12. Februar 2024Datenschutz

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Daten sind das Rückgrat des digitalen Zeitalters und spielen eine entscheidende Rolle bei der Gestaltung unseres digitalen und ökologischen Wandels. In einer Welt, in der täglich enorme Datenmengen generiert werden, bleibt das volle Potenzial dieser Ressource oft ungenutzt. Der Umgang mit diesen Daten, insbesondere die Frage der Datenrechte und eine gerechte Verteilung der Fähigkeiten für digitale Fortschritte, ist häufig unklar. Der seit dem 11.01.2024 in Kraft getretene Data Act, der umfassend ab dem 12.09.2025 Anwendung findet, zielt darauf ab, diesen Herausforderungen zu begegnen, indem er klare Richtlinien für den Zugang zu und die Nutzung von Daten vorgibt. Für Unternehmen und Verbraucher ergeben sich daraus neue Pflichten und Rechte, die wesentliche Auswirkungen auf die Praxis haben. Vor diesem Hintergrund bieten wir unseren Mandanten maßgeschneiderte Beratungsleistungen an, um die durch den Data Act entstehenden Herausforderungen und Möglichkeiten optimal zu nutzen. Wir helfen Ihnen, die Rechte und Pflichten, die sich aus dem Data Act ergeben, zu verstehen, geeignete Vertragsregelungen zu treffen und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Die Vision des Data Acts: Freier Datenzugang und Innovation fördern

Der Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Die Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher seit September 2023 gilt. Während der Data Governance Act Prozesse und Strukturen regelt, die den freiwilligen Datenaustausch ermöglichen, wird im Data Act klargestellt, wer aus Daten Wert schaffen kann und unter welchen Bedingungen. 

Der Data Act befasst sich im Wesentlichen damit, dass unter anderem Nutzer von vernetzten Geräten, Maschinen oder sonstigen Produkten darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben.

Wer wird vom Data Act betroffen? Ein Überblick

Sachlicher Anwendungsbereich

Der Data Act betrifft Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, vor allem auch von solchen Daten, die nicht personenbezogen sind, womit der Anwendungsbereich insoweit über den der DSGVO hinausgeht. 

In Art. 2 Data Act findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Unter die Verordnung fallen danach IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über die Umgebung erlangen, erzeugen oder sammeln können. Nicht jedoch beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner. Denn bei ihnen ist ein menschlicher Beitrag zur Generierung von Daten notwendig, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist.

Adressaten des Data Act

Der Data Act richtet sich insbesondere an Hersteller von vernetzten Produkten und Anbieter verbundener Dienste sowie an deren Nutzer, außerdem an Dateninhaber und öffentliche Stellen. Der Sitz des Unternehmens spielt keine Rolle: es gilt das Marktortprinzip. 

Unter Nutzer eines Produktes fallen juristische wie auch natürliche Personen – also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Allerdings ist für Kleinst- oder Kleinunternehmen (KMU) eine Privilegierung vorgesehen, wonach insbesondere die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen.

Schöpfen Sie die Vorteile des digitalen Wandels und des Data Acts voll und rechtssicher aus – mit uns an Ihrer Seite.

Jetzt Beratungstermin vereinbaren!

Neue Spielregeln: Rechte und Pflichten für Unternehmen unter dem Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. 

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act geregelte Pflicht der Zugänglichmachung von bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act nimmt den Gedanken des Access by Design auf. 

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act, findet sich eine weitere wichtige Regelung: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll zur Fairness für den Nutzer beitragen. So müssen dem Nutzer u.a. Informationen wie Art, Format und geschätzter Umfang der Produktdaten sowie Informationen darüber, ob das vernetzte Produkt in der Lage ist, kontinuierlich und in Echtzeit Daten zu generieren, in verständlicher und klarer Form zur Verfügung gestellt werden. 

Eine weitere wesentliche Norm stellt Art. 4 Data Act dar. Er regelt das Recht der Nutzer und Dateninhaber auf Zugang zu den Produktdaten und verbundenen Dienstdaten sowie das Recht auf deren Nutzung. Dieses Recht zielt darauf ab, dem Nutzer transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. 

Zu beachten ist auch, dass Dateninhaber nach Art. 4 Abs. 13 Data Act ohne Weiteres verfügbare Daten, bei denen es sich nicht um personenbezogene Daten handelt, nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeiten oder nutzen dürfen. Ohne Weiteres verfügbare Daten im Sinne der Verordnung sind Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. Die Vorschrift macht damit gegebenenfalls den Abschluss von Datenlizenzverträgen erforderlich. 

Auch Art. 5 Data Act befasst sich mit dem Datenverkehr und regelt die Herausgabe von Daten an Dritte, die auf Verlangen des Nutzers zu erfolgen hat. 

Darüber hinaus sieht die Verordnung ein Verbot missbräuchlicher Klauseln vor. Art. 13 Data Act regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Unternehmen einseitig auferlegt werden. Insoweit handelt es sich um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen die Fairness in der Datenwirtschaft und auf dem Markt fördern. 

Eine weitere bedeutende Regelung, um die Ziele des Data Act zu erreichen, sind die Vorschriften zur Interoperabilität (Kapitel VIII). Interoperabilität im Sinne dieser Verordnung ist – vereinfacht gesagt – die Fähigkeit verschiedener Systeme, vernetzter Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen. Der Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden. 

In diesem Zusammenhang ist auch das Recht der Kunden zu sehen, künftig kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen. Kapitel VI des Data Act, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, sieht unter anderem vor, dass keine Hindernisse für den Wechsel des Anbieters bestehen dürfen. Datenverarbeitungsdienste müssen ihre Kunden beim Wechsel unterstützen, unter anderem durch angepasste Vertragsklauseln und Informationspflichten. Nach einem Wechsel gilt der Vertrag mit dem bisherigen Anbieter als beendet – die Regelungen können daher zu außerordentlichen Kündigungsrechten führen. 

Die Verpflichtungen aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten durch Sanktionen durchgesetzt werden. Bei Verstößen drohen Bußgelder, die auf Methoden basieren, die bereits aus der DSGVO bekannt sind. Diese können bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Data Act und DSGVO: Navigieren im Regelungsdickicht

Neben dem Data Act bleibt die DSGVO uneingeschränkt anwendbar. Werden also personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind beide Regelungen zu beachten. Insbesondere bedarf die Verarbeitung personenbezogener Daten einer gesetzlichen Grundlage. Der Data Act stellt klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, stellt aber selbst keine Rechtsgrundlage für die Datenverarbeitung dar. In der Praxis wird daher in den meisten Fällen weiterhin eine Einwilligung nach der DSGVO erforderlich sein. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden,

Darüber hinaus sind bei der Interkation mit IoT-Daten auch die Anforderungen der KI-Verordnung zu berücksichtigen, welche voraussichtlich Mitte dieses Jahres in Kraft tritt. 

Nutzen Sie die Chancen des Data Acts: Strategien für die Zukunft

Der Data Act stellt einen Meilenstein in der europäischen Datenpolitik dar und bietet das Potential, die Nutzung von Daten im EU-Binnenmarkt signifikant zu erweitern. Mit seinen neuen Verpflichtungen richtet er sich an eine breite Palette von Akteuren, von Herstellern vernetzter Produkte bis hin zu öffentlichen Stellen. Während der Data Act vielfältige Möglichkeiten eröffnet, bringt er auch komplexe Anforderungen mit sich, die Unternehmen und Verbraucher gleichermaßen betreffen. In Anbetracht der umfassenden Informationspflichten, der Notwendigkeit von Vertragsanpassungen und der spezifischen Regelungen für nicht-personenbezogene Daten ist es essenziell, sich frühzeitig mit den Bestimmungen auseinanderzusetzen. Unsere Expertise im Bereich des Data Acts ermöglicht es uns, Sie optimal bei der Umsetzung der neuen Regelungen zu unterstützen und sicherzustellen, dass Sie die Übergangsfrist bis 2025 effektiv nutzen können. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Chancen des Data Acts zu nutzen und gleichzeitig die Compliance sicherzustellen.

nach oben
Mehr zum Thema

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Jetzt lesen

BGH stellt EuGH bedeutende Fragen zum Unterlassungsanspruch und immateriellem Schadensersatz nach DSGVO

Jetzt lesen

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.