Datenschutz Verstehen – EU Data Act
In einer Zeit, in der Daten als das ’neue Gold‘ bezeichnet werden, bemüht sich die Europäische Union, einen rechtlichen Rahmen zu schaffen, der nicht nur den sicheren und effizienten Datenfluss fördert, sondern auch den Schutz der Privatsphäre und die Souveränität der Daten gewährleistet. Die bereits in Kraft getretene, aber erst ab 12.09.2025 direkt anwendbare „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act oder Datengesetz) der EU ist eine bedeutende Regelung, die das Potential hat, die Art und Weise, wie Unternehmen, Forscher und Bürger in Europa Daten nutzen und teilen, radikal zu verändern. Dieser Blogbeitrag wird einen tiefen Einblick in die Kernaspekte dieser Verordnung geben, ihre möglichen Auswirkungen und warum jeder, der in der digitalen Wirtschaft tätig ist, ein wachsames Auge darauf haben sollte.
Was ist der Data Act?
Die Europäische Union möchte die bisherigen Datenschutzregulierungen mit dem „Data Act“ innerhalb der EU modernisieren, um den Anforderungen der Digitalisierung zu entsprechen. Unklarheiten hinsichtlich der Frage, wer was mit den generierten Daten tun darf, sollen durch das Gesetzespaket ausgeräumt und die Datennutzung erleichtert werden. So sollen die Rechte der Bürgerinnen und Bürger der EU gestärkt sowie die Förderung des Datenhandels und der Innovation durch mehr rechtliche Klarheit vorangetrieben werden.
Wann kommt der Data Act?
Das Gesetzgebungsverfahren der Europäischen Union ist langwierig und dauert ab dem Gesetzgebungsvorschlag meist mehrere Monate, manchmal sogar Jahre. Der „Data Act“ wurde im Februar 2022 von der Kommission angenommen und im Juni 2023 vom Europäischen Parlament und dem Rat der EU formal genehmigt. Im Jahr 2025 tritt der Data Act dann in Kraft. Im November 2023 hat der Rat der Europäischen Union den „Data Act“ verabschiedet. Er wurde im Dezember 2023 im Amtsblatt der EU verkündet und ist sodann am 11. Januar 2024 in Kraft getreten. Er wird er aber erst nach einer grundsätzlichen Übergangsfrist von 20 Monaten ab dem 12. September 2025 EU-weit direkt anwendbar.
Was sind die Ziele des Data Acts?
Der Data Act soll den Bürgerinnen und Bürger die Kontrolle über ihre persönlichen Daten geben und ihnen ermöglichen, besser zu verstehen, wie ihre Daten genutzt werden. Zudem soll er durch klare Regeln für den internationalen Datenfluss und die Interoperabilität zwischen verschiedenen Datenplattformen und -formaten das Wachstum des Datenhandels in der EU fördern und die EU so gegenüber anderen Ländern, insbesondere den USA, wettbewerbsfähiger machen.
Der „Data Act“ soll eine Balance zwischen Datenschutz und Innovation schaffen, indem er Bürgerinnen und Bürger Kontrollmöglichkeiten gibt, wie ihre personenbezogenen Daten genutzt werden. Für Nutzerinnen und Nutzer soll es klare Regelungen geben, wer Daten besitzt und wie diese Daten verwendet werden können, insbesondere in Situationen, in denen Daten zwischen verschiedenen Entitäten geteilt werden.
Der Datenzugang soll sowohl für Unternehmen als auch für Einzelpersonen vereinfacht werden. Dies soll Unternehmen helfen, innovative datengetriebene Dienstleistungen zu entwickeln und zu verbessern, indem sie einen einfacheren Zugang zu nicht-personenbezogenen Daten erhalten.
Mechanismen des „Data Acts“ sollen Unternehmen und Einzelpersonen ermutigen, ihre Daten für das Allgemeinwohl zur Verfügung zu stellen.
Trotzdem bleibt Verbraucherschützern zufolge unklar, wie Verbraucherinnen und Verbraucher geschützt werden, sollten sie sich freiwillig für die Weitergabe von Daten entscheiden. Der Datenaustausch bleibt weiterhin schwer zu überblicken und Unternehmen könnten diese Überforderung ausnutzen.
Doch auch aus der Wirtschaft kommen Bedenken. Unternehmen befürchten durch die Verpflichtung zu mehr Transparenz und Datenkontrolle schwere Eingriffe. Von der Industrie wird der Eingriff in die gut funktionierende Vertragsfreiheit kritisiert sowie der mangelnde Schutz von Geschäftsgeheimnissen.
Regelungen durch den Data Act
Durch den „Data Act“ soll für Unternehmen wie Privatpersonen verbindlich festgelegt werden, wann Daten von vernetzten Geräten empfangen und weitergegeben werden dürfen. Der „Data Act“ soll es vereinfachen, Informationen nicht wie bisher nur vom Hersteller des Geräts zu sammeln, sondern diese auch Drittanbietern zur Verfügung zu stellen. Durch die Daten sollen Vorgänge wie Betriebsabläufe oder Supply Chains optimiert werden.
So soll das große Potential, das in den bisher noch ungenutzten Datenmengen liegt, vollständig erschöpft werden. Das Gesetzespaket soll Maßnahmen enthalten, welche Unternehmen, unabhängig von der Größe, dazu anhalten, sich an der Datenwirtschaft zu beteiligen und in hochwertige Datenerzeugung zu investieren.
Zudem soll die Datenübertragung zwischen verschiedenen Dienstleistern, wie zum Beispiel Cloud-Diensten, vereinfacht werden. Dadurch soll die Bindung an bestimmte Anbieter minimiert und so der Wettbewerb gestärkt werden.
Daten sind besonders für die Entwicklung von künstlichen Intelligenzen interessant. Als Reaktion darauf enthält der „Data Act” Leitlinien für einen ethischen und rechtskonformen Einsatz von KI. Spannend wird hierbei sein, welche Vorkehrungen hinsichtlich Anonymisierung und Pseudonymisierung gefordert werden von den Unternehmen.
In Ausnahmefällen, wie Naturkatastrophen oder Waldbränden, sollen Behörden Zugriff auf die Daten von privaten Unternehmen bekommen.
Im Gesetzespaket enthaltene Schutzmaßnahmen sollen vor Datenmissbrauch schützen und der “Data Act” soll, zum Beispiel durch von der Kommission veröffentlichte Mustervertragsklauseln, den Missbrauch durch vertragliche Ungleichgewichte verhindern. Verstöße können, ähnlich wie nach der DSGVO, zu hohen Bußgeldern führen.
Zusammengefasst hat der „Data Act“ also folgende Anforderungen an Unternehmen:
- Transparenz bezüglich der Daten, die sie sammeln, nutzen und teilen
- Interoperabilität zwischen Produkten und Dienstleistungen
- Datenschutz und -sicherheit der gesammelten Daten und Informationen
- Datenaustausch zwischen verschiedenen Unternehmen und Verbrauchern
- Datenportabilität zwischen verschiedenen Anbietern und Dienstleistern
- behördlicher Zugriff auf gesammelte Daten der Privatwirtschaft bei öffentlichen Notfällen
Unternehmen sollten dabei besonders darauf achten, dass ihre Geschäftsgeheimnisse bei der Bereitstellung der Daten ausreichend geschützt sind.
Vergleich Data Act & DSGVO
Die Datenschutz-Grundverordnung (DSGVO) regelt den Datenschutz in der EU. Sie dient insbesondere dem Schutz von personenbezogenen Daten und soll diese vor Missbrauch schützen. Der „Data Act“ basiert zwar auf der DSGVO, erweitert diese jedoch, insbesondere um spezifische Bestimmungen für die Nutzung von Daten im digitalen Umfeld. Im Fokus stehen die industriellen Daten und nicht die personenbezogenen Daten. Diese sollen für Unternehmen und Verbraucher besser und einfacher nutzbar gemacht werden, ohne dabei den Schutz von personenbezogenen Daten zu vernachlässigen
Der „Data Act“ der EU markiert einen bedeutenden Schritt in der Evolution des Datenschutzes und der Datennutzung. Er soll die Europäische Union wettbewerbsfähiger im Vergleich zu den USA machen, indem Daten als wertvolle Ressource geschützt und gleichzeitig sinnvoll genutzt werden können. Ob der Spagat zwischen Daten schützen und Daten nutzen gelingt, und ob die EU durch den „Data Act“ mit den USA konkurrieren kann, bleibt abzuwarten.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.