act kann in solchen Bereichen zusätzliche Klarheit schaffen und dafür sorgen, dass Standards im Umgang mit Daten einheitlicher und nachvollziehbarer werden.

Welche Daten sind gemeint?

Der Data Act beschäftigt sich vor allem mit Maschinendaten, die durch die Nutzung vernetzter Geräte oder digitaler Dienste entstehen. Dabei geht es um Informationen, die Sensoren, Maschinen oder Fahrzeuge im laufenden Betrieb erzeugen. Es sind Daten, die oft im Verborgenen schlummern und bislang selten in die Hände der Nutzer gelangen.

Nicht verwechselt werden darf dies mit personenbezogenen Daten. Für diese gilt weiterhin ausschließlich die DSGVO, mit all ihren Einwilligungsanforderungen und Verarbeitungsgrundlagen. Der Data Act setzt also einen eigenen Rahmen und ergänzt die bestehenden Datenschutzvorgaben, er ersetzt sie nicht.

Mehr Rechte für Nutzer

Die Kernidee des Data Act ist simpel und zugleich revolutionär. Nutzer vernetzter Produkte haben künftig einen Anspruch darauf, die von ihren Geräten erzeugten Daten einzusehen. Das muss in einem gängigen, maschinenlesbaren Format und unentgeltlich erfolgen.

Darüber hinaus können die Daten nicht nur abgerufen, sondern auch an Dritte weitergegeben werden. Ein Landwirt etwa, dessen Traktor während des Einsatzes umfangreiche Sensordaten sammelt, kann diese Daten künftig einem unabhängigen Reparaturbetrieb zur Verfügung stellen, ohne auf den Hersteller angewiesen zu sein. Das schafft mehr Wettbewerb und neue Geschäftsmodelle.

Neue Pflichten für Hersteller und Anbieter im Umgang mit Daten

Für Unternehmen bedeutet das, sie müssen technische und organisatorische Strukturen schaffen, um den Datenzugang zu ermöglichen. Schnittstellen müssen eingerichtet und Prozesse für die sichere Übermittlung etabliert werden. Auch auf vertraglicher Ebene entsteht Handlungsdruck. Unfaire Klauseln, die den Datenzugang einschränken oder über Gebühr erschweren, sind unzulässig. Zudem verpflichtet der Data Act Unternehmen dazu, schon vor Vertragsabschluss offen zu legen, welche Daten generiert werden, in welchem Umfang diese verfügbar sind, in welchem Format sie bereitgestellt werden und unter welchen Bedingungen sie genutzt werden können. Fairness und Angemessenheit in Vertragsbeziehungen werden damit rechtlich eingefordert.

Das Vertragsmanagement bekommt durch den Data Act ein neues Gewicht. Neben den üblichen Produkt- oder Dienstleistungsverträgen braucht es künftig auch klare Vereinbarungen über den Umgang mit Daten.

Diese sogenannten Datennutzungsverträge regeln, wer auf welche Informationen zugreifen darf und wie sie weitergegeben werden können. Die EU-Kommission liefert zwar Standardvertragsklauseln als Vorlage, doch jedes Unternehmen muss prüfen, ob die eigenen Verträge dazu passen. Wer hier nicht rechtzeitig nachjustiert, riskiert Streitigkeiten und Kosten, die sich leicht vermeiden ließen.

Cloud-Portabilität und das Ende von Vendor Lock-in

Ein besonders brisanter Teil des Data Act betrifft die Cloud. Der Wechsel von einem Anbieter zum anderen soll künftig deutlich einfacher werden. Vertragsklauseln oder technische Hürden, die einen Wechsel verhindern, sind unzulässig. Anbieter müssen aktiv dabei helfen, dass ein Umzug gelingt. Die Vorgaben sind konkret, so müssen Daten innerhalb von maximal 30 Tagen portiert werden können. Bis Januar 2027 dürfen Anbieter für diesen Service noch Gebühren verlangen, danach soll der Wechsel vollständig kostenlos sein.

Parallel dazu entsteht eine Pflicht zur Transparenz. Anbieter müssen ihre Schnittstellen offenlegen und die Strukturen ihrer Daten so dokumentieren, dass ein reibungsloser Transfer möglich ist. Damit geht der Data Act frontal gegen das gefürchtete Vendor Lock-in vor, das Unternehmen bislang oft an einen Anbieter fesselte.

Sanktionen, Risiken und nationale Aufsicht

Was passiert, wenn Unternehmen ihre Pflichten ignorieren? Auch hier hat der Gesetzgeber klare Antworten vorgesehen. Verstöße können mit empfindlichen Geldbußen geahndet werden, die in Deutschland bei bis zu 5 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes liegen. In anderen Mitgliedstaaten sind vergleichbare oder sogar strengere Regeln vorgesehen.

Für die Durchsetzung sind nationale Behörden verantwortlich, in Deutschland dürfte die Bundesnetzagentur eine Schlüsselrolle übernehmen. Daneben können Nutzer ihre Rechte auch privatrechtlich geltend machen. Wer also Daten vorenthält oder nur halbherzig bereitstellt, riskiert nicht nur Sanktionen durch die Aufsicht, sondern auch langwierige Auseinandersetzungen mit Geschäftspartnern.

Schritte zur Umsetzung im Unternehmen

Theorie und Rechtsnormen der Politik sind das eine, die konkrete Umsetzung im Betrieb das andere. Damit der Data Act nicht zum Stolperstein wird, müssen Unternehmen rechtzeitig die Weichen stellen. Am Anfang steht eine Bestandsaufnahme. Welche Daten entstehen überhaupt im eigenen Haus, wer hat Zugriff und wie werden sie bislang genutzt? Erst mit diesem Überblick lässt sich eine Strategie entwickeln. Parallel dazu sollten bestehende Verträge auf den Prüfstand. Enthalten sie problematische Klauseln, die nach dem 12. September 2025 unwirksam werden könnten? Wo fehlen Regelungen, die nach dem Data Act zwingend erforderlich sind?

Redaktion
Senden Sie uns Ihren Beitrag oder Veranstaltungshinweis mit Klick auf den Button gerne zu.

Rückmeldung an den Autor?

Fehler entdeckt? Feedback? Jederzeit gerne per Mail oder telefonisch.

Das könnte Sie auch interessieren

Mehr zu Aus aller Welt