Data Act – Anwendungsbereich, Auswirkungen, Umsetzung
Die neue Datenverordnung (Data Act) ist seit Anfang 2024 in Kraft und wird weitestgehend ab September 2025 anwendbar sein. Um diese neuen rechtlichen Rahmen organisationsseitig einzuhalten, kann erheblicher rechtlicher und technischer Aufwand für die (Neu-)Gestaltung der betroffenen Produkte/Dienstleistungen und Geschäftsprozesse notwendig werden. In Anbetracht der Komplexität der gesetzlichen Neuerungen und des potentiellen Aufwands für die Umsetzung gebotener technischer und organisatorischer Maßnahmen sollten Unternehmen bestehende Compliance-Strategien mit ausreichend Vorlauf evaluieren.
Anwendungsbereich
Der Data Act nimmt Daten in Zusammenhang mit der Nutzung von IoT-Geräten und gerätebezogenen Diensten (personenbezogene und nicht-personenbezogene Daten) in den Fokus und gilt für verschiedene Akteure, darunter
- Hersteller von vernetzten Produkten und/oder Anbieter von produktbezogenen digitalen Diensten (sog. verbundene Dienste) sowie Nutzer von vernetzten Produkten und/oder den damit verbundenen Diensten
- Dateninhaber (Stellen, die das Recht oder die Pflicht haben, Daten zu nutzen und zur Verfügung zu stellen, auch aufgrund von Verpflichtungen nach dem Data Act selbst) und Datenempfänger (Stellen, denen ein Dateninhaber Daten zur Verfügung stellt)
- Anbieter von Datenverarbeitungsdiensten (Cloud-Computing-Dienste)
Pflichten
Der Data Act gibt verschiedene Pflichten vor, unter anderem:
- Zugänglichmachung von Daten aus vernetzten Produkten und verbundenen Diensten durch Produkt-/Dienstgestaltung („by design“)
- Bereitstellung von Daten aus vernetzten Produkten und verbundenen Diensten für Nutzer und Dritte
- Datenlizenzen für die Nutzung nicht-personenbezogener Daten aus vernetzten Produkten und verbundenen Diensten
- Vorgaben für die Vertragsgestaltung für den Zugang zu Daten, Datenverarbeitungsdienste und insbesondere FRAND-Bedingungen
- Erleichterung der Interoperabilität und des Wechsels zwischen Datenverarbeitungsdiensten
- Transparenz (Informationen an den Nutzer/Kunden)
Zeitlicher Horizont
- Der Data Act gilt im Grundsatz ab September 2025
- Die Vorgaben zur Zugänglichmachung von Daten „by design“ gelten für vernetzte Produkte und damit verbundene Dienste, die nach September 2026 in Verkehr gebracht werden
Compliance-Risiken
Die Bereitstellung von Daten auf Grundlage des Data Act steht im Spannungsverhältnis zum Schutz von geistigem Eigentum/Geschäftsgeheimnissen und zu den Anforderungen der DS-GVO, die vom Data Act unberührt bleibt. Organisationen stehen damit vor der Herausforderung, jeweils sowohl den Data Act als auch die DS-GVO einzuhalten und dabei auch den legitimen Schutz von geistigem Eigentum/Geschäftsgeheimnissen ausreichend zu wahren. Verstöße gegen den Data Act und/oder die DS-GVO können schwerwiegende negative Folgen für die betroffenen Organisationen nach sich ziehen, darunter:
- Erhebliche Bußgelder (bis zu 20 Mio. EUR oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist)
- Vorgehen von Wettbewerbern nach dem UWG
- Schadensersatzforderungen von Betroffenen
- Reputationsverluste
Unser Data, Tech & Telecoms unterstützt gerne in allen Fragen der Datenregulierung. Weitere Informationen finden Sie in unserem Fact Sheet & Capability Statement (Englisch):
Mit unserer laufend aktualisierten „Landkarte“ zum europäischen Datenrecht (europeandatalaw.com) behalten unsere Mandanten im datenregulatorischen Dickicht den Überblick.
Share
Insights
