• Startseite
  • Datenschutz
  • Data Act – Haben Sie mit Daten zu tun? Vielleicht sind auch Sie von der DatenVO betroffen.

Data Act – Haben Sie mit Daten zu tun? Vielleicht sind auch Sie von der DatenVO betroffen.

Was ist der Data Act und was ist sein Zweck? Der Data Act ist die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für den fairen Zugang zu Daten und deren Nutzung.

Die Verordnung zielt darauf ab, eine faire Verteilung des aus Daten generierten Werts zu gewährleisten und gleichzeitig die Interessen derjenigen zu schützen, die in Technologien zur Datengenerierung investieren.

Subjektiver Geltungsbereich – wen betreffen die Bestimmungen des Data Act?

Die Datenverordnung gilt für viele verschiedene Rechtsträger:

o    Hersteller vernetzter Produkte und Anbieter damit verbundener Dienstleistungen

o    Dateninhaber, d. h. Rechtsträger, die Zugang zu Daten aus vernetzten Produkten oder damit verbundenen Dienstleistungen haben

o    Parteien von Verträgen über den Zugang zu und die Nutzung von Daten

o    Anbieter von Datenverarbeitungsdiensten, die solche Dienste für Kunden in der Union erbringen (einschließlich IaaS, PaaS, SaaS)

o    Teilnehmer am Datenraum und Verkäufer von Anwendungen, die intelligente Verträge nutzen.

Um den Umfang der vom Data Act betroffenen Unternehmen zu bestimmen, ist es notwendig, die grundlegenden Definitionen zu verstehen. Hier sind einige davon:

Vernetztes Produkt

bezeichnet einen Gegenstand, der verfügbare Daten über seine Nutzung oder seine Umgebung erfasst, generiert oder sammelt und in der Lage ist, Daten aus dem Produkt über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen Gerätezugang zu kommunizieren. Zu dieser Kategorie können intelligente Haushaltsgeräte, Unterhaltungselektronik, Industriemaschinen, medizinische Geräte, Smartwatches und Fernseher gehören.

Verbundener Dienst

bezeichnet einen digitalen Dienst, einschließlich Software, jedoch mit Ausnahme von elektronischen Kommunikationsdiensten (d. h. Bereitstellung von Internet, usw.), die beim Kauf, der Miete, Pacht oder dem Leasing mit einem Produkt so verbunden ist, dass ohne sie das verbundene Produkt mindestens eine seiner Funktionen nicht ausführen könnte, oder die später vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um Funktionen des verbundenen Produkts hinzuzufügen, zu aktualisieren oder zu ändern. Zwei grundlegende Bedingungen müssen erfüllt sein, damit ein digitaler Dienst als verbundener Dienst gilt:

o    Es muss ein bidirektionaler Datenaustausch zwischen dem verbundenen Produkt und dem Dienstleister stattfinden.

o    Der Dienst muss die Funktionen, das Verhalten oder die Leistung des verbundenen Produkts beeinflussen.

Dateninhaber

bezeichnet eine natürliche oder juristische Person, die das Recht oder die Pflicht hat, Daten zu nutzen und weiterzugeben, einschließlich Daten aus einem vernetzten Produkt oder Daten aus einem verbundenen Dienst, die von ihr während der Erbringung des verbundenen Dienstes abgerufen oder generiert wurden.

Datenverarbeitungsdienst

bezeichnet einen für den Kunden erbrachten digitalen Dienst, der einen allgegenwärtigen, netzwerkbasierten On-Demand-Zugriff auf einen gemeinsamen Pool konfigurierbarer, skalierbarer und flexibler Rechenressourcen, die zentralisiert, verteilt oder hochgradig verteilt sind und mit minimalem Verwaltungsaufwand oder minimaler Interaktion mit dem Dienstanbieter schnell zugewiesen und freigegeben werden können. Zu dieser Kategorie gehören Verträge über die Erbringung von Dienstleistungen im PaaS-, IaaS- und SaaS-Modell.

Verpflichtungen gemäß dem Data Act

1.Verpflichtungen für Hersteller vernetzter Produkte und Anbieter verbundener Dienste in Bezug auf die Gestaltung

Hersteller und Anbieter verwandter Dienste müssen vernetzte Produkte und verwandte Dienste so gestalten, dass alle Daten aus dem Produkt oder Dienst für den Nutzer standardmäßig leicht, sicher, kostenlos, vollständig, strukturiert, allgemein verwendet und in einem maschinenlesbaren Format zugänglich sind.

2. Informationspflichten vor Vertragsabschluss

Vor Abschluss des Kaufvertrags muss der Hersteller dem Käufer Informationen über die Produktdaten zur Verfügung stellen, insbesondere über die Art, das Format und die geschätzte Datenmenge, die das System generieren kann.

Ebenso müssen Anbieter von verbundenen Dienstleistungen Informationen über die Daten bereitstellen, die sie im Zusammenhang mit der Dienstleistung verarbeiten werden.

3. Mechanismus zur Bereitstellung von Daten für Nutzer

Die Dateninhaber müssen einen Mechanismus zur Bereitstellung von Daten auf Anfrage des Nutzers gewährleisten.

Wenn ein Nutzer keinen direkten Zugriff auf die Daten erhalten kann, müssen die Dateninhaber ihm auf Anfrage kostenlos, unverzüglich, einfach und sicher die verfügbaren Daten zur Verfügung stellen.

Darüber hinaus muss der Dateninhaber die in der Anfrage des Nutzers angegebenen Daten auf die gleiche Weise einem Dritten zur Verfügung stellen.

4. Weitergabe von Daten an Behörden

In Ausnahmefällen (Reaktion auf eine Gefahr für die öffentliche Sicherheit oder andere Aufgaben im öffentlichen Interesse) sind die Dateninhaber verpflichtet, die im Antrag angegebenen und verfügbaren Daten an Behörden weiterzugeben.

5. Pflichten der Datenverarbeitungsdienstleister

Datenverarbeitungsdienstleister müssen Maßnahmen ergreifen, die es ihren Kunden ermöglichen, zu einem Datenverarbeitungsdienst desselben Typs eines anderen Anbieters zu wechseln.

Der Data Act enthält Mindestanforderungen an den Inhalt von Verträgen über Cloud-Dienste. Diese Anforderungen umfassen Garantien für die Datenübertragbarkeit, Maßnahmen zur Standardisierung und Interoperabilität sowie vertragliche Sicherheiten für den Anbieterwechsel und die schrittweise Abschaffung der Gebühren für den Anbieterwechsel bis 2027.

Vom 11. Januar 2024 bis zum 12. Januar 2027 können sie reduzierte Gebühren für den Anbieterwechsel erheben. Nach diesem Zeitraum dürfen Datenverarbeitungsanbieter ihren Kunden keine Gebühren für den Anbieterwechsel mehr berechnen.

Freistellungen für KMU laut Datenverordnung

Kleinstunternehmen und kleine Unternehmen sind von den Pflichten zur Bereitstellung von Daten befreit, sofern sie:

o    den Status eines Kleinst- oder Kleinunternehmens haben.

o    kein Partnerunternehmen oder verbundenes Unternehmen haben, das nicht als Kleinst- oder Kleinunternehmen gilt.

o    sie sind kein Subunternehmer, der mit der Herstellung oder Entwicklung eines Produkts beauftragt wurde.

Mittlere Unternehmen können mit einer einjährigen Übergangsfrist rechnen, in der sie bestimmte Verpflichtungen nicht erfüllen müssen.

Inkrafttreten und Übergangsfristen

Die Verordnung Data Act gilt mit einigen Ausnahmen ab dem 12. September 2025.

Die Verpflichtungen gemäß Artikel 3 Absatz 1 (Produktdesign) gelten für vernetzte Produkte und damit verbundene Dienstleistungen, die nach dem 12. September 2026 in Verkehr gebracht werden. Kapitel IV des Data Act über Vereinbarungen über den Zugang zu Daten und deren Nutzung gilt für Vereinbarungen, die nach dem 12. September 2025 geschlossen werden. Darüber hinaus gilt Kapitel IV ab dem 12. September 2027 für Verträge, die bis einschließlich 12. September 2025 geschlossen wurden, sofern sie unbefristet sind oder mindestens 10 Jahre nach dem 11. Januar 2024 auslaufen.

Konsequenzen und Sanktionen bei Nichteinhaltung der VorschriftenSystem von Strafen und Sanktionen

Die Mitgliedstaaten müssen Vorschriften über Strafen für Verstöße gegen die Verordnung festlegen und alle erforderlichen Maßnahmen treffen, um deren Durchsetzung zu gewährleisten. Die vorgesehenen Strafen müssen wirksam, verhältnismäßig und abschreckend sein.

Die Mitgliedstaaten müssen der Kommission diese Vorschriften und Maßnahmen bis zum 12. September 2025 mitteilen.

Die Mitgliedstaaten sollten bei der Festlegung der Sanktionen folgende Kriterien berücksichtigen: Art, Schwere, Umfang und Dauer des Verstoßes; alle Maßnahmen, die der Verstoßende zur Milderung der Auswirkungen ergriffen hat; alle früheren Verstöße; erzielte finanzielle Vorteile oder vermiedene Verluste; sonstige erschwerende oder mildernde Umstände; Jahresumsatz der verletzenden Partei in der Union.

Polen hat bislang keine entsprechenden Vorschriften erlassen.

DSGVO-Sanktionen

Der Data Act betrifft nicht personenbezogene Daten, jedoch können die für die Überwachung der Anwendung der DSGVO zuständigen Aufsichtsbehörden bei Verstößen gegen die in den Kapiteln II, III und V des Data Act festgelegten Pflichten gemäß Artikel 83 DSGVO administrative Geldbußen verhängen.

Rechtsbehelfsverfahren

Natürliche und juristische Personen haben das Recht, bei der zuständigen Behörde des Mitgliedstaats, in dem sie ihren gewöhnlichen Aufenthalt, ihren Arbeitsplatz oder ihren Sitz haben, Beschwerde einzulegen, wenn sie der Ansicht sind, dass ihre Rechte aus der Verordnung verletzt wurden.

Jede Person hat das Recht auf einen wirksamen Rechtsbehelf gegen eine rechtsverbindliche Entscheidung der zuständigen Behörden und für den Fall, dass die zuständige Behörde auf eine Beschwerde nicht reagiert.

Wie bereitet man ein Unternehmen auf die Umsetzung der Vorschriften vor?

  1. Audit und Datenkartierung

Bestimmung der in den Produkten verfügbaren Daten – Festlegung, welche Daten aus den Produkten verfügbar sein werden, z. B. in der Projektdokumentation, und Entscheidung, welche Daten zur Verfügung gestellt werden sollen. Dabei können der Schutz von Geschäftsgeheimnissen und die Produktsicherheit berücksichtigt werden.

2. Vorbereitung von Informationen für Kunden

Sammlung der gemäß dem Data Act erforderlichen Informationen und Aufnahme dieser Informationen in die Materialien, die potenziellen Kunden, einschließlich Händlern, vor Vertragsabschluss zur Verfügung gestellt werden.

3. Entwicklung technischer Mechanismen

Entwicklung eines Mechanismus zur Bereitstellung der gesammelten Daten für Produktnutzer und von ihnen autorisierte Dritte.

4. Vorbereitung der vertraglichen Grundlage

Um die aus den Produkten gewonnenen Daten nutzen zu können, muss das Unternehmen diesbezügliche Verträge mit den Nutzern abschließen.

5. Anpassung der Dienstleistungsbedingungen an die Anforderungen des Data Act

Anbieter von Datenverarbeitungsdiensten sollten ihre Dienstleistungsbedingungen überprüfen und an die neuen Anforderungen anpassen

Zusammenfassung und abschließende Empfehlungen

Der Data Act ist eine bahnbrechende Verordnung, die die Art und Weise, wie Unternehmen Daten aus vernetzten Produkten verwalten, grundlegend verändern wird. Der Erfolg der Umsetzung hängt von einem systematischen Ansatz bei den Vorbereitungen ab, die bereits jetzt beginnen sollten.