Datenschutz und Cybersecurity

Europäisches Parlament bringt EU Data Act auf den Weg

Verfasst von

Dr. Jan-Peter Ohrtmann

Gestern, am 9. November 2023, wurde der Verordnungstext zum EU Data Act durch das Europäische Parlament in erster Lesung verabschiedet. Der EU Data Act ist Teil der EU Digitalstrategie (siehe hier) und geht auf einen Entwurf der Europäischen Kommission von Februar 2022 zurück. Seither haben kontroverse Debatten und langwierige Abstimmungen mit dem Europäischen Rat und anderen Beteiligten stattgefunden (zum Gang des Gesetzgebungsverfahrens siehe hier).

Der Data Act im Überblick

Mit dem Data Act sollen gesetzliche, wirtschaftliche und technische Hemmnisse für die Datenökonomie reduziert werden. Der Zugang zu und die Weitergabe von Daten, die bei der Nutzung vernetzter Produkte und diesbezüglicher Dienstleistungen entstehen, sollen vereinfacht werden. Ziel ist es, dass nicht mehr – wie bislang – in der Regel Hersteller oder sonstige Anbieter vernetzter Produkte auf die durch diese Produkte erzeugten Daten vergütungsfrei zugreifen können, wenn diese vernetzten Produkte nicht mehr in ihrem Besitz sind. Vielmehr sollen künftig die befugten Nutzer der vernetzten Produkte selbst über die Verwendung der durch sie erzeugten Daten entscheiden können. Derartige Daten sollen auf Marktplätzen bereitgestellt und gehandelt werden können. Die branchenübergreifende, horizontale Regulierung des Data Act ergänzt bestehende und künftige vertikale, sektorspezifische Regulierungen zur Datennutzung.

Einzelne Aspekte des Data Acts

  • Hersteller sind verpflichtet, vernetzte Produkte so herzustellen, dass die durch sie vom Nutzer erzeugten Daten standardmäßig unmittelbar zugänglich sind. Damit sind Schnittstellen und Download-Möglichkeiten standardmäßig einzubauen.
  • Hersteller und Anbieter müssen Nutzer über die Datenverarbeitung informieren.
  • Nutzer können entscheiden, ob sie die durch die vernetzten Produkte und verbundenen Dienstleistungen erzeugten Daten selbst erhalten oder Dritten zugänglich machen wollen. In der Praxis sollen damit Anbieter nachgelagerter Dienstleistungen wie beispielsweise Wartungsleistungen in die Lage versetzt werden, derartige Leistungen auch zu erbringen.
  • Jegliche Nutzung der durch den Nutzer erzeugten Daten bedarf seiner Zustimmung.
  • Die vertraglichen Regelungen über den Datenzugang und die Datennutzung unterliegen einer Angemessenheits- und Missbrauchskontrolle, ähnlich wie im AGB-Recht.
  • Der Data Act sieht Regeln vor, die den Wechsel von einem IT-Dienstleister, der die Daten speichert, zu einem anderen möglichst erleichtern sollen (sog. „Cloud Switching“). Außerdem sind Regelungen zur Interoperabilität vorgesehen.
    Datenschutzrechtliche Regel

Praxisrelevanz

Durch die neue Regulierung haben Nutzer von sog. „Internet of Things“ (IoT) Produkten und Services – von KMU bis zu großen Industriekonzernen – künftig die Möglichkeit, durch die Vermarktung der bei ihnen anfallenden Daten neue Einnahmequellen und Geschäftsbereiche zu erschließen. Hierdurch entstehen neue dezentrale Wertschöpfungsketten, die auch Geschäftschancen für die bereits im Data Governance Act adressierten Datenbroker, Aggregatoren, Intermediäre und Treuhänder bieten. In welchen Bereichen diese Märkte entstehen, deutet sich aktuell erst ansatzweise an.

Ausblick

Es wird davon ausgegangen, dass der Data Act – nach der Bestätigung im Europäischen Rat – im ersten Quartal 2024 in Kraft tritt. Er sieht eine 20-monatige Übergangsfrist vor bevor die Regelungen wirksam werden. Hersteller haben bezüglich ihrer Pflichten sogar eine Übergangsfrist von weiteren 12 Monaten.

Unternehmen tun gut daran, sich mit den Auswirkungen und Potenzialen der neuen Regulierung jetzt auseinander zu setzen. Der erste Schritt dafür ist es, in einer Betroffenheitsanalyse festzustellen, in welchen Geschäftsbereichen jetzt schon vernetzte Produkte und damit verbundene Dienstleistungen am Markt angeboten werden oder auf Basis derartige Daten künftige Leistungen angeboten können.