06/12/2023
Data Law: Data Act, Data Governance Act & Co.
Mit der European Data Strategy will die EU die Datenwirtschaft zum Leben erwecken und Europa als Innovationsstandort fördern. Insbesondere die Nutzung von Maschinendaten soll vorangetrieben und vereinfacht werden. Mit dem in Kürze in Kraft tretenden Data Act und dem Data Governance Act liegen zwei umfassende Datengesetze vor, die zusammen die Eckpfeiler für ein neues EU-weit harmonisiertes Datenrecht bilden. Kernpunkte des Data Act
Um was geht es? Der Data Act reguliert erstmals den Zugang zu und die Nutzung von personenbezogenen und nicht-personenbezogene Daten, die durch die Nutzung von Internet of Things (IoT)-Produkten und -Diensten erzeugt werden. Die Europäische Datenschutz-Grundverordnung (DSGVO) bleibt daneben anwendbar. Außerdem beinhaltet der Data Act spezifische Regelungen für Cloud-Dienste.
Wer ist betroffen? Der Data Act richtet sich an Unternehmen aller Branchen, die datengestützte Produkte oder verbundene Dienste in der EU anbieten oder dies planen sowie an die Nutzer dieser Produkte und Dienste in der EU.
Wann? Als Verordnung gilt der Data Act unmittelbar in allen EU-Mitgliedsstaaten. Er ist vom Europäischen Parlament und vom Rat beschlossen und wird nach einer Übergangsfrist von 20 Monaten ab Mitte 2025 anwendbar sein. Umfangreiche Datenzugangsansprüche Der Data Act stellt die Nutzer in den Mittelpunkt. Er ordnet ihnen die Hoheit über im Rahmen der Nutzung der IoT-Produkte und -Dienste generierte Daten zu und gewährt ihnen umfangreiche Rechte und Zugangsansprüche in Bezug auf die Daten. Herstellern der Produkte und Anbietern der Dienste wird es gleichzeitig ohne Gestattung durch den Nutzer nicht mehr möglich sein, diese Daten frei zu nutzen. Hersteller und Anbieter müssen den Nutzern kostenfrei und wenn möglich in Echtzeit Zugang zu den Daten verschaffen. Diese Verpflichtung muss bereits bei der Entwicklung der Produkte und Dienstleistungen berücksichtigt werden („Data-Access-by-Design“). Hinzu kommen Transparenz- und Informationspflichten. Nutzer können zukünftig verlangen, die Daten Dritten (auch Wettbewerbern!) zugänglich zu machen. Vorbehaltlich geeigneter technischer und organisatorischer Maßnahmen umfasst dies auch Geschäftsgeheimnisse, wobei der Data Act Regelungen zum Schutz vor der Entwicklung von Konkurrenzprodukten auf Basis der Daten aufweist. Zudem regelt der Data Act Ansprüche öffentlicher Stellen auf Datenzugang, z.B. zur Gefahrenabwehr bei Notfällen. Neue Vorgaben zur Vertragsgestaltung Der Data Act enthält zahlreiche Anforderungen an die Gestaltung von datenbezogenen Verträgen. Insbesondere wird durch den Data Act erstmals auf B2B-Ebene eine Art AGB-rechtliche Inhaltskontrolle eingeführt. Regelungen zum Wechseln von Cloud Services Anbieter von Cloud-Diensten verpflichtet der Data Act, diese so zu gestalten, dass ein Wechsel der Kunden zu einem anderen Anbieter oder eine Rückverlagerung zum Kunden selbst („on premise“) einfach möglich ist. Insoweit bestehen zahlreiche Vorgaben für die Gestaltung von Cloud-Verträgen, z.B. zu Kündigungs- und Übergangsfristen, Unterstützungspflichten sowie Vergütungsregelungen. Kernpunkte des Data Governance Act Mit dem Data Governance Act (DGA) soll zum Vorteil des europäischen Binnenmarktes ein Rechtsrahmen für die gemeinsame Nutzung von Daten geschaffen werden, der einen neutralen Zugang zu Daten und die Interoperabilität sichert, sowie zur Vermeidung von Lock-in-Effekten beiträgt. Der DGA gilt bereits seit dem 24. September 2023. Er umfasst drei Säulen:Weiterverwendung von Daten im Besitz öffentlicher Stellen. Der DGA enthält Regeln für die Weiterverwendung bestimmter Kategorien geschützter Daten, zu denen öffentliche Stellen Zugang haben. Allerdings umfasst der DGA keine Verpflichtung für öffentliche Stellen, die Weiterverwendung von Daten zuzulassen.
Datenvermittlungsdienste als „Schlüssel der Datenwirtschaft“. Der DGA umfasst Regelungen für Datenvermittlungsdienste wie z.B. Datenmarktplätze, die u.a. Registrierungspflichten unterliegen. So soll es insbesondere für kleine und mittlere Unternehmen (KMU) und Start-ups leichter werden, Zugang zu Daten zu erhalten und diese zu nutzen.
Freiwillige Datenspenden – Datenaltruismus. Um mehr Daten für Wirtschaft, Forschung, Innovation und Umweltschutz nutzbar zu machen, will der DGA die freiwillige Bereitstellung von Daten erleichtern und absichern. Dies soll insbesondere durch die Anerkennung von datenaltruistischen Organisationen erfolgen. Dazu müssen Einrichtungen bestimmte Anforderungen erfüllen (z. B. auf gemeinnütziger Basis arbeiten und rechtlich unabhängig sein) und ein Anerkennungsverfahren durchlaufen. Wie geht es weiter? Welcher Handlungsbedarf besteht? Data Act und DGA sind der erste Schritt in der Umsetzung der Europäischen Datenstrategie. Weitere sektorspezifische Detailregelungen, insbesondere zu den sogenannten „Data Spaces“ (European Health Data Space, European Mobility Data Space etc.), werden folgen oder sind bereits im Gesetzgebungsprozess. Unternehmen sollten zeitnah den Impact des Data Act sowie der anderen Vorschriften des neuen Europäischen Datenrechts auf ihre Daten- und Geschäftsstrategie analysieren und vorbereitende Maßnahmen ergreifen:
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.