Data Governance Act

Haufe Online Redaktion

Data Governance Act — Bild: Haufe Online Redaktion Neue Regelungen auf EU-Ebene sollen für Kunden Zugang zu und Nutzung von Daten erleichtern.

Am 11.01.2024 ist das Datengesetz der EU (engl. Data Act) in Kraft getreten. Es wurde am 23.11.2023 vom EU-Rat verabschiedet, am 9.11.2023 hatte das EU-Parlament mit großer Mehrheit (481 zu 31 Stimmen bei 71 Enthaltungen) für das neue Datengesetz gestimmt.

Der Data Act soll Innovationen und Wettbewerb fördern, indem er Hindernisse für den EU-weiten Zugriff auf Nutzungsdaten beseitigt. Die neuen Rechtsvorschriften legen Regeln für die gemeinsame Nutzung von Daten fest, die von vernetzten Produkten oder damit verbundenen Diensten (z. B. Haushalts- und Fitnessgeräte, Industriemaschinen, Sprachassistenten) erzeugt werden und ermöglichen den Zugang zu diesen Daten. Nach einer Übergangsfrist von 20 Monaten wird der Data Act ab dem 12.09.2025 EU-weit gelten und angewendet werden.

Neue Regeln für die Erfassung und Weitergabe von automatisch erfassten Nutzungsdaten

Der Data Act ist am 11. Januar nach einem mehrjährigen Trilog zwischen EU-Rat, EU-Parlament und EU-Kommission in Kraft getreten. Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ – so der volle Titel des Data Act – schafft einen neuen rechtlichen Rahmen für den Zugriff auf und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Geräten (engl. Internet of Things, dt. Internet der Dinge) wie Haushaltsgeräten, Sport- und Gesundheits-Apps, Sprachassistenten, aber auch von Industriegeräten und vernetzten Fahrzeugen erfasst und verarbeitet werden. Wichtig und wertvoll sind diese Daten für Produktentwicklungen aller Art, Gerätewartungen und vor allem für das Training von Algorithmen im Bereich der Künstlichen Intelligenz.

Betroffen sind alle Unternehmen, die in der EU tätig sind

Der Data Act gilt für alle Branchen und Wirtschaftszweige. Er betrifft jedes Unternehmen, das vernetzte Nutzungsdaten erfasst und verarbeitet, und gilt nicht nur für europäische Unternehmen, sondern auch für alle nicht-europäischen Unternehmen, die in der EU tätig sind.

Anders als bisher können Hersteller und Anbieter von IoT-Geräten, die anfallenden Daten nicht mehr exklusiv nutzen, sondern müssen diese auch anderen Unternehmen zur Verfügung stellen. Die Nutzer der Geräte und Apps können die Empfänger ihrer Daten frei wählen. Die Dateninhaber sind zur Herausgabe und Weitergabe der Nutzungsdaten verpflichtet. Sie dürfen die Daten nur noch dann für eigene Zwecke verwenden, wenn dies ausdrücklich mit dem jeweiligen Nutzer vereinbart wurde.

Datenweitergabe in Echtzeit und in gleicher Qualität

Durch die Weitergabe der Nutzungsdaten bekommen jetzt auch kleine Unternehmen die Möglichkeit, mit diesen Daten zu arbeiten und neue Geschäftsmodelle zu entwickeln. Die Datenweitergabe soll in Echtzeit erfolgen, kostenlos sein und in maschinenlesbaren Standardformaten stattfinden. Die Daten selbst sollen dabei die gleiche Qualität wie die Originaldaten haben.

Informations- und Auskunftspflichten

Die Dateninhaber müssen die Nutzer vor dem Vertragsabschluss über den Datenzugang und die Möglichkeit zur Weitergabe der Nutzungsdaten informieren. Die Nutzer haben jederzeit das Recht, von den Dateninhabern Auskunft über die Art und den Umfang der Daten zu bekommen, die bei der Nutzung ihrer Produkte entstehen. Auch haben die Nutzer das Recht, von den Dateninhabern zu erfahren, ob diese die anfallenden Daten selbst nutzen oder weitergeben.

Kündigungsfristen und Cloud-Switching

Der Data Act regelt auch die Kündigungsfrist für bestehende Nutzungsverträge, betroffen davon sind auch Cloudanbieter. Nutzer können nun ihre Verträge mit den Datenverarbeitern innerhalb von 30 Tagen kündigen. Cloudanbieter müssen dafür Sorge tragen, dass die dann notwendige Datenübermittlung an einen anderen Dienstleister in gängigen Standardformaten erfolgt und den aktuellen Sicherheitsstandards entspricht (Cloud-Switching). Ist die Umstellung erfolgt, muss der alte Dienstleister sämtliche Daten und Metadaten löschen und darüber einen Nachweis führen. Für die Datenübermittlung dürfen nur reduzierte Entgelte verlangt werden.

Verbot missbräuchlicher Vertragsklauseln

Bei der Datennutzung und dem Datenzugang zwischen Unternehmen (B2B, Business to Business) sind missbräuchliche Vertragsklauseln ausdrücklich verboten. Werden sie dennoch verwendet, sind sie nicht bindend. Missbräuchlich sind Klauseln dann, wenn sie „erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen“. Der Data Act nennt dafür Beispiele wie die Beschränkung der Haftung, den Ausschluss von Rechtsmitteln oder die Gewährung einseitiger Rechte. Zu einem späteren Zeitpunkt sollen von der EU-Kommission Mustervertragsklauseln eingeführt werden, damit missbräuchliche Klauseln zuverlässig vermieden werden können.

Bereitstellung von Daten bei außergewöhnlicher Notwendigkeit

Bei Notfällen wie Naturkatastrophen, Pandemien oder bei außergewöhnlichen Notwendigkeiten, die im öffentlichen Interesse liegen, können öffentliche Stellen und EU-Einrichtungen den Datenzugang einfordern. Jedes Unternehmen, das ein derartiges Ersuchen erhält, muss die angeforderten Daten den Behörden und anderen öffentlichen Stellen unverzüglich zur Verfügung stellen (B2G, Business to Government).

Verstöße werden mit Bußgeldern geahndet

Ein Unternehmen, das gegen die Bestimmungen des Data Act verstoßen, und seinen Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommen, kann mit einem Bußgeld belegt werden. Genau wie bei der Datenschutzgrundverordnung (DSGVO) gilt dabei eine Höchstgrenze von bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.

Kleine Unternehmen sind von den Verpflichtungen ausgenommen

Der Data Act sieht ausdrücklich vor, dass die Verpflichtungen zur Herausgabe und Weiterleitung der Nutzungsdaten nicht für Kleinst- und Kleinunternehmen gelten. Damit sind Unternehmen gemeint, die weniger als 50 Personen beschäftigen und weniger als 10 Millionen EUR Jahresumsatz haben. Die Ausnahmeregelung gilt allerdings nur dann, wenn die Kleinunternehmen keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinunternehmen eingestuft werden.

Fazit: Die Zeit läuft

Unternehmen, die vom Data Act betroffen sind, haben bis September 2025 Zeit, die damit verbundenen Prozesse intern umzusetzen. Angesichts der vielfältigen Anforderungen, die der Data Act nicht nur an die eigentliche Datenweitergabe, sondern auch an die Neugestaltung von Verträgen und Informationsverfahren stellt, ist dies eine relativ kurze Frist. Betroffene Unternehmen sollten sich daher schnellstens mit den neuen Verpflichtungen vertraut machen.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Datengesetz der EU ist in Kraft