03180 Der EU Data Act: Wegweiser für die Zukunft der Datenökonomie
|
Der EU Data Act bringt neue Pflichten und Chancen für Unternehmen: Datenzugang, Cloud-Portabilität, Schutz von Geschäftsgeheimnissen und Smart Contracts stehen im Fokus. Dieser Beitrag erklärt, wie IT-Sicherheitsverantwortliche die Anforderungen der Verordnung (EU) 2023/2854 umsetzen, Risiken durch neue Schnittstellen minimieren und gleichzeitig Wettbewerbsvorteile durch Interoperabilität und Datenportabilität nutzen können. Dazu liefert er praxisnahe Einblicke in die Umsetzung von „Data by Design”, den Schutz von Geschäftsgeheimnissen, die Einhaltung von FRAND-Bedingungen und die Herausforderungen durch internationale Zugriffsrisiken. Machen Sie Ihre IT- und Sicherheitsarchitektur fit für die Zukunft. Arbeitshilfen: von: |
1 Einführung
Datenzugang und Datenteilung
Der EU Data Act (Verordnung (EU) 2023/2854) ist ein zentrales Element der europäischen Datenstrategie. Er schafft unionsweit einheitliche Regeln für den fairen Zugang zu Daten und deren Nutzung. Damit adressiert er einen Kernkonflikt der Datenökonomie: den einer möglichen einseitigen Datenherrschaft bzw. eines fremden, nicht geregelten Nutzungsinteresses an Daten, die keiner anderen Regelung – etwa der DSGVO – unterliegen. Daten entstehen häufig dezentral, etwa in vernetzten Geräten, Fahrzeugen, Maschinen, Smart-Home-Komponenten, Wearables oder industriellen Sensoren. Faktisch sind sie jedoch oft bei Herstellern oder Plattformbetreibern konzentriert. An diesem Ungleichgewicht setzt der Data Act an, indem er ein gesetzliches Zugangs- und Teilungsregime für sogenannte Produktdaten und damit in Zusammenhang stehende Servicedaten verankert.
Der EU Data Act (Verordnung (EU) 2023/2854) ist ein zentrales Element der europäischen Datenstrategie. Er schafft unionsweit einheitliche Regeln für den fairen Zugang zu Daten und deren Nutzung. Damit adressiert er einen Kernkonflikt der Datenökonomie: den einer möglichen einseitigen Datenherrschaft bzw. eines fremden, nicht geregelten Nutzungsinteresses an Daten, die keiner anderen Regelung – etwa der DSGVO – unterliegen. Daten entstehen häufig dezentral, etwa in vernetzten Geräten, Fahrzeugen, Maschinen, Smart-Home-Komponenten, Wearables oder industriellen Sensoren. Faktisch sind sie jedoch oft bei Herstellern oder Plattformbetreibern konzentriert. An diesem Ungleichgewicht setzt der Data Act an, indem er ein gesetzliches Zugangs- und Teilungsregime für sogenannte Produktdaten und damit in Zusammenhang stehende Servicedaten verankert.
Relevanz für Datenschutzpraktiker
Für Datenschutzpraktiker ist der Data Act in mehrfacher Hinsicht relevant. Zum einen erstreckt er sich ausdrücklich sowohl auf personenbezogene als auch auf nicht personenbezogene Daten. Damit wird Datenzugangs- und Datenteilungsansprüchen in dem Sinne Rechnung getragen, dass die DSGVO zwar Pflichten für die Verarbeitung personenbezogener Daten regelt, aber in letzter Konsequenz keinen eigenständigen Anspruch auf Herausgabe von maschinengenerierten Nutzungsdaten wie etwa aus vernetzten Produkten kennt.
Für Datenschutzpraktiker ist der Data Act in mehrfacher Hinsicht relevant. Zum einen erstreckt er sich ausdrücklich sowohl auf personenbezogene als auch auf nicht personenbezogene Daten. Damit wird Datenzugangs- und Datenteilungsansprüchen in dem Sinne Rechnung getragen, dass die DSGVO zwar Pflichten für die Verarbeitung personenbezogener Daten regelt, aber in letzter Konsequenz keinen eigenständigen Anspruch auf Herausgabe von maschinengenerierten Nutzungsdaten wie etwa aus vernetzten Produkten kennt.
Durch den Data Act wird deshalb die Datenübertragbarkeit und -weitergabe über das klassische Verhältnis „Betroffene Person – Verantwortlicher” auf das „Nutzer- und Unternehmensnutzerverhältnis” ausgeweitet.
Zusätzlich wird mit Anforderungen an die Cloud- und Edge-Portabilität ein Regulierungsstrang geschaffen, der eng mit Informationssicherheit, Resilienz und Risiken der Anbieterabhängigkeit verknüpft ist.
Gestaffelte Anwendbarkeit
Der Data Act ist am 11. Januar 2024 in Kraft getreten und seit dem 12. September 2025 grundsätzlich anwendbar. Einzelne Pflichten gelten jedoch zeitversetzt, insbesondere die „Data by design”-Pflichten für vernetzte Produkte und verbundene Dienste. Diese greifen erst für Produkte, die nach dem 12. September 2026 in den Verkehr gebracht werden. Diese gestaffelte Anwendbarkeit des Data Act ist insbesondere für Compliance-Roadmaps entscheidend, weil diese Regelungen unternehmerische technische Produktentwicklungszyklen, Vertragslaufzeiten sowie Migrations- und Portabilitätsprojekte in der Cloud betreffen und beeinflussen können. Aus diesem Grund empfiehlt es sich für Unternehmen dringend, sich bereits jetzt mit diesen komplexen, oftmals nicht so ganz klaren Regelungen vertraut zu machen und ihre (Unternehmens-)Prozesse daran auszurichten.
Der Data Act ist am 11. Januar 2024 in Kraft getreten und seit dem 12. September 2025 grundsätzlich anwendbar. Einzelne Pflichten gelten jedoch zeitversetzt, insbesondere die „Data by design”-Pflichten für vernetzte Produkte und verbundene Dienste. Diese greifen erst für Produkte, die nach dem 12. September 2026 in den Verkehr gebracht werden. Diese gestaffelte Anwendbarkeit des Data Act ist insbesondere für Compliance-Roadmaps entscheidend, weil diese Regelungen unternehmerische technische Produktentwicklungszyklen, Vertragslaufzeiten sowie Migrations- und Portabilitätsprojekte in der Cloud betreffen und beeinflussen können. Aus diesem Grund empfiehlt es sich für Unternehmen dringend, sich bereits jetzt mit diesen komplexen, oftmals nicht so ganz klaren Regelungen vertraut zu machen und ihre (Unternehmens-)Prozesse daran auszurichten.
Kein Datenschutzgesetz
Aus rechtlicher Sicht ist der Data Act kein weiteres Datenschutzgesetz. Seine Leitidee ist nicht der Schutz der Privatsphäre als solcher, sondern vielmehr die Ermöglichung einer effizienten, fairen und innovationsförderlichen Datennutzung. Insofern ist der Data Act die konsequente Weiterführung der bspw. in den Erwägungsgründen 4, 5 oder 10 der DSGVO aufgeführten Zielsetzungen, dass die Datennutzung dem Wohle der Menschen und der Wirtschaft bzw. der Allgemeinheit dienen und ein fairer, freier, rechtskonformer Datenverkehr gewährleistet sein soll.
Aus rechtlicher Sicht ist der Data Act kein weiteres Datenschutzgesetz. Seine Leitidee ist nicht der Schutz der Privatsphäre als solcher, sondern vielmehr die Ermöglichung einer effizienten, fairen und innovationsförderlichen Datennutzung. Insofern ist der Data Act die konsequente Weiterführung der bspw. in den Erwägungsgründen 4, 5 oder 10 der DSGVO aufgeführten Zielsetzungen, dass die Datennutzung dem Wohle der Menschen und der Wirtschaft bzw. der Allgemeinheit dienen und ein fairer, freier, rechtskonformer Datenverkehr gewährleistet sein soll.
Daher verwundert es wenig, dass diese Verordnung zahlreiche Regelungen enthält, die bekannte datenschutzrechtliche Grundsätze spiegeln, etwa: Zweckbindung, Datenminimierung, Transparenz, Sicherheit, ferner auch den Schutz von Geschäftsgeheimnissen, der bspw. im Rahmen der Erforderlichkeit bzw. der Abwägung von Unternehmens- und Betroffeneninteresse im Rahmen von Art. 6 Abs. 1 lit f DSGVO eine Rolle spielen kann.
Vorrang des Datenschutzrechts
Für personenbezogene Daten gilt im Data Act jedoch eine zentrale Kollisionsregel. Im Konfliktfall hat das Datenschutzrecht Vorrang. In der Praxis bedeutet dies, dass die aus dem Data Act folgenden Datenzugangspflichten zwar einen starken Impuls für Datenbereitstellung und Interoperabilität setzen, diese aber stets innerhalb der Schranken der DSGVO (und ergänzender Spezialgesetze) umgesetzt werden müssen.
Für personenbezogene Daten gilt im Data Act jedoch eine zentrale Kollisionsregel. Im Konfliktfall hat das Datenschutzrecht Vorrang. In der Praxis bedeutet dies, dass die aus dem Data Act folgenden Datenzugangspflichten zwar einen starken Impuls für Datenbereitstellung und Interoperabilität setzen, diese aber stets innerhalb der Schranken der DSGVO (und ergänzender Spezialgesetze) umgesetzt werden müssen.
Zusammenspiel mit DGA und DMA
Der Data Act ergänzt bestehende Instrumente wie den Data Governance Act (DGA), den Digital Markets Act (DMA), sektorale Datenzugangsregeln (z. B. im Mobilitäts-, Energie- oder Gesundheitsbereich) sowie die DSGVO. Während der DGA vor allem die Wiederverwendung bestimmter Daten (u. a. geschützte Daten des öffentlichen Sektors) und Strukturen des Datenaltruismus adressiert, konzentriert sich der Data Act auf Daten aus vernetzten Produkten und Datenverarbeitungsdiensten sowie auf die Fairness vertraglicher Datenbeziehungen. Der DMA wiederum spielt für den Data Act eine Rolle, weil sog. „Gatekeeper” entsprechend der Definition des DMA in bestimmten Konstellationen vom Empfang der Daten ausgeschlossen werden können.
Der Data Act ergänzt bestehende Instrumente wie den Data Governance Act (DGA), den Digital Markets Act (DMA), sektorale Datenzugangsregeln (z. B. im Mobilitäts-, Energie- oder Gesundheitsbereich) sowie die DSGVO. Während der DGA vor allem die Wiederverwendung bestimmter Daten (u. a. geschützte Daten des öffentlichen Sektors) und Strukturen des Datenaltruismus adressiert, konzentriert sich der Data Act auf Daten aus vernetzten Produkten und Datenverarbeitungsdiensten sowie auf die Fairness vertraglicher Datenbeziehungen. Der DMA wiederum spielt für den Data Act eine Rolle, weil sog. „Gatekeeper” entsprechend der Definition des DMA in bestimmten Konstellationen vom Empfang der Daten ausgeschlossen werden können.
Gatekeeper vom Datenerhalt ausgeschlossen
Gatekeeper gemäß dem Digital Marketing Act sind sogenannte Torwächter, die ihre Rolle aufgrund ihrer Marktmacht innehaben. Sie verfügen bereits innerhalb ihrer Produkte über sehr viele Informationen. Die Europäische Kommission hat beschlossen, dass diese Unternehmen aufgrund ihrer sehr mächtigen Position am Markt keinen Datenerhalt auf der Basis des Data Acts geltend machen dürfen, um diese Marktmacht nicht per Gesetz weiter ausbauen zu können. Zum Zeitpunkt der Veröffentlichung dieses Artikels sind dies:
Gatekeeper gemäß dem Digital Marketing Act sind sogenannte Torwächter, die ihre Rolle aufgrund ihrer Marktmacht innehaben. Sie verfügen bereits innerhalb ihrer Produkte über sehr viele Informationen. Die Europäische Kommission hat beschlossen, dass diese Unternehmen aufgrund ihrer sehr mächtigen Position am Markt keinen Datenerhalt auf der Basis des Data Acts geltend machen dürfen, um diese Marktmacht nicht per Gesetz weiter ausbauen zu können. Zum Zeitpunkt der Veröffentlichung dieses Artikels sind dies:
| • | Alphabet (Google, YouTube, Android, Chrome) |
| • | Amazon (Amazon, Amazon Marketplace) |
| • | Apple (iOS, Safari, App Store) |
| • | Booking (Booking.com) |
| • | ByteDance (TikTok) |
| • | Meta (Facebook, Instagram, WhatsApp, Meta) |
| • | Microsoft (Windows OS, Microsoft365, Azure, LinkedIn) |
1.1 Zielgruppen und warum Datenschutzbeauftragte früh eingebunden werden sollten
Stakeholder des Data Act
Akteure, die der Data Act betrifft, sind insbesondere Hersteller vernetzter Produkte, Anbieter verbundener Dienste (z. B. Plattformdienste, Dienste zur Fernüberwachung oder Dienste im Rahmen der sog. vorausschauenden Wartung) und Dateninhaber (Datenhalter), darüber hinaus aber auch Nutzer (Verbraucher und Unternehmen), vom Nutzer benannte Dritte (Datenempfänger), Anbieter von Datenverarbeitungsdiensten (Cloud/Edge, IaaS/PaaS/SaaS) sowie öffentliche Stellen, die in Fällen außergewöhnlichen Bedarfs Daten anfordern können. Alle diese Akteure sollten daher bei einer Stakeholderanalyse entsprechend berücksichtigt werden.
Akteure, die der Data Act betrifft, sind insbesondere Hersteller vernetzter Produkte, Anbieter verbundener Dienste (z. B. Plattformdienste, Dienste zur Fernüberwachung oder Dienste im Rahmen der sog. vorausschauenden Wartung) und Dateninhaber (Datenhalter), darüber hinaus aber auch Nutzer (Verbraucher und Unternehmen), vom Nutzer benannte Dritte (Datenempfänger), Anbieter von Datenverarbeitungsdiensten (Cloud/Edge, IaaS/PaaS/SaaS) sowie öffentliche Stellen, die in Fällen außergewöhnlichen Bedarfs Daten anfordern können. Alle diese Akteure sollten daher bei einer Stakeholderanalyse entsprechend berücksichtigt werden.
Datenschutz früh einbinden
Für Datenschutzbeauftragte und sonstige Compliancefunktionen innerhalb eines Unternehmens ist der frühzeitige Einbezug insbesondere deshalb wichtig, weil Data-Act-Implementierungen typischerweise tief in die Systemarchitektur sowie Unternehmensprozesse eingreifen. So können etwa APIs, Zugriffs- und Berechtigungsmodelle, Logging, Verschlüsselung, Identitätsmanagement und Vertragsmanagement betroffen sein und müssen ggf. angepasst werden. Darüber hinaus ist eine klare Rollen- und Verantwortlichkeitszuordnung erforderlich, sobald personenbezogene Daten betroffen sind (Verantwortlicher, gemeinsame Verantwortliche, Auftragsverarbeiter; Drittlandtransfers, Informationspflichten).
Für Datenschutzbeauftragte und sonstige Compliancefunktionen innerhalb eines Unternehmens ist der frühzeitige Einbezug insbesondere deshalb wichtig, weil Data-Act-Implementierungen typischerweise tief in die Systemarchitektur sowie Unternehmensprozesse eingreifen. So können etwa APIs, Zugriffs- und Berechtigungsmodelle, Logging, Verschlüsselung, Identitätsmanagement und Vertragsmanagement betroffen sein und müssen ggf. angepasst werden. Darüber hinaus ist eine klare Rollen- und Verantwortlichkeitszuordnung erforderlich, sobald personenbezogene Daten betroffen sind (Verantwortlicher, gemeinsame Verantwortliche, Auftragsverarbeiter; Drittlandtransfers, Informationspflichten).
Rechtlicher Rahmen für Datenprojekte
Der Data Act entfaltet insbesondere bei Projekten seine Bedeutung, die ein „modernes Unternehmen” immer mehr auf seiner Agenda hat. Beispiele dafür sind der Aufbau von Kundenportalen, die Erweiterung von Telemetrie- und Diagnoseschnittstellen, die Modernisierung von Datenplattformen, die Etablierung von Data-Sharing-Verträgen, Cloud-Migrationen oder Multi-Cloud-Strategien. Der Data Act gibt diesen Projekten einen zusätzlichen rechtlichen Rahmen. Das bedeutet, dass bisher gut gemeinte Transparenz und Portabilität – oftmals eher etwas „hemdsärmelig” umgesetzt – nun zu rechtlich adressierbaren Pflichten werden. Damit bekommen sie nun aber eine größere Relevanz.
Der Data Act entfaltet insbesondere bei Projekten seine Bedeutung, die ein „modernes Unternehmen” immer mehr auf seiner Agenda hat. Beispiele dafür sind der Aufbau von Kundenportalen, die Erweiterung von Telemetrie- und Diagnoseschnittstellen, die Modernisierung von Datenplattformen, die Etablierung von Data-Sharing-Verträgen, Cloud-Migrationen oder Multi-Cloud-Strategien. Der Data Act gibt diesen Projekten einen zusätzlichen rechtlichen Rahmen. Das bedeutet, dass bisher gut gemeinte Transparenz und Portabilität – oftmals eher etwas „hemdsärmelig” umgesetzt – nun zu rechtlich adressierbaren Pflichten werden. Damit bekommen sie nun aber eine größere Relevanz.
1.2 Begriffsdefinitionen: Daten, vernetzte Produkte, verbundene Dienste, Produkt- und Servicedaten
Der Data Act enthält einige wichtige Definitionen für Begrifflichkeiten, bei denen es sich empfiehlt, die in etwaige Verträge, Vereinbarungen etc. zu Klarstellungszwecken aufgenommen bzw. auf die in den Dokumenten verwiesen werden sollte, insbesondere um etwaigen Auslegungsproblematiken bspw. Rechtsstreitigkeiten zuvorzukommen. Im Nachfolgenden sollen die Begriffe „Daten”, „vernetzte Produkte”, „verbundene Dienste”, Produkt- und Servicedaten” näher beleuchtet werden.
Daten
Unter „Daten” versteht der Data Act in Art. 2 Nr. 1 „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material”.
Unter „Daten” versteht der Data Act in Art. 2 Nr. 1 „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material”.
Die vom Data Act adressierte Datenkategorie sind Daten, die durch die Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes generiert werden. Dazu zählen etwa Produktdaten (z. B. Sensorwerte, Betriebszustände, Fehlercodes, Nutzungsdaten) und Servicedaten (z. B. Daten, die bei der Erbringung des verbundenen Dienstes anfallen, inklusive notwendiger Metadaten). Der Data Act sieht vor, dass Metadaten, soweit sie für das Verständnis und die Nutzbarkeit der Daten erforderlich sind, ebenfalls Gegenstand des Datenzugangs sind. Diese Klarstellung ist für Interoperabilität und Datenqualität von zentraler Bedeutung.