Data Act (DA) tritt in Kraft

Am 22.12.2023 ist der Data Act (DA) im Amts­blatt der EU ver­öf­fent­licht worden. In 20 Tagen tritt er in Kraft.
Ab 12.09.2025 sind die Vor­schrif­ten an­wend­bar. Die Um­set­zungs­frist für den Da­ten­zu­gang beginnt ab dem 12.09.2026.

Es gilt das Markt­ort­prin­zip, d.h. der Sitz des Un­ter­neh­mens spielt keine Rolle. Aus­schlag­ge­bend ist, dass das Produkt  oder die Dienst­leis­tung in­ner­halb der EU ver­trie­ben wird.

Her­stel­ler ver­netz­ter Pro­duk­te oder An­bie­ter ver­netz­ter Dienste, die diese in der Eu­ro­päi­schen Union  in den Verkehr bringen, fallen grund­sätz­lich in den An­wen­dungs­be­reich des Data Acts.

Der Data Act soll einen fairen und wett­be­werbs­fä­hi­gen Da­ten­markt schaf­fen, in dem es die ge­mein­sa­me Nutzung und Wie­der­ver­wen­dung von Daten durch ver­schie­de­ne Sek­to­ren und Akteure erleichtert.

Mit dem Data Act werden die Ver­pflich­tun­gen für in­ter­na­tio­na­le Da­ten­über­mitt­lun­gen gemäß der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) und dem Schrems-II-Urteil auf An­bie­ter von Da­ten­ver­ar­bei­tungs­diens­ten aus­ge­dehnt. Sie werden ver­pflich­tet, ent­spre­chen­de und ge­eig­ne­te Schutz­maß­nah­men zu er­grei­fen, um einen un­recht­mä­ßi­gen Zugriff durch Dritt­staa­ten zu verhindern.

Die Da­ten­be­reit­stel­lungs­pflicht umfasst u.a. Daten

• die durch die Nutzung der ver­bun­de­nen Dienste oder ver­netz­ten Pro­duk­te erzeugt oder ge­ne­riert werden und
• vom Her­stel­ler des Pro­dukts als ab­ruf­bar ver­füg­bar gemacht werden über 
  • eine phy­si­sche Verbindung
  • einen on-device Zugang
  • einem elek­tro­ni­schen Kommunikationsdienst.

Für viele Un­ter­neh­men besteht Hand­lungs­be­darf, so z.B.

• An­pas­sun­gen von Pro­duk­ten und Dienstleistungen,
• Ab­schluss von Da­ten­li­zenz­ver­trä­gen mit Nutzern,
• In­for­ma­ti­on an Kunden vor Ver­trags­s­schluss über die ver­netz­ten Produkte,
• Zugang zu den Daten für den Nutzer ermöglichen,
• tech­ni­sche Schutzmaßnahmen
• Er­fül­lung der Datenbereitstellungspflicht,
• etc.

Last but not least bleibt die Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DSGVO) un­be­rührt und gilt un­ein­ge­schränkt – d.h. die da­ten­schutz­recht­li­chen An­for­de­run­gen sind ent­spre­chend der DS-GVO zu be­ach­ten und umzusetzen.

Wird gegen die Pflich­ten des Data Acts ver­sto­ßen, droht dem Un­ter­neh­men Bußgeld. Die Fest­le­gung der Buß­geld­vor­schrif­ten obliegt dabei den Mit­glied­staa­ten. Die Höhe des Buß­gel­des sollte sich nach Vorgabe des Art. 40 Abs. 3 DA bestimmen.

Amts­blatt Ver­ord­nung (EU) 2023/2854 über har­mo­ni­sier­te Vor­schrif­ten für einen fairen Da­ten­zu­gang und einen faire Da­ten­nut­zung sowie zur Än­de­rung der Ver­ord­nung (EU 2017/2394 und der Richt­li­nie (EU) 2020/1828 (Da­ten­ver­ord­nung) ist hier ab­ruf­bar: https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.pdf?__blob=publicationFile

Weitere In­for­ma­tio­nen auf der Web­sei­te des BMDV: https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/eu-data-act-deutsche-fassung-22-12-23.pdf?__blob=publicationFile