Data Act in der Finanzbranche: Neue Chancen und Pflichten

Welche Unternehmen im Finanzsektor sind besonders vom Data Act betroffen?

Der Anwendungsbereich des Data Act ist nicht sektoren- oder branchenorientiert. Für die Frage, welche Unternehmen vom Data Act besonders betroffen sind, ist zunächst zu klären, wer Adressat des Data Act ist. Der Data Act richtet sich insbesondere an die Hersteller von vernetzten Produkten und Anbieter von verbundenen Diensten sowie an deren Nutzer.

Dateninhaber

Des Weiteren werden auch sogenannte Dateninhaber (die nicht zwangsläufig auch Hersteller sein müssen) sowie Anbieter von Datenverarbeitungsdiensten erfasst. Ob Unternehmen vom Data Act betroffen sind, hängt also nicht per se vom Sektor bzw. der Branche des Unternehmens ab, sondern ist stets individuell anhand der vom Unternehmen angebotenen und vertriebenen Produkte und Dienstleistungen zu beurteilen.

Sitz

Der Sitz des Unternehmens spielt keine Rolle: Es gilt das Marktortprinzip. Nutzer eines Produktes oder Dienstes meint eine natürliche oder juristische Person, also z. B. Verbraucher oder Unternehmen, die das Produkt besitzen oder den Dienst in Anspruch nehmen.

Hersteller

Finanz- und Versicherungsunternehmen dürften in der Praxis eher selten als Hersteller von vernetzten Produkten anzusehen sein. Denn um Hersteller zu sein, müssten sie ein solches Produkt – also einen Gegenstand, der über seine Nutzung Daten erlangt bzw. generiert – in der EU in Verkehr bringen. Wahrscheinlicher ist es, dass Finanzinstitute (Banken) und Finanzdienstleister, die z. B. Banking-Apps anbieten, als Anbieter verbundener Dienste unter den Data Act fallen.

Datenverarbeitungsdienste

Darüber hinaus können Finanz- und Versicherungsunternehmen auch als Datenverarbeitungsdienste erfasst werden, wenn sie Dienste oder Anwendungen etwa als Software-as-a-Service (SaaS) anbieten. Dies können zum Beispiel SaaS-Anwendungen zur Finanztransaktion oder zum Banking sein oder zur Verwaltung oder zum Abschluss von Versicherungsverträgen.

Datenempfänger

Relevant wird der Data Act für Finanz- und Versicherungsunternehmen auch dann, wenn diese Unternehmen als Datenempfänger eingestuft werden können. Ein Datenempfänger ist, verkürzt gesagt, eine natürliche oder juristische Person, die zu beruflichen oder gewerblichen Zwecken handelt und auf Verlangen des Nutzers vom Dateninhaber Daten erhält. Hierbei müssen Datenempfänger und Dateninhaber einen Vertrag abschließen, z. B. hinsichtlich Modalitäten der Datenbereitstellung und der Gegenleistung.

Gemeinsamer Europäischer Datenraum

Ein weiterer wichtiger Anwendungsbereich des Data Act für den Finanz- und Versicherungssektor liegt in den Art. 33 bis 36 Data Act. Dort werden die wesentlichen Anforderungen an die Interoperabilität von Daten sowie gemeinsamen europäischen Datenräumen geregelt. Zu diesen europäischen Datenräumen gehört auch die FiDA-Verordnung. Finanzunternehmen, die dem Geltungsbereich der FiDA-Verordnung unterfallen und an dem gemeinsamen europäischen Finanzdatenraum teilnehmen, müssen diese Regelungen ebenfalls erfüllen.

Was regelt die FiDA?

Mit der FiDA-Verordnung werden Vorschriften für den Zugang zu sowie die Weitergabe und die Nutzung von bestimmten Kategorien von Kundendaten im Rahmen von Finanzdienstleistungen geschaffen. In der FiDA-Verordnung werden konkrete Pflichten und Modalitäten für die Nutzung und Weitergabe von Finanzdaten geregelt. Ebenfalls wird festgelegt, in welchem Umfang die Datennutzung erfolgen darf.

Daneben stellt die FiDA-Verordnung auch Anforderungen an die Systeme für den Austausch von Finanzdaten zwischen Dateninhabern und Datennutzern.

Wir haben einen ausführlichen Beitrag über die FiDA-Verordnung für Sie erstellt.

Zum Fachbeitrag: FiDA-Verordnung

Wann sollten die betroffenen Unternehmen handeln?

Der Data Act ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist von 20 Monaten wird der Data Act größtenteils ab dem 12. September 2025 direkt anwendbar sein.

Die FiDA-Verordnung ist noch nicht in Kraft getreten. Sie soll jedoch noch im Jahr 2025 verkündet werden und erlangt dann nach 24 Monaten unmittelbare Geltung.

Welche Anforderungen und Chancen bringt der Data Act für die Finanzbranche mit sich?

Informationspflichten für Anbieter verbundener Dienste

Sofern ein Finanz- oder Versicherungsunternehmen ein Anbieter eines verbundenen Dienstes ist, muss das Unternehmen umfangreiche Informationspflichten gegenüber den Nutzenden beachten.

So muss beispielsweise über die Art, den Umfang und die Häufigkeit der mit dem Dienst erhobenen bzw. verarbeiteten Daten informiert werden (Art. 3 Abs. 3 Data Act). Zudem müssen den Nutzenden auf Antrag Zugang zu den angefallenen Daten gewährt werden (Art. 4 Data Act).

Beschränkungen für Datenempfänger und Verbot von Profiling

Die Datenempfänger dürfen, wenn sie die Daten auf Verlangen der Nutzenden erhalten, diese ausschließlich den Zwecken und unter den Bedingungen verarbeiten, die sie mit dem Nutzer vereinbart haben. Dies muss gemäß dem geltenden Unionsrecht und nationalen Recht über den Schutz personenbezogener Daten geschehen, einschließlich der Rechte der betroffenen Person, soweit personenbezogene Daten betroffen sind (Art. 6 Data Act).

Den Datenempfängern wird dabei grundsätzlich auch das Profiling (Art. 22 DSGVO) untersagt, es sei denn, dies ist erforderlich, um die von den Nutzenden gewünschten Dienste zu erbringen.

Wechsel zwischen Datenverarbeitungsdiensten erleichtern

Finanz- und Versicherungsunternehmen, die SaaS-Anwendungen vertreiben und als Datenverarbeitungsdienste anzusehen sind, müssen sowohl vertraglich als auch technisch einen unproblematischen Wechsel zu einem anderen Datenverarbeitungsdienstanbieter ermöglichen (Art. 23, 25 und 30 Data Act).

Die Verträge über einen Wechsel müssen dabei mindestens den in Art. 25 Abs. 2 Data Act gelisteten Inhalt aufweisen. Die dort enthaltenen Pflichtklauseln sollen einen diskriminierungsfreien und einfachen Wechsel ermöglichen. In technischer Hinsicht erfordert Art. 30 Data Act beispielsweise, dass der Wechsel über eine Schnittstelle (API) ermöglicht wird.

Anforderungen an die Interoperabilität im Finanzdatenraum

Die Finanz- und Versicherungsunternehmen, die an dem gemeinsamen europäischen Finanzdatenraum (FiDA-Verordnung) teilnehmen, müssen die Interoperabilität sicherstellen. Verschiedene Systeme, vernetzte Produkte oder Anwendungen müssen die Fähigkeit haben, Daten auszutauschen und zu nutzen.

Dies umfasst zum einen etwa:

• Datensatzinhalte,
• Nutzungsbeschränkungen,
• Lizenzen,
• Datenerhebungsmethoden,
• Datenqualität und
• Unsicherheiten

Diese müssen hinreichend beschrieben sein, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen.

Daneben müssen auch die erforderlichen technischen Maßnahmen (z. B. Schnittstellen, Übertragung der Daten in einem maschinenlesbaren Format) ergriffen werden, um die Interoperabilität in technischer Hinsicht überhaupt erst zu ermöglichen.

Chancen durch den Data Act für die Finanzbranche

Der Data Act bietet für die betroffenen Unternehmen des Finanz- und des Versicherungssektors viele Chancen. Die größte Chance liegt dabei in dem vom Data Act verfolgten Ziel, nämlich den Datenfluss und die Datennutzung innerhalb der EU zu harmonisieren und zu vereinfachen und zudem einen rechtssicheren Rahmen zu schaffen.

Dadurch wird branchen- und sektorenübergreifend der Datenaustausch gestärkt. Mit seinen neuen Verpflichtungen richtet der Data Act sich an eine breite Palette von Akteuren, von Herstellern vernetzter Produkte bis hin zu öffentlichen Stellen, wodurch auch Finanz- und Versicherungsunternehmen die Möglichkeit haben, Daten zu verarbeiten, zu denen sie vorher keinen oder nur schwer Zugang erhielten.

Was müssen die betroffenen Unternehmen und Organisationen tun?

Die vom Data Act betroffenen Unternehmen sollten bereits jetzt analysieren, ob und wie sie in den Geltungsbereich des Data Act fallen bzw. fallen könnten.

So sollte etwa überprüft werden, ob Produkte oder Dienstleistungen angeboten werden, die als verbundene Produkte, als verbundene Dienstleistung oder als Datenverarbeitungsdienst klassifiziert werden können.

Dies erleichtert für das jeweilige Unternehmen, den Umfang der künftigen Rechte und Pflichten nach dem Data Act einzuschätzen und ermöglicht zudem, bereits zum jetzigen Zeitpunkt die notwendigen Schritte einzuleiten, um den Anforderungen gerecht zu werden.

Aufgrund des Umstands, dass Unternehmen des Finanz- und des Versicherungssektors überwiegend aufgrund ihrer Eigenschaft als Datenempfänger in den Anwendungsbereich des Data Act fallen, sollte insbesondere geprüft werden, wie die Übermittlungswege ausgestaltet sind.

So können wir beim Data Act im Finanzsektor unterstützen

• Rechtliche Beratung: Wir prüfen den Umsetzungsbedarf in Ihrem Unternehmen und entwickeln maßgeschneiderte Lösungen für Ihre individuellen Herausforderungen.
• Vertragsgestaltung und -anpassung: Unsere Experten unterstützen Sie bei der Erstellung und Anpassung rechtskonformer Verträge und stellen sicher, dass Ihre Interessen bestmöglich vertreten sind.
• Compliance- und Datenschutz-Management: Mit einem maßgeschneiderten Compliance-Konzept sorgen wir dafür, dass Ihre Datenprozesse den Anforderungen des Data Act gerecht werden. Zudem helfen wir Ihnen bei der Implementierung von Maßnahmen zum Schutz sensibler Daten.
• Schulungen und Workshops: Mit unseren Schulungen und Workshops sensibilisieren wir Ihre Mitarbeitenden und sorgen dafür, dass die unternehmensweite Umsetzung des Data Act gelingt.