Der Data Act ist eine von fünf neuen Verordnungen, die durch die EU im Rahmen der europäischen Datenschutzstrategie erlassen worden sind, bzw. noch erlassen werden. Er soll vor allem eins: Daten besser nutzbar machen, indem in der wirtschaftlichen Wertschöpfungskette die (gemeinsame) Nutzung und der Austausch von Daten ermöglicht und optimiert werden soll. Dabei soll der Data Act den Austausch und die Nutzung von Daten zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) und zwischen Unternehmen und Behörden (B2G) regeln. Wie bei allen EU-Verordnungen, steht die Stärkung von Verbraucher-/Betroffenenrechten – als „Heilige Kuh“ der europäischen Gesetzgebung – im Vordergrund.
Wann tritt der Data Act in Kraft?
Der Data Act wurde im Februar 2022 von der Kommission angenommen und im Juni 2023 vom Europäischen Parlament und dem Rat der EU formal genehmigt. Im Jahr 2025 tritt der Data Act dann in Kraft.
Was soll der Data Act bewirken?
Aktuell sind insbesondere Nutzern von IoT-Geräten die eigenen Rechte in Bezug auf die durch die Geräte erzeugten Daten oft unklar, bzw., wenn Rechte bereits bestehen, ist die Durchsetzung schwierig. Der Data Act soll hier mehr Fairness schaffen und einen rechtssicheren Nährboden für eine ausgedehntere Nutzung von Daten generieren.
Wer ist von den Regelungen des Data Acts betroffen?
Betroffen von den Regelungen des Data Acts sind Nutzer, Dateninhaber und Datenempfänger.
- Nutzer im Sinne des Data Acts sind natürliche oder juristische Personen, die ein Produkt besitzen, mieten oder leasen oder eine Dienstleistung in Anspruch nehmen (vgl. Art. 2 Nr. 5 DA).
- Dateninhaber im Sinne des Data Acts sind juristische oder natürliche Personen, die berechtigt oder verpflichtet sind, bzw. im Falle nicht personenbezogener Daten und durch die Kontrolle über die technische Konzeption des Produktes und damit verbundener Dienste in der Lage sind, bestimmte Daten bereitzustellen (vgl. Art. 2 Nr. 6 DA).
- Datenempfänger im Sinne des Data Acts sind juristische oder natürliche Personen, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handeln, ohne Nutzer eines Produktes oder verbundenen Dienstes zu sein, und dieser Person vom Dateninhaber Daten bereitgestellt werden (vgl. Art. 2 Nr. 7 DA).
Darüber hinaus haben natürliche und juristische Personen das Recht Beschwerde bei der zuständigen Behörde einzulegen (vgl. Art. 32 DA), wenn sie der Ansicht sind, dass ihre Rechte aus dem Data Act verletzt worden sind. Wer die zuständige Behörde(n) ist bzw. sind, regelt jeder Mitgliedsstaat selbst. Nach Art. 31 DA benennt jeder Mitgliedsstaat eine oder mehrere zuständige Behörden, die für die Anwendung und Durchsetzung des DA verantwortlich sind. Die Mitgliedstaaten können dabei die Behörden entweder neu einrichten oder sich auf bestehende Behörden stützen.
Welche Sanktionen sieht der Data Act vor?
In Hinblick auf zu verhängende Sanktionen bei Verstößen gegen die Regelungen des Data Acts sieht Art. 33 DA zum einen vor, dass die Mitgliedstaaten Vorschriften über Sanktionen erlassen, die wirksam, verhältnismäßig und abschreckend sein müssen. Die Mitgliedstaaten müssen der EU-Kommission die erlassenen Vorschriften und Maßnahmen bis zum Geltungsbeginn der des Data Acts mitteilen. Zum anderen referieren Art. 33 Abs. 3 und 4 DA auf die Sanktionsregelungen der DSGVO für bestimmte Verstöße des DA.
Was sind die zentralen Regelungsinhalte?
Der Data Act will Daten in der EU besser nutzbar machen und dabei insbesondere die Rechtssicherheit für Unternehmen und Verbraucher erhöhen. Vor diesem Hintergrund sind die zentralen Regelungsinhalte des Data Acts:
- Verpflichtung der Dateninhaber, Daten mit Nutzern oder Datenempfängern zu teilen.
- Nutzer sollen Zugang zu den Daten haben, die durch deren Verwendung entstehen.
- Verbot missbräuchlicher Klauseln über den Datenzugang und die Datennutzung in B2B-Verträgen.
- Schutzvorschriften zur Verhinderung unrechtmäßiger Datenübermittlungen und zur Erhöhung der Verlässlichkeit und Sicherheit in der Datenverarbeitungsumgebung.
- Regelungen hinsichtlich des internationalen Datentransfers zur Verhinderung unrechtmäßiger Zugriffe ausländischer staatlicher Stellen auf nicht-personenbezogenen Daten.
Ist der Data Act Fluch und/oder Segen?
Die EU meint es gut mit dem Data Act. Er soll helfen, innovative datengetriebene Dienstleistungen in der EU zu entwickeln und zu verbessern, indem der Zugang zu Daten vereinfacht werden soll. Dabei sollen Unternehmen und Einzelpersonen ermutigt werden, ihre Daten für das Allgemeinwohl zur Verfügung zu stellen.
Doch Kritik am Data Act kommt bereits jetzt von Verbraucherschützern und Unternehmensverbänden. Der Datenaustausch bliebe auch im Regelungsregime des Data Acts nur schwer abgrenzbar und überschaubar. Dies könnte zu einer Überforderung der Verbraucher führen, die durch Unternehmen potentiell ausgenutzt werden könnten. Die Unternehmensverbände befürchten, durch die im Data Act auferlegten Verpflichtungen zur Datentransparenz und Datenkontrolle, torpediere der Data Act seine eigenen Kernziele. Die neuen Anforderungen könnten Unternehmen in ihrer Vertragsfreiheit beschränken; Geschäftsgeheimnisse könnten unter Umständen nicht mehr effizient geschützt werden.