Data Act: Die neue Verordnung (EU-Datengesetz)

Der Data Act der Europäischen Union ist in Kraft getreten und wird bald EU-weit gelten. Er regelt, wer unter welchen Bedingungen Daten aus vernetzten Geräten nutzen kann – und schafft Klarheit auch für die Immobilienwirtschaft. Das kommt auf Unternehmen zu.

Am 11.1.2024 ist das sogenannte Datengesetz (Data Act) der Europäischen Union – das als EU-Verordnung in allen EU-Staaten direkt anwendbar ist – in Kraft getreten. Es wurde am 23.11.2023 vom EU-Rat verabschiedet, am 9.11.2023 hatte das EU-Parlament mit großer Mehrheit (481 zu 31 Stimmen bei 71 Enthaltungen) für das Gesetz gestimmt. Nach einer Übergangsfrist von 20 Monaten wird der Data Act ab dem 12.9.2025 EU-weit gelten und angewendet werden.

Die neuen Rechtsvorschriften legen Regeln für die gemeinsame Nutzung von Daten in der EU fest, die von vernetzten Produkten oder damit verbundenen Diensten erzeugt werden und ermöglichen den Zugang zu diesen Daten. So sollen Innovationen und Wettbewerb gefördert werden.

ZIA: Optimierung von Energieeffizienz & Predictive Maintenance

"Wir finden es gut, dass es Klarheit zu geregelten Datenzugriffsmöglichkeiten gibt. Das ist für die Immobilienwirtschaft ein wichtiger Baustein bei der digitalen Transformation und der Unterstützung des Datenaustauschs", sagte die Hauptgeschäftsführerin des Zentralen Immobilien Ausschusses (ZIA), Aygül Özkan, auf Nachfrage.

Dieser Rahmen fördere die Entwicklung innovativer Lösungen zum Beispiel beim Optimieren der Energieeffizienz und vorausschauender Wartung. Im Fachjargon: Predictive Maintenance. "So kann das Potenzial der europäischen Datenwirtschaft auch zum Erreichen der Klimaschutzziele durch deutliche Verbesserungen im Gebäudebereich beitragen", erklärte Özkan.

Weil der Anwendungsbereich ähnlich breit sei wie bei der Datenschutz-Grundverordnung (DSGVO), sei nun eine klare Kommunikation zu den Inhalten wichtig – alle Akteure müssten sensibilisiert werden, damit die Chancen für neue Geschäftsmodelle greifbar werden. "Wir als Spitzenverband werden dazu beitragen und auch die Europäische Kommission bei der Entwicklung von Handreichungen und Mustervertragsklauseln unterstützen."

Neue Regeln zu automatisch erfassten Nutzungsdaten

Der Data Act ist am 11. Januar nach einem mehrjährigen Trilog zwischen EU-Rat, EU-Parlament und EU-Kommission in Kraft getreten. Die "Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung" – so der volle Titel – schafft einen neuen rechtlichen Rahmen für den Zugriff auf und die Nutzung von nicht-personenbezogenen und personenbezogenen Daten, die von IoT-Geräten (englisch: Internet of Things, deutsch: Internet der Dinge) erfasst und verarbeitet werden. Wichtig und wertvoll sind diese Daten unter anderem für Gerätewartungen und vor allem für das Training von Algorithmen im Bereich der Künstlichen Intelligenz (KI).

EU-Datengesetz: Unternehmen, die in der EU tätig sind

Der Data Act gilt für alle Branchen und Wirtschaftszweige. Er betrifft jedes Unternehmen, das vernetzte Nutzungsdaten erfasst und verarbeitet, und gilt nicht nur für europäische Unternehmen, sondern auch für alle nicht-europäischen Unternehmen, die in der EU tätig sind.

Anders als bisher können Hersteller und Anbieter von IoT-Geräten, die anfallenden Daten nicht mehr exklusiv nutzen, sondern müssen diese auch anderen Unternehmen zur Verfügung stellen. Die Nutzer der Geräte und Apps können die Empfänger ihrer Daten frei wählen. Die Dateninhaber sind zur Herausgabe und Weitergabe der Nutzungsdaten verpflichtet. Sie dürfen die Daten nur noch dann für eigene Zwecke verwenden, wenn das ausdrücklich mit dem jeweiligen Nutzer vereinbart wurde.

Datenweitergabe in Echtzeit und in gleicher Qualität

Durch die Weitergabe der Nutzungsdaten bekommen jetzt auch kleine Unternehmen die Möglichkeit, mit diesen Daten zu arbeiten und neue Geschäftsmodelle zu entwickeln. Die Datenweitergabe soll in Echtzeit erfolgen, kostenlos sein und in maschinenlesbaren Standardformaten stattfinden. Die Daten selbst sollen dabei die gleiche Qualität wie die Originaldaten haben.

Dateninhaber: Informations- und Auskunftspflichten

Die Dateninhaber müssen die Nutzer vor dem Vertragsabschluss über den Datenzugang und die Möglichkeit zur Weitergabe der Nutzungsdaten informieren. Die Nutzer haben jederzeit das Recht, von den Dateninhabern Auskunft über die Art und den Umfang der Daten zu bekommen, die bei der Nutzung ihrer Produkte entstehen. Auch haben die Nutzer das Recht, von den Dateninhabern zu erfahren, ob diese die anfallenden Daten selbst nutzen oder weitergeben.

Kündigungsfristen und Cloud-Switching

Der Data Act regelt außerdem die Kündigungsfrist für bestehende Nutzungsverträge, betroffen davon sind auch Cloud-Anbieter. Nutzer können nun ihre Verträge mit den Datenverarbeitern innerhalb von 30 Tagen kündigen. Cloud-Anbieter müssen dafür Sorge tragen, dass die dann notwendige Datenübermittlung an einen anderen Dienstleister in gängigen Standardformaten erfolgt und den aktuellen Sicherheitsstandards entspricht (Cloud-Switching). Ist die Umstellung erfolgt, muss der alte Dienstleister sämtliche Daten und Metadaten löschen und darüber einen Nachweis führen. Für die Datenübermittlung dürfen nur reduzierte Entgelte verlangt werden.

Verbot missbräuchlicher Vertragsklauseln

Bei der Datennutzung und dem Datenzugang zwischen Unternehmen (B2B, Business-to-Business) sind missbräuchliche Vertragsklauseln ausdrücklich verboten. Werden sie dennoch verwendet, sind sie nicht bindend. Missbräuchlich sind Klauseln dann, wenn sie "erheblich von der guten Geschäftspraxis abweichen und gegen Treu und Glauben und den redlichen Geschäftsverkehr verstoßen".

Der Data Act nennt dafür Beispiele wie die Beschränkung der Haftung, den Ausschluss von Rechtsmitteln oder die Gewährung einseitiger Rechte. Zu einem späteren Zeitpunkt sollen von der EU-Kommission Mustervertragsklauseln eingeführt werden, damit missbräuchliche Klauseln zuverlässig vermieden werden können.

Bereitstellung von Daten an Behörden

Bei Notfällen wie Naturkatastrophen, Pandemien oder bei außergewöhnlichen Notwendigkeiten, die im öffentlichen Interesse liegen, können öffentliche Stellen und EU-Einrichtungen den Datenzugang einfordern. Unternehmen, die ein Ersuchen erhalten, müssen die angeforderten Daten den Behörden und anderen öffentlichen Stellen unverzüglich zur Verfügung stellen (B2G, Business to Government).

Bußgelder bei Verstößen: Wie DSGVO

Ein Unternehmen, das gegen die Bestimmungen des Data Act verstößt, und seinen Informations-, Auskunfts-, Herausgabe- und Weiterleitungspflichten nicht oder nicht in vollem Umfang nachkommen, kann mit einem Bußgeld belegt werden. Genau wie bei der Datenschutzgrundverordnung (DSGVO) gilt dabei eine Höchstgrenze von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes des vorangegangenen Geschäftsjahres.

Kleine Unternehmen: Von Verpflichtungen ausgenommen

Der Data Act sieht ausdrücklich vor, dass die Verpflichtungen zur Herausgabe und Weiterleitung der Nutzungsdaten nicht für Kleinst- und Kleinunternehmen gelten, die weniger als 50 Personen beschäftigen und weniger als zehn Millionen Euro Jahresumsatz haben. Die Ausnahmeregelung gilt allerdings nur dann, wenn die Kleinunternehmen keine Partnerunternehmen oder verbundene Unternehmen haben, die nicht als Kleinunternehmen eingestuft werden.

Data Act: Kurze Übergangsfrist bis September 2025

Unternehmen, die vom Data Act betroffen sind, haben bis September 2025 Zeit, die damit verbundenen Prozesse intern umzusetzen. Angesichts der vielfältigen Anforderungen, die der Data Act nicht nur an die eigentliche Datenweitergabe, sondern auch an die Neugestaltung von Verträgen und Informationsverfahren stellt, ist das eine relativ kurze Frist. Betroffene Unternehmen sollten sich daher schnellstens mit den neuen Verpflichtungen vertraut machen.


Das könnte Sie auch interessieren:

DSGVO: Millionen-Bußgeld gegen Deutsche Wohnen möglich

Schlagworte zum Thema:  Datenaustausch, Datenschutz