Das Europäische Datengesetz und seine Folgen für Ihr Unternehmen

Das Europäische Datengesetz und seine Folgen für Ihr Unternehmen Das Europäische Datengesetz wird im September 2025 in Kraft treten und sich auf die Verwendung und den Zugang zu nicht-personenbezogenen, nutzergenerierten Daten in allen Branchen auswirken. Unternehmen sollten jetzt mit den Vorbereitungen beginnen, um die Einhaltung der neuen Gesetzgebung zu gewährleisten. Hier finden Sie eine umfassende Checkliste und die wichtigsten Punkte, die Ihnen und Ihrem Unternehmen dabei helfen, die Anforderungen in Bezug auf Datenzugriff, -weitergabe und -schutz zu erfüllen.

european government strassbourg wittmann legal services

Der Data Act - Was Sie jetzt wissen müssen / Checkliste zur Vorbereitung

Am 9. November 2023 hat das Europäische Parlament den vereinbarten Text für eine neue Verordnung mit dem Titel "Schaffung einheitlicher Regeln für einen gerechten Datenzugang und eine faire Datennutzung", allgemein als Datengesetz bezeichnet, angenommen. Die offizielle Bestätigung durch den Rat der Europäischen Union erfolgte am 27. November 2023. Das Datengesetz wird voraussichtlich in den kommenden Wochen im Amtsblatt der Europäischen Union veröffentlicht und soll 20 Tage danach in Kraft treten. Es wird ab September 2025 anwendbar sein, also 20 Monate nach seiner Verabschiedung. Im Folgenden finden Sie wichtige Informationen, die Ihr Unternehmen bei der effektiven Vorbereitung auf die Umsetzung des Data Act unterstützen.

Was ist der Zweck des Data Act?

Das Datengesetz zielt darauf ab, die rechtlichen Bedingungen für den Zugang zu und die Nutzung von nicht-personenbezogenen, nutzergenerierten Daten neu zu regeln, indem es Rechte auf den Zugang zu Daten sowohl für den privaten als auch für den öffentlichen Sektor schafft und gleichzeitig den Dateninhabern, Produktherstellern und Cloud-Anbietern erhebliche Verpflichtungen auferlegt.

Aufgrund ihres sektorübergreifenden Ansatzes gilt die Verordnung für alle Branchen und Sektoren der Wirtschaft. Praktisch jedes Unternehmen, das in irgendeiner Weise Daten verarbeitet, ist potenziell vom Data Act betroffen, auch wenn die meisten Verpflichtungen des Data Acts nicht für kleine Unternehmen gelten.

Der Data Act regelt die Sammlung von persönlichen und nicht-persönlichen Daten von IoT- Geräten und damit verbundenen Diensten wie Haushaltsgeräten, Fitnessgeräten, Sprachassistenten, Industrieanlagen und vernetzten Fahrzeugen. Diese Daten sind wertvoll für die Produktentwicklung, die Wartung von Geräten und das Training von Algorithmen. Hersteller und Einzelhändler werden diese Daten nicht mehr exklusiv speichern können. Für kleine und mittlere Unternehmen bietet der Data Act neue Möglichkeiten, auf diese Daten zuzugreifen und neue Geschäftsmöglichkeiten zu entwickeln. Das Datengesetz gilt sowohl für europäische als auch für außereuropäische Unternehmen, die in der EU tätig sind oder Produkte oder damit verbundene Dienstleistungen vermarkten.

Was hat die GDPR mit dem Data Act zu tun?

Die GDPR konzentriert sich auf personenbezogene Daten, während der Data Act Proposal sowohl personenbezogene als auch nicht-personenbezogene Daten umfasst. Es ist wichtig, beide Verordnungen zusammen zu betrachten, insbesondere in Situationen, in denen es um gemischte Datensätze geht.

Der Data Act Proposal ergänzt die GDPR, ohne die bestehenden Rechte und Pflichten zu untergraben. Der Entwurf besagt ausdrücklich, dass Dateninhaber bei der Verarbeitung personenbezogener Daten als für die Verarbeitung Verantwortliche im Sinne der Datenschutz-Grundverordnung handeln sollten und deren Verpflichtungen unterliegen. Die im Data Act Proposal dargelegten Transparenzanforderungen für Daten aus vernetzten Geräten setzen die Informationspflichten der für die Verarbeitung Verantwortlichen gemäß der DSGVO nicht außer Kraft. Im Zusammenhang mit vernetzten Geräten stärkt der Data Act das Recht auf Datenübertragbarkeit, so dass Nutzer sowohl auf persönliche als auch auf nicht-persönliche Daten von diesen Geräten zugreifen und sie übertragen können. Darüber hinaus werden Schutzmaßnahmen für den internationalen Fluss nicht-personenbezogener Daten eingeführt, ohne die Regeln für die Übertragung personenbezogener Daten an Dritte außerhalb der EU zu beeinträchtigen.

Das Wichtigste in Kürze:

Kleine Unternehmen, Kleinstunternehmen und neu gegründete mittelständische Unternehmen oder mit betroffenen Produkten, die weniger als ein Jahr alt sind, sind von dem Datengesetz ausgenommen.

Kleine Unternehmen und Kleinstunternehmen sind vom Anwendungsbereich des Data Act ausgenommen. Kapitel 2 des Gesetzes gilt nicht für sie. Mittelgroße Unternehmen sind vom Anwendungsbereich des Data Act ausgenommen, wenn sie den Schwellenwert für diese Kategorie seit weniger als einem Jahr erfüllen. Wenn das Produkt eines mittelständischen Unternehmens betroffen ist, ist es vom Anwendungsbereich ausgenommen, wenn das Produkt seit weniger als einem Jahr auf dem Markt ist.

Bereitstellung gespeicherter Daten für Nutzer und Drittempfänger

Das Datengesetz gibt Nutzern (Verbrauchern und Unternehmen) das Recht, auf IoT-Daten von angeschlossenen Produkten und Diensten zuzugreifen und diese mit Dritten in der gleichen Qualität wie das Original zu teilen. Die Daten sollten in Echtzeit, kostenlos und in einem maschinenlesbaren Format zur Verfügung gestellt werden. Die Inhaber der Daten müssen die Nutzer über den Datenzugang und die gemeinsame Nutzung informieren, bevor sie einen Vertrag abschließen. Die Nutzer haben das Recht, Art und Umfang der erzeugten Daten zu erfahren, ob sie kontinuierlich in Echtzeit erzeugt werden, die Absicht des Herstellers, die Daten zu nutzen oder weiterzugeben, sowie die Identität des Dateninhabers. Falls erforderlich, können die Nutzer bei einer zuständigen Behörde Beschwerde einlegen, wenn diese Rechte verletzt werden.

Die Dateninhaber dürfen die Daten nur dann für ihre eigenen Zwecke verwenden, wenn dies mit dem Nutzer ausdrücklich in Form einer Lizenz vereinbart wurde. Die Nutzer können den Empfänger ihrer Daten frei wählen und Lizenzverträge abschließen, die Dritten das Recht auf ihre Daten einräumen. Hiervon gibt es eine Ausnahme. Wenn der Empfänger ein "Gatekeeper" im Sinne des Gesetzes über digitale Märkte ist, darf er keine Lizenz für die Nutzerdaten abschließen. Ein Gatekeeper kontrolliert den Marktzugang und hat erheblichen Einfluss, wie z.B. Microsoft, Google, Apple und Facebook. Infolgedessen dürfen Gatekeeper weder direkt noch indirekt Nutzerdaten erhalten.

Daten, die B2B-Empfängern zur Verfügung gestellt werden, müssen fairen, angemessenen und nicht diskriminierenden Vertragsbedingungen unterliegen. Der Nutzer erteilt Dritten eine Lizenz und bestimmt, welche Empfänger auf die Daten zugreifen dürfen. Der Eigentümer der Daten kann eine angemessene Vergütung für die Weitergabe der Daten verlangen.

Cloud-Wechsel

Der Nutzer kann den Vertrag mit dem Datenverarbeiter, z.B. einem Cloud-Anbieter, innerhalb von 30 Tagen kündigen. Der Cloud-Anbieter muss den Wechsel des Dienstanbieters über Schnittstellen und die Einhaltung von Interoperabilitätsstandards sicherstellen und dabei die funktionale Gleichwertigkeit und die Sicherheitsstandards aufrechterhalten. Nach dem Wechsel müssen alle Daten und Metadaten gelöscht werden. Anbieter von Datenverarbeitungsdiensten dürfen nur eine reduzierte Gebühr für die Datenübertragung verlangen.

Darüber hinaus müssen die Anbieter offenlegen, ob sie über eine IT-Infrastruktur in Drittländern verfügen und Maßnahmen ergreifen, um den unbefugten staatlichen Zugriff auf nicht-personenbezogene Daten zu verhindern, der gegen EU-Recht verstößt (Art. 27 Datengesetz).

Zugriff durch öffentliche Behörden

Öffentliche Behörden und EU-Einrichtungen können auf Daten zugreifen, insbesondere bei öffentlichen Notfällen wie Naturkatastrophen, Pandemien oder bei der Wahrnehmung von Aufgaben im öffentlichen Interesse. Die Behörde kann auf Daten zugreifen, wenn es keine andere zeitnahe und effiziente Möglichkeit gibt, sie unter gleichwertigen Bedingungen zu erhalten, wobei die Beschaffung von Daten vom Markt für Aufgaben von öffentlichem Interesse Vorrang hat.

Erhält ein Unternehmen eine solche Anfrage, muss es die angeforderten Daten unverzüglich zur Verfügung stellen (Art. 18 (1) Datengesetz), es sei denn, es verfügt nicht über die Daten oder die Anfrage entspricht nicht den gesetzlichen Anforderungen. Falls erforderlich, sollten personenbezogene Daten vor der Weitergabe anonymisiert oder pseudonymisiert werden.

Faire Vertragsklauseln zwischen Dateninhabern und Datenempfängern

Das Datenschutzgesetz zielt darauf ab, missbräuchliche Vertragsklauseln zwischen den für die Datenverarbeitung Verantwortlichen oder den Inhabern von Daten und den Empfängern zu verhindern. Die Verordnung definiert missbräuchliche Klauseln als solche, die erheblich von der guten Handelspraxis abweichen und gegen Treu und Glauben und die guten Sitten verstoßen. Beispiele hierfür sind Haftungsbeschränkungen bei Vorsatz oder grober Fahrlässigkeit, Ausschluss von Rechtsmitteln bei Nichterfüllung, einseitige Rechte zur Auslegung von Bedingungen, Zugang zu Daten unter Verletzung der berechtigten Interessen der anderen Partei, Behinderung der Datennutzung, Verweigerung der Bereitstellung von Datenkopien und unangemessen kurze Kündigungsfristen für Verträge.

Die Kommission wird Standardvertragsklauseln einführen, um missbräuchliche Klauseln zu vermeiden. Das Datenschutzgesetz regelt nicht die Datennutzung in kommerziellen Verträgen mit Verbrauchern, die große Datenmengen erhalten möchten, und es gibt derzeit keine Anleitung, wie solche kommerziellen Bedingungen rechtskonform formuliert werden können. Unternehmen sollten sicherstellen, dass solche Datennutzungsvereinbarungen klar formuliert sind und dass die Verbraucher zumindest nicht pauschal auf alle Rechte an ihren Daten verzichten.

Schutz des geistigen Eigentums

Das Datengesetz verpflichtet Unternehmen nicht zur Offenlegung ihrer Geschäftsgeheimnisse (Art. 8 (6) Datengesetz). Dateninhaber können die notwendigen Maßnahmen zum Schutz ihrer Geschäftsgeheimnisse ergreifen, bevor sie Daten weitergeben, und sie können Nutzer oder Datenempfänger vertraglich dazu verpflichten, zusätzliche Maßnahmen zum Schutz der Daten zu ergreifen. In Ausnahmefällen können Dateneigentümer die Weitergabe von Daten verweigern, wenn ein schwerer und nicht wiedergutzumachender wirtschaftlicher Schaden zu erwarten ist; in diesem Fall ist eine Meldung an die zuständige Behörde zur Überprüfung erforderlich. Jegliche Nutzung der Daten für die Entwicklung von Konkurrenzprodukten ist strengstens untersagt (Art. 4 Abs. 4 Datengesetz).

Wenn ein Empfänger die Daten des Dateninhabers unbefugt erhält oder verwendet, muss er sie zusammen mit den daraus abgeleiteten Gütern vernichten und Schadensersatz leisten (Art. 11 Abs. 2 Datengesetz), es sei denn, es ist kein Schaden entstanden oder die Maßnahme ist unverhältnismäßig.

Vorbereitungs-Checkliste für mittlere und große Unternehmen (siehe auch FAQs):

  • Bestimmen Sie die Art und den Umfang der Daten, die bei der Nutzung eines Produkts oder einer damit verbundenen Dienstleistung anfallen können.
  • Entwickeln Sie Prozesse, um alle von den Nutzern erzeugten Daten, die von den zugehörigen Produkten und Dienstleistungen gesammelt werden, direkt über das Produkt, in Echtzeit, kostenlos und fortlaufend in einem maschinenlesbaren Format zur Verfügung zu stellen.
  • Passen Sie Verträge und Websites im Vorfeld der Umsetzung von Datengesetzen an, um vom Nutzer eine Lizenz zur Nutzung der Daten für eigene Zwecke zu erhalten und Informationen darüber bereitzustellen, wie der Datenzugriff und die Datenübertragung an Dritte eingeleitet werden kann (Datenübertragbarkeit).
  • Verwenden Sie grundlegende Mustervertragsklauseln mit Datenempfängern, sobald diese verfügbar sind.
  • Vermeiden Sie unfaire Vertragsklauseln (Diskriminierung einzelner Datenempfänger, ausschließliche Bereitstellung an nur einen Datenempfänger).
  • Legen Sie angemessene Gebühren für die Bereitstellung von Daten an Dritte fest und stellen Sie im Falle eines Empfängers, bei dem es sich um ein Kleinstunternehmen handelt, sicher, dass die Gebühren nur das abdecken, was für die Erhebung und Bereitstellung der Daten erforderlich ist.
  • Stellen Sie sicher, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden oder dass es für die Weitergabe eine Rechtsgrundlage gemäß der DSGVO gibt.
  • Sorgen Sie für den Schutz von Geschäftsgeheimnissen und die Verwendung von vertraglichen und technischen Schutzmaßnahmen gegen die Offenlegung von geistigem Eigentum bei der Bereitstellung von Daten.
  • Geben Sie Daten nur in Ausnahmefällen an Behörden weiter und anonymisieren oder pseudonymisieren Sie personenbezogene Daten wann immer möglich.

Häufig gestellte Fragen zum Europäischen Datengesetz 2025

Weitere Artikel

Aktuelle Nachrichten zu Datenschutz, DSGVO, KI-Gesetzgebung und mehr

ai visualized wittmann legal services

15 Richtlinien für Unternehmen, die Chatbots mit großen Sprachmodellen einsetzen

Zu den wichtigsten Empfehlungen gehören die Festlegung interner Richtlinien, die Einbeziehung von Datenschutzbeauftragten, die Sicherstellung der Authentifizierung, der Verzicht auf die Ein- und Ausgabe personenbezogener Daten, das Anbieten von Opt-out- Optionen, die Sicherstellung der Beteiligung von Menschen an rechtlichen Entscheidungen und die ständige Aktualisierung der sich entwickelnden Vorschriften, insbesondere der bevorstehenden EU-Verordnung über künstliche Intelligenz.

weiterlesen
chatgpt screen darkmode ai regulations wittmann legal services

EU vs. US - Vergleich der KI-Gesetzgebung

Vergleich zwischen der Executive Order (EO) des Weißen Hauses und der KI-Gesetzgebung der EU. Beide Richtlinien räumen dem Testen von KI, der Überwachung und dem Schutz der Privatsphäre Priorität ein, unterscheiden sich jedoch in ihrem Ansatz. Das EU-Gesetz ist umfassender, risikobasiert und regelt Anwendungsfälle mit hohem Risiko, während das US EO flexibler und sektorspezifisch ist und breitere politische Dimensionen anspricht. Es ist wichtig, beide Ansätze zu verstehen, um eine effektive Einhaltung der Datenschutzbestimmungen und KI-Governance-Programme zu gewährleisten, da Unternehmen weltweit mit sich überschneidenden Compliance-Bemühungen konfrontiert sind.

weiterlesen
Contact us now