Am 22.12.2023 ist der Data Act (DA) im Amtsblatt der EU veröffentlicht worden. In 20 Tagen tritt er in Kraft.
Ab 12.09.2025 sind die Vorschriften anwendbar. Die Umsetzungsfrist für den Datenzugang beginnt ab dem 12.09.2026.
Es gilt das Marktortprinzip, d.h. der Sitz des Unternehmens spielt keine Rolle. Ausschlaggebend ist, dass das Produkt oder die Dienstleistung innerhalb der EU vertrieben wird.
Hersteller vernetzter Produkte oder Anbieter vernetzter Dienste, die diese in der Europäischen Union in den Verkehr bringen, fallen grundsätzlich in den Anwendungsbereich des Data Acts.
Der Data Act soll einen fairen und wettbewerbsfähigen Datenmarkt schaffen, in dem es die gemeinsame Nutzung und Wiederverwendung von Daten durch verschiedene Sektoren und Akteure erleichtert.
Mit dem Data Act werden die Verpflichtungen für internationale Datenübermittlungen gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Schrems-II-Urteil auf Anbieter von Datenverarbeitungsdiensten ausgedehnt. Sie werden verpflichtet, entsprechende und geeignete Schutzmaßnahmen zu ergreifen, um einen unrechtmäßigen Zugriff durch Drittstaaten zu verhindern.
Die Datenbereitstellungspflicht umfasst u.a. Daten
- die durch die Nutzung der verbundenen Dienste oder vernetzten Produkte erzeugt oder generiert werden und
- vom Hersteller des Produkts als abrufbar verfügbar gemacht werden über
- eine physische Verbindung
- einen on-device Zugang
- einem elektronischen Kommunikationsdienst.
Für viele Unternehmen besteht Handlungsbedarf, so z.B.
- Anpassungen von Produkten und Dienstleistungen,
- Abschluss von Datenlizenzverträgen mit Nutzern,
- Information an Kunden vor Vertragssschluss über die vernetzten Produkte,
- Zugang zu den Daten für den Nutzer ermöglichen,
- technische Schutzmaßnahmen
- Erfüllung der Datenbereitstellungspflicht,
- etc.
Last but not least bleibt die Datenschutz-Grundverordnung (DSGVO) unberührt und gilt uneingeschränkt – d.h. die datenschutzrechtlichen Anforderungen sind entsprechend der DS-GVO zu beachten und umzusetzen.
Wird gegen die Pflichten des Data Acts verstoßen, droht dem Unternehmen Bußgeld. Die Festlegung der Bußgeldvorschriften obliegt dabei den Mitgliedstaaten. Die Höhe des Bußgeldes sollte sich nach Vorgabe des Art. 40 Abs. 3 DA bestimmen.
Amtsblatt Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und einen faire Datennutzung sowie zur Änderung der Verordnung (EU 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) ist hier abrufbar: https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.pdf?__blob=publicationFile
Weitere Informationen auf der Webseite des BMDV: https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.pdf?__blob=publicationFile