Data Act: die wich­tigs­ten Fra­gen zum neu­en Daten­ge­setz der EU

Mit ihrem Vor­schlag für einen Data Act (zu Deutsch: Daten­ge­setz) (PDF) plant die EU-Kommission umfas­sen­de Regeln für eine fai­re und inno­va­ti­ve Daten­wirt­schaft. Hier­zu soll die geplan­te EU-Verordnung ins­be­son­de­re fest­le­gen, wer in der EU erzeug­te nicht per­so­nen­be­zo­ge­ne Daten wirt­schaft­lich nut­zen darf und dar­auf Zugriff hat. Als Bau­stein des neu­en Daten- und Cyber­si­cher­heits­rechts der EU wird der Data Act enor­me Aus­wir­kun­gen auf die wirt­schaft­li­che Nut­zung von Daten durch Unter­neh­men haben. Wir möch­ten Sie daher schon jetzt über die wich­tigs­ten Fra­gen und Ant­wor­ten im Zusam­men­hang mit dem Data Act informieren.

Was regelt der Data Act?

Der Data Act soll bran­chen­über­grei­fend gel­ten und für eine gerech­te­re Ver­tei­lung der Wert­schöp­fung bei der Ver­wer­tung von nicht per­so­nen­be­zo­ge­nen Daten sor­gen. Hier­zu sol­len ins­be­son­de­re Zugriffs­mög­lich­kei­ten für Daten geschaf­fen wer­den, die bis­her aus­schließ­lich weni­gen Akteu­ren vor­be­hal­ten waren. Kon­kre­te Vor­ga­ben ent­hält der Data Act daher ins­be­son­de­re für Her­stel­ler und Pro­duk­ten und für Erbrin­ger von damit in Ver­bin­dung ste­hen­den Dienst­leis­tun­gen. Die­se sol­len zukünf­tig dazu ver­pflich­tet sein, Daten, die durch die Nut­zung der Pro­duk­te oder der damit ver­bun­de­nen Diens­te ent­ste­hen, in grö­ße­rem Umfang als bis­her zugäng­lich zu machen. Hier­zu sieht der Data Act ins­be­son­de­re ein Recht der pri­va­ten wie gewerb­li­chen Nut­zer auf Zugang zu Daten, die durch die Nut­zung von Pro­duk­ten oder damit ver­bun­de­nen Diens­ten ent­ste­hen, sowie das Recht, die­se wei­ter­zu­ge­ben, vor. Vor die­sem Hin­ter­grund sind auch die getrof­fe­nen Rege­lun­gen zur Inter­ope­ra­bi­li­tät zu ver­ste­hen. Wegen des brei­ten Anwen­dungs­be­reichs wird jedes Unter­neh­men in Euro­pa auf die eine oder ande­re Wei­se mit dem Data Act in Berüh­rung kom­men. Für die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten durch Her­stel­ler von Pro­duk­ten und Anbie­ter von Diens­ten sowie das Recht auf Aus­kunft über per­so­nen­be­zo­ge­ne Daten gilt wei­ter­hin die Datenschutz-Grundverordnung (DSGVO).

Wel­che Her­aus­for­de­run­gen bestehen für Unternehmen?

Die EU-Kommission hat die wirt­schaft­li­che Bedeu­tung von Daten in einer zuneh­mend digi­ta­li­sier­ten Welt erkannt und möch­te den fai­ren Umgang mit Daten gesetz­lich regeln. Dies ist aus unse­rer Sicht grund­sätz­lich begrü­ßens­wert, stellt Unter­neh­men jedoch gleich­zei­tig vor gro­ße Her­aus­for­de­run­gen. Eini­ge Rege­lun­gen grei­fen näm­lich sehr stark in den noch jun­gen und sich gera­de erst ent­wi­ckeln­den Markt für Daten ein, ohne dass dies zwin­gend erfor­der­lich scheint. Ein Bei­spiel hier­für ist Kapi­tel 4 des Ent­wurfs, das sehr stark in die Ver­trags­frei­heit zwi­schen Unter­neh­men ein­greift und bestimm­te Rege­lun­gen zum Zugriff auf Daten und zu deren Nut­zung als miss­bräuch­li­che Klau­seln ver­bie­ten will. Ähn­lich wie beim Vor­schlag für eine KI-Verordnung wären jedoch mehr Fle­xi­bi­li­tät und mehr Frei­räu­me für die Ent­wick­lung von Märk­ten und Tech­no­lo­gien wün­schens­wert. Auch die Rege­lun­gen zum inter­na­tio­na­len Aus­tausch nicht per­so­nen­be­zo­ge­ner Daten schei­nen über­trie­ben. Unter­neh­men haben der­zeit bereits gewal­ti­ge Her­aus­for­de­run­gen beim inter­na­tio­na­len Aus­tausch von per­so­nen­be­zo­ge­nen Daten zu meis­tern, wie die Debat­ten um die „Schrems II“-Entscheidung des EuGH und das EU-US Pri­va­cy Shield zei­gen. In die­ser Situa­ti­on zusätz­lich den inter­na­tio­na­len Trans­fer von nicht per­so­nen­be­zo­ge­nen Daten zu erschwe­ren, ist pro­ble­ma­tisch und mit Blick auf die Zie­le des Data Act nicht erfor­der­lich. Da Daten­ver­ar­bei­tungs­strö­me schon heu­te sehr kom­plex sind, droht dar­über hin­aus ein Cha­os bei der Klä­rung der Ver­ant­wort­lich­kei­ten und der Umset­zung des Data Act in der Pra­xis. Die im aktu­el­len Vor­schlag ent­hal­te­ne holz­schnitt­ar­ti­ge Betrach­tung, bei der es nur eine daten­hal­ten­de Stel­le zu geben scheint, die zugleich das Pro­dukt ver­ant­wor­tet, trägt dem noch nicht aus­rei­chend Rechnung.

Wie geht es wei­ter und was soll­ten Unter­neh­men schon jetzt tun?

Der Vor­schlag der EU-Kommission für einen Data Act wird nun im Rah­men der Trilog-Verhandlungen zwi­schen der EU-Kommission, dem EU-Ministerrat und dem EU-Parlament wei­ter­dis­ku­tiert und bera­ten wer­den. Hier­bei dürf­te es zu wei­te­ren Ände­run­gen kom­men, die hof­fent­lich auch die genann­ten Män­gel behe­ben. Klar ist jedoch schon heu­te, dass es neue Spiel­re­geln für die wirt­schaft­li­che Nut­zung von nicht per­so­nen­be­zo­ge­nen Daten geben wird. Ent­spre­chen­de Anfor­de­run­gen, etwa an die Über­trag­bar­keit von Daten, soll­ten daher von Unter­neh­men berück­sich­tigt und im Rah­men des Compliance-Management-Systems ent­spre­chen­de Pro­zes­se zur grund­le­gen­den Umset­zung der Anfor­de­run­gen in Pro­duk­ten und Dienst­leis­tun­gen eva­lu­iert wer­den. Die­je­ni­gen Unter­neh­men, die bis­her kei­nen Zugang zu Daten haben, soll­ten dar­über hin­aus bereits jetzt prü­fen, wel­che Daten sie auf Basis des Data Act zukünf­tig erhal­ten kön­nen und wel­che wirt­schaft­li­chen Chan­cen sich dar­aus ergeben.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.