{"id":20229,"date":"2023-08-01T09:48:59","date_gmt":"2023-08-01T07:48:59","guid":{"rendered":"https:\/\/www.iitr.de\/blog\/?p=20229"},"modified":"2025-07-07T13:37:09","modified_gmt":"2025-07-07T11:37:09","slug":"der-data-act-kommt-checkliste-zur-vorbereitung","status":"publish","type":"post","link":"https:\/\/www.iitr.de\/blog\/der-data-act-kommt-checkliste-zur-vorbereitung\/20229\/","title":{"rendered":"Der \u201eData Act\u201c kommt\u2013 Checkliste zur Vorbereitung"},"content":{"rendered":"

Die Europ\u00e4ische Kommission hat Anfang 2022 einen Entwurf f\u00fcr\u00a0 \u201eData Act\u201c vorgelegt und am 27. Juni 2023 erzielten der EU-Rat, das Parlament und die Kommission (h\u00e4ufig als Trilog bezeichnet) eine Einigung \u00fcber die Bestimmungen des Gesetzes zu den entscheidenden Fragen der gemeinsamen Nutzung von Daten, des Gesch\u00e4ftsgeheimnisses, der vertraglichen Aspekte, der Interoperabilit\u00e4t und des \u201eCloud-Switching\u201c. Mit der Einigung im Trilog<\/a> ist das Gesetzgebungsverfahren abgeschlossen. Die Vereinbarung kann nun f\u00f6rmlich angenommen werden. Nach seiner Verabschiedung soll das Data Act am 20. Tag nach seiner Ver\u00f6ffentlichung im Amtsblatt in Kraft treten und 20 Monate danach wirksam werden. Wir stellen die aktualisierte Fassung des Data Act<\/a> zur Verf\u00fcgung, obwohl sie noch nicht offiziell ver\u00f6ffentlicht wurde.<\/p>\n

Der Data Act soll die rechtlichen Bedingungen f\u00fcr den Zugang zu und die Nutzung von nicht-personenbezogenen, nutzergenerierten Daten neu regeln, indem er sowohl f\u00fcr den privaten als auch f\u00fcr den \u00f6ffentlichen Sektor Zugangsrechte zu Daten schafft und gleichzeitig Dateninhabern, Produktherstellern und Cloud-Anbietern erhebliche Verpflichtungen auferlegt.<\/p>\n

Aufgrund ihres sektor\u00fcbergreifenden Ansatzes gilt die Verordnung f\u00fcr alle Branchen und Wirtschaftszweige. Praktisch jedes Unternehmen, das in irgendeiner Weise Daten verarbeitet, ist potenziell vom Data Act betroffen, obwohl die meisten Pflichten des Data Act grunds\u00e4tzlich nicht f\u00fcr kleine Unternehmen gelten.<\/p>\n

Das Data Act regelt die Erfassung von Daten aus IoT-Ger\u00e4ten wie z.B. Haushaltsger\u00e4ten, Fitness-Ger\u00e4te, Sprachassistenten, Industrieanlagen und vernetzten Fahrzeugen, sowohl personenbezogener als auch nicht personenbezogener Daten.<\/strong> Diese Daten sind wertvoll f\u00fcr die Produktentwicklung, die Wartung von Ger\u00e4ten und das Training von Algorithmen. Alles unter der Behauptung, die Datenschutzgrundverordnung bleibt unber\u00fchrt.<\/p>\n

Hersteller und H\u00e4ndler werden diese Daten nicht mehr exklusiv speichern k\u00f6nnen. F\u00fcr kleine und mittlere Unternehmen bietet der Data Act neue M\u00f6glichkeiten, Zugang zu diesen Daten zu erhalten und neue Gesch\u00e4ftsm\u00f6glichkeiten zu entwickeln. Der Data Act gilt sowohl f\u00fcr europ\u00e4ische als auch f\u00fcr nichteurop\u00e4ische Unternehmen, die in der EU t\u00e4tig sind oder Produkte oder damit verbundene Dienstleistungen vermarkten. <\/strong><\/p>\n

Bereitstellung gespeicherter Daten f\u00fcr Nutzer und Drittempf\u00e4nger<\/h2>\n

Der Data Act r\u00e4umt Nutzern (Verbrauchern und Unternehmen) das Recht ein, auf IoT-Daten von vernetzten Produkten und Diensten zuzugreifen und diese mit Dritten in derselben Qualit\u00e4t wie das Original zu teilen. Die Daten sollen in Echtzeit, kostenlos und in einem maschinenlesbaren Format zur Verf\u00fcgung gestellt werden. Hersteller und Verk\u00e4ufer m\u00fcssen die Nutzer vor Vertragsabschluss \u00fcber den Datenzugang und die Datenweitergabe informieren. Die Nutzer haben das Recht, Art und Umfang der erzeugten Daten, deren kontinuierliche Erzeugung in Echtzeit, die Absicht des Herstellers, die Daten zu nutzen oder weiterzugeben, und die Identit\u00e4t des Dateninhabers zu erfahren. Die Nutzer k\u00f6nnen gegebenenfalls bei der zust\u00e4ndigen Beh\u00f6rde Beschwerde einlegen.<\/p>\n

Die Hersteller d\u00fcrfen die Daten nur dann f\u00fcr eigene Zwecke verwenden, wenn dies ausdr\u00fccklich mit dem Nutzer vereinbart wurde. Die Nutzer k\u00f6nnen die Empf\u00e4nger ihrer Daten frei w\u00e4hlen, es sei denn, es handelt sich um einen „Gatekeeper“ im Sinne des Digital Markets Act.<\/a> Ein Gatekeeper kontrolliert den Marktzugang und hat erheblichen Einfluss, wie z.B. Microsoft, Google, Apple und Facebook. Infolgedessen d\u00fcrfen Gatekeeper weder direkt noch indirekt Nutzerdaten erhalten.<\/p>\n

Daten, die B2B-Empf\u00e4ngern zur Verf\u00fcgung gestellt werden, m\u00fcssen fairen, angemessenen und nichtdiskriminierenden Vertragsbedingungen entsprechen. Der Nutzer erteilt Dritten eine Lizenz und bestimmt, welche Empf\u00e4nger auf die Daten zugreifen d\u00fcrfen. F\u00fcr die Weitergabe der Daten kann der Dateninhaber eine angemessene Verg\u00fctung verlangen.<\/p>\n

Interoperabilit\u00e4t<\/h2>\n

Der Nutzer kann den Vertrag mit seinem Datenverarbeiter, z.B. einem Cloud-Anbieter, innerhalb von 30 Tagen k\u00fcndigen. Der Cloud-Anbieter muss den Wechsel des Dienstleisters durch Schnittstellen und die Einhaltung von Interoperabilit\u00e4tsstandards unter Wahrung der Funktions\u00e4quivalenz und der Sicherheitsstandards gew\u00e4hrleisten. Nach der Umstellung sind alle Daten und Metadaten zu l\u00f6schen. Die Anbieter von Datenverarbeitungsdiensten d\u00fcrfen f\u00fcr die Daten\u00fcbermittlung nur ein reduziertes Entgelt verlangen.<\/p>\n

Zudem m\u00fcssen die Anbieter offenlegen, ob sie \u00fcber IT-Infrastruktur in Drittstaaten verf\u00fcgen und Ma\u00dfnahmen ergreifen, um einen unbefugten staatlichen Zugriff auf nicht personenbezogene Daten zu verhindern, der gegen EU-Recht verst\u00f6\u00dft (Art. 27 Data Act).<\/p>\n

Beh\u00f6rdlicher Zugriff<\/h2>\n

\u00d6ffentliche Stellen und EU-Einrichtungen k\u00f6nnen Zugang zu Daten haben, insbesondere bei \u00f6ffentlichen Notf\u00e4llen wie Naturkatastrophen, Pandemien oder bei der Wahrnehmung von Aufgaben im \u00f6ffentlichen Interesse. Die Beh\u00f6rde kann auf Daten zugreifen, wenn es keine andere zeitnahe und effiziente M\u00f6glichkeit gibt, sie unter gleichwertigen Bedingungen zu beschaffen, wobei die Beschaffung von Daten auf dem Markt f\u00fcr Aufgaben im \u00f6ffentlichen Interesse Vorrang hat.<\/p>\n

Erh\u00e4lt ein Unternehmen ein solches Ersuchen, muss es die angeforderten Daten unverz\u00fcglich zur Verf\u00fcgung stellen (Art. 18 (1) Data Act), es sei denn, die Daten stehen ihm nicht zur Verf\u00fcgung oder das Ersuchen entspricht nicht den gesetzlichen Anforderungen. Falls erforderlich, sollten personenbezogene Daten vor der Weitergabe anonymisiert oder pseudonymisiert werden.<\/p>\n

Nicht-missbr\u00e4uchliche Vertragsklauseln zwischen Dateninhabern und Empf\u00e4ngern<\/h2>\n

Der Data Act zielt darauf ab, missbr\u00e4uchliche Vertragsklauseln zwischen Dateninhabern und Empf\u00e4ngern zu verhindern, und solche Klauseln sind nicht bindend. Die Verordnung definiert missbr\u00e4uchliche Klauseln als solche, die erheblich von der guten Gesch\u00e4ftspraxis abweichen und gegen Treu und Glauben und den redlichen Gesch\u00e4ftsverkehr versto\u00dfen. Beispiele hierf\u00fcr sind die Beschr\u00e4nkung der Haftung f\u00fcr Vorsatz oder grobe Fahrl\u00e4ssigkeit, der Ausschluss von Rechtsmitteln bei Nichterf\u00fcllung, die Gew\u00e4hrung einseitiger Rechte zur Auslegung von Klauseln, der Zugriff auf Daten, der die berechtigten Interessen der anderen Partei verletzt, die Behinderung der Datennutzung, die Verweigerung von Datenkopien und unangemessen kurze K\u00fcndigungsfristen f\u00fcr Vertr\u00e4ge. Die Kommission wird Mustervertragsklauseln einf\u00fchren, um missbr\u00e4uchliche Klauseln zu vermeiden. Die Verordnung regelt nicht die Datennutzung, die mit Verbrauchern geschlossen werden, um gro\u00dfe Datenmengen zu erhalten, und es gibt derzeit keine Leitlinien, wie diese rechtskonform formuliert werden k\u00f6nnen. Unternehmen sollten darauf achten, dass solche Datennutzungsvertr\u00e4ge klar formuliert sind und die Verbraucher zumindest nicht pauschal auf alle Rechte an ihren Daten verzichten.<\/p>\n

Schutz des geistigen Eigentums<\/h2>\n

Der Data Act verpflichtet die Unternehmen nicht zur Offenlegung ihrer Gesch\u00e4ftsgeheimnisse (Art. 8 (6) Data Act). Der Dateninhaber kann vor der Bekanntgabe von Daten die notwendigen Ma\u00dfnahmen zum Schutz seiner Gesch\u00e4ftsgeheimnisse ergreifen und die Nutzer oder Datenempf\u00e4nger vertraglich verpflichten, zus\u00e4tzliche Ma\u00dfnahmen zum Schutz der Daten zu ergreifen. In Ausnahmef\u00e4llen k\u00f6nnen die Dateninhaber die Weitergabe verweigern, wenn ein schwerer und nicht wiedergutzumachender wirtschaftlicher Schaden zu erwarten ist, wobei eine Meldung an die zust\u00e4ndige Beh\u00f6rde zur \u00dcberpr\u00fcfung erforderlich ist. Jede Verwendung der Daten zur Entwicklung von Konkurrenzprodukten ist strengstens untersagt (Art. 4 Abs. 4 Data Act). Wenn ein Empf\u00e4nger die Daten des Dateninhabers unbefugt erh\u00e4lt oder verwendet, muss er sie zusammen mit den daraus abgeleiteten G\u00fctern vernichten und Schadenersatz leisten (Art. 11 (2) Data Act), es sei denn, es ist kein Schaden entstanden oder die Ma\u00dfnahme ist unverh\u00e4ltnism\u00e4\u00dfig.<\/p>\n

Checkliste f\u00fcr mittlere und gro\u00dfe Unternehmen:<\/h2>\n

Unternehmen sollten<\/strong><\/p>\n