Der EU Data Act

Die digitale Wirtschaft hat sich in den letzten Jahren rasant entwickelt. Daten sind heute eine der wertvollsten Ressourcen, sowohl für Unternehmen als auch für öffentliche Institutionen. Mit dem Data Act sollen die Zugangs- und Nutzungsrechte für Daten klar geregelt werden.

Doch was genau regelt dieses Gesetz, wer ist betroffen und wie hat sich die Gesetzgebung entwickelt? In diesem ersten Teil unserer Newsletter-Serie zum Thema Data Act geben wir einen Überblick über die Entstehungsgeschichte und den Anwendungsbereich des Data Act.

Die Verordnung (EU) 2023/2854, besser als Data Act bekannt, wurde am 22. Dezember 2023 im Amtsblatt der Europäischen Union veröffentlicht und trat am 11. Januar 2024 in Kraft. Nach einer Übergangsfrist von 20 Monaten wird er ab dem 12. September 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar sein.

In den letzten Jahren hat die EU verschiedene Maßnahmen ergriffen, um eine ausgewogene Datenökonomie zu schaffen. Dazu gehören unter anderem:

Datenrecht:

• Open Data and Public Sector Information Directive (PSI -RL]
• Data Governance Act (DGA)
• Digital Services Act (DSA)
• Digital Markets Act (DMA)
• Data Act (DA)
• Artificial Intelligence Act (AIA)
• E-Evidence Paket
• European Health Date Space (EHDS)

IT-Sicherheit:

• Cybersecurity Act
• NIS-2 RL
• Richtlinie (EU) 2022/255 über die Resilienz kritischer Einrichtungen (CER)
• Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA)
• Cyber Resilience Act (CRA)
• RL 2024/2853 -Produkthaftungsrichtlinie
• Cyber Solidarity Act

Der Data Act verfolgt das Ziel, den Zugang zu Daten zu erleichtern, insbesondere für Unternehmen, Verbraucher und den öffentlichen Sektor. Gleichzeitig soll er Innovationen fördern und faire Wettbewerbsbedingungen schaffen und die Datenweitergabe erleichtern.

Der Data Act hat eine weite Reichweite und betrifft verschiedene Akteure in der Wirtschaft. Im Wesentlichen regelt er, wer Daten aus vernetzten Geräten und Diensten bereitstellen muss, wer diese Daten nutzen kann und unter welchen Bedingungen dies geschieht. Folgende Gruppen sind besonders betroffen:

1. Unternehmen, die vernetzte Produkte und digitale Dienste anbieten
   Hersteller von IoT-Geräten (Internet of Things), wie Smart-Home-Systeme, vernetzte Fahrzeuge oder industrielle Maschinen, müssen sicherstellen, dass Nutzer – ob Privatpersonen oder Unternehmen – Zugang zu den von ihren Geräten generierten Daten haben. Das bedeutet, dass Daten nicht mehr ausschließlich beim Hersteller bleiben, sondern für die Kunden nutzbar sein müssen.
2. Unternehmen, die Daten von Dritten benötigen
   Viele Firmen sind darauf angewiesen, Daten aus verschiedenen Quellen zu nutzen – sei es für Forschung, Entwicklung neuer Produkte oder zur Optimierung von Dienstleistungen. Der Data Act erleichtert den Zugriff auf Daten, indem er die Bedingungen für die gemeinsame Nutzung klar definiert.
3. Verbraucher und Unternehmen als Datennutzer
   Ein zentrales Anliegen das Data Act ist es, die Rechte derjenigen zu stärken, die Daten generieren. Das bedeutet, dass sowohl Verbraucher als auch Unternehmen, die vernetzte Geräte nutzen, Zugriffsrechte auf ihre Daten erhalten. Sie können diese Daten für eigene Zwecke nutzen, den Anbieter leichter wechseln oder Daten an Dritte weitergeben, beispielsweise für Reparaturen oder bessere Serviceangebote.
4. Öffentliche Institutionen
   Behörden und öffentliche Institutionen können durch den Data Act Zugangsrechte zu privat gehaltenen Daten erhalten, wenn dies für das Gemeinwohl erforderlich ist, etwa in Krisensituationen oder bei Naturkatastrophen. Allerdings sind hier strengere Regeln vorgesehen, um den Schutz sensibler Informationen zu gewährleisten.
5. Cloud-Anbieter und Data-Sharing Dienstleister
   Auch Anbieter von Cloud-Diensten müssen sich an neue Vorgaben halten. Der Data Act enthält Regelungen, die die Datenportabilität erleichtern sollen, sodass Unternehmen einfacher zwischen verschiedenen Cloud-Diensten wechseln können.

Mit dem Inkrafttreten des Data Act müssen sich viele Unternehmen auf neue Verpflichtungen und Anpassung ihrer Geschäftsmodelle einstellen. Insbesondere Hersteller vernetzter Produkte müssen technische Lösungen schaffen, um Nutzern den Zugriff auf ihre Daten zu ermöglichen. Gleichzeitig eröffnet der Data Act neue Marktchancen, da die gemeinsame Nutzung von Daten neue Innovationen und Geschäftsmodelle begünstigt.

Für Verbraucher bedeutet der Data Act vor allem mehr Kontrolle über ihre Daten. Wer ein smartes Gerät nutzt, kann künftig entscheiden, ob und wie er die erzeugten Daten weiterverwenden möchte. Das könnte etwa bedeuten, dass ein Autobesitzer die von seinem Fahrzeug gesammelten Daten an eine alternative Werkstatt weitergibt, um nicht an eine bestimmte Werkstatt gebunden zu sein.

Der Data Act ist ein bedeutender Schritt in der europäischen Datenstrategie und verfolgt das Ziel, einen fairen und wettbewerbsfähigen Datenmarkt zu schaffen. Unternehmen müssen sich frühzeitig mit den neuen Regelungen auseinandersetzen, um rechtzeitig Anpassungen vorzunehmen. Gleichzeitig bietet der Data Act zahlreiche Chancen – sowohl für Verbraucher als auch für Unternehmen, die innovative Geschäftsmodelle rund um die Datennutzung entwickeln möchten.

In den kommenden Teilen unserer Newsletter-Serie werden wir uns intensiv mit spezifischen Themen rund um den Data Act beschäftigen. Unter anderem werden wir die Auswirkungen auf das Spannungsfeld mit dem Schutz von Geschäftsgeheimnissen, dem Datenschutz und den Europäische Gesundheitsdatenraum beleuchten.

Autorin: Cansu Muti (Data Privacy Consultant)