Seien Sie anders als die Anderen! Ihre Daten gehören Ihnen! Lassen Sie uns gemeinsam mit einem kostenfreien Erstgespräch starten! Gern sind wir Ihr Ansprechpartner, Berater oder Dienstleister zum Thema Datenschutz und Datensicherheit in Dresden und Radebeul, Sachsen sowie Europa. Bestellen Sie uns als externe Datenschutzbeauftragte oder Konzerndatenschutzbeauftragte.
Übersicht der Inhalte des Data Act der EU
Übersicht der Inhalte des Data Act der EU
In dieser Übersicht möchte ich die wesentlichen Inhalte der „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) der EU beschreiben.
Der Data Act wurde am 22.12.2023 im EU-Amtsblatt veröffentlicht und ist am 11.01.2024 in Kraft getreten. Nach einer grundsätzlichen Übergangsfrist bis zum 12.09.2025 wird der Data Act zu direkt anwendbarem Recht.
Warum brauchen wir den Data Act?
Mit der steigenden Digitalisierung, besonders auch im Privatrechtsverkehr, entstehen immer größere und qualitativ nutzbarere Datenmengen.
Der Gesetzgeber sieht sich in der Verantwortung, darauf zu reagieren. In Erwägungsgrund 4 dieser Verordnung heißt es: „Um den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und die Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten zu beseitigen, muss ein harmonisierter Rahmen geschaffen werden, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, Produktdaten oder verbundene Dienstdaten zu nutzen.“
Für diesen „harmonisierten Rahmen“ soll im Ergebnis der Data Act sorgen.
Kurz gesagt sind Regelungsinhalte des Data Act der Zugriff auf Daten, sowie die Nutzung, Weitergabe und Bereitstellung von Daten. Des Weiteren werden Bedingungen für die Nutzung von Daten gesetzt und auch vertragsrechtliche Vorschriften bezüglich des Datenverkehres angepasst. Dabei gilt stets das Ziel, einen fairen Datenmarkt zu schaffen.
Wen betrifft die Verordnung? Was ist der Anwendungsbereich?
Zentralpunkt der „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ sind in sachlicher Hinsicht - wie der Wortlaut schon zeigt - „Daten“.
Artikel 2 der Verordnung liefert die nötigen Begriffsbestimmungen. Der Data Act unterscheidet zwischen verschiedenen Datentypen und knüpft daran unterschiedliche Vorschriften. Differenziert wird u. a. zwischen Metadaten, Produktdaten und verbundene Dienstdaten. Betroffen sind grundsätzlich Daten aller Sektoren, was den Anwendungsbereich der Verordnung sehr weit fasst.
Gegenstand und Anwendungsbereich der Verordnung ergeben sich maßgeblich aus Artikel 1.
In persönlicher Hinsicht sind drei Akteure, welche von den Vorschriften des Data Act betroffen sind, hervorzuheben:
- Daten-Inhaber: Unternehmen oder andere Stellen, die mit ihren Produkten oder Tätigkeiten Daten erzeugen oder verwalten
- Daten-Nutzer: Unternehmen oder andere Stellen, die auf Daten zugreifen wollen und selbst andere Daten nutzen wollen
- Daten-Vermittler: Anwendungen, die zwischen Dateninhabern und Nutzern vermitteln und dessen Datenaustauch erleichtern
Wichtigsten Regelungen des Data Act
Die Verordnung teilt sich in insgesamt 11 Kapitel, von denen sich die maßgeblichen Vorschriften in den Kapiteln 2 - 6 und 8 befinden.
Kapitel 2 der Verordnung beschäftigt sich mit der Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen. Die Artikel des Kapitels bauen dabei aufeinander auf. Im Kern geht es in diesen Artikeln um das Ziel, Daten leichter zugänglich und nutzbar zu machen. Die jeweiligen Artikel 3 - 7 regeln die Pflicht zur Zugänglichmachung zu Daten (Art. 3), Bereitstellungspflichten, sowie weitere Rechte und Pflichten von Nutzern (Art. 4) und Rechte, Pflichten und Umfang zur Datenweitergabe an Dritte bzw. zwischen Unternehmen (Art. 5, 6, 7).
Das Kapitel 3 regelt umfangreich die Pflichten zur Bereitstellung von Daten des Dateninhabers. Aus den in Artikel 8 beschriebenen Bedingungen folgt der Grundsatz, Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise bereit zu stellen. Die Artikel 9-12 des Kapitels geben weitere Hinweise und Pflichten bezüglich der Bereitstellung von Daten.
Des Weiteren soll der Data Act vor missbräuchlichen Vertragsklauseln im Zusammenhang mit Datennutzungs- und Datenzugangsverträgen schützen. Artikel 13 des Kapitel 4 liefert hierfür die entsprechende Vorschrift. Er gibt insbesondere einen Überblick, welche Vertragsklauseln missbräuchlich sind. Die EU möchte noch konkrete Standardvertragsklauseln herausarbeiten.
In Ergänzung zum Kapitel drei regelt Kapitel 5 die Bereitstellung von Daten für öffentliche Stellen. Gemäß Artikel 14 gibt es eine Pflicht zur Bereitstellung bei „außergewöhnlicher Notwendigkeit“. Die weiteren Artikel des Kapitels konkretisieren diese Pflicht bzw. konkretisieren das Bereitstellungsverfahren.
Das Kapitel 6 regelt den Wechsel zwischen Datenverarbeitungsdiensten. Ziel ist es, den Wechsel zwischen verschiedenen Anbietern (z. B. Cloud-Anbietern) und eine parallele Nutzung zu erleichtern (Art. 23). Es werden mit dem Data Act insbesondere vertragliche Klauseln für einen Wechsel gesetzt (Art. 25). Des Weiteren verpflichtet der Data Act zur Einhaltung von Informations-, Handlungs- und Transparenzpflichten (Art. 26-28) bei dem Datenwechsel.
In seinem Kapitel 8 setzt der Data Act Anforderungen an die Interoperabilität von Daten. Ziel ist es, einen Datenaustausch sowie die Datenvernetzung und Integrität zwischen Systemen zu fördern. Die Verordnung stellt dafür bestimmte Mindestanforderungen (Art. 33).
Verhältnis zur DSGVO
Die Verordnung bezieht sich sowohl auf personenbezogene als auch nicht personenbezogene Daten, währenddessen sich die DSGVO bekanntermaßen nur auf die Verarbeitung personenbezogener Daten bezieht.
Die DSGVO und der Data Act gelten grundsätzlich unabhängig voneinander. Insbesondere sollen die Vorschriften der DSGVO nicht durch den Data Act abgeschwächt oder eingeschränkt werden. Im Falle eines Widerspruchs von Vorschriften der DSGVO und des Data Act sollen die Datenschutzregelungen der DSGVO dem Data Act vorgehen.
Abschließende Worte
In den letzten Jahrzehnten hat sich eine zunehmende „Datenwirtschaft“ entwickelt. Ziel des Data Act ist es, EU-weite Regelungen zu treffen, um den Zugang und die Nutzung von Daten zu kontrollieren und fairer zu gestalten. Durch den Data Act soll aber auch die Wettbewerbsfähigkeit gesteigert, Innovationen gefördert und zu mehr Wertschöpfung beigetragen werden.
Es gehört zur Wahrheit, dass die Sichtung und Anpassung der Datenverarbeitungsprozesse im Unternehmen teils mit erheblichem Aufwand verbunden sind.
Auf der anderen Seite ist die Nichtnutzung der Verordnung eine vertane Chance, sich am Markt mit und um die Daten zu beteiligen.
Jedenfalls vernachlässigt werden darf der Data Act auf keinen Fall! Wie auch schon in der DSGVO sieht der Data Act umfangreiche Sanktionsmöglichkeiten vor, insbesondere Bußgelder.
Für Unternehmen bedeutet das, sie müssen ihre Pflichten aus dem Data Act kennen und Maßnahmen ergreifen, die deren Einhaltung gewährleisten. Das der Data Act, demgegenüber ein enormes wirtschaftliches Potential bietet, muss aber auch verstanden werden.
Sollten Sie Fragen bezüglich des Data Act haben, zögern Sie nicht, sich zu melden. Ich helfe Ihnen gerne.
Thomas Töpfer, TT Datenschutz GmbH, externer Datenschutzberater für Sachsen und Europa