Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können und die Zugriffe auf unsere Website zu analysieren. Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie in unserer DATENSCHUTZERKLÄRUNG.
Home > Insights > Der EU Data Act ist verabschiedet – Ein Meilenstein für die europäische Datenwirtschaft
Aktuelles:

Der EU Data Act ist verabschiedet – Ein Meilenstein für die europäische Datenwirtschaft

28. November 2023

Matthias Niebuhr, Rechtsanwalt | Fachanwalt für IT-Recht |

Am 27. November hat Rat der Europäischen Union seine Zustimmung zum EU Data Act gegeben. Damit folgt das Gremium dem bereits vorangegangenen Beschluss des EU Parlaments.  


Nutzerinnen und Nutzer erhalten Zugriff auf Gerätedaten  

Der EU Data Act hat es in sich. Bisher stehen Nutzungsdaten aus IoT Geräten meist nur Herstellern oder deren Konzerngesellschaften (im EU Data Act: Data Holder) zur Verfügung. Der EU Data Act soll dies ändern. 

Nutzerinnen und Nutzer werden künftig kostenlosen Zugriff auf die in ihrem IoT-Gerät (Connected Product) durch die individuelle Nutzung entstehenden Daten erhalten. Der EU Data Act erfasst dabei eine große Bandbreite von Geräten - von Smart-Home-Produkten über KFZ bis hin zu Produktionsmaschinen.  

Die Daten sollen unmittelbar am Gerät bereitgestellt werden oder beim Data Holder kostenlos und einfach abrufbar sein. Die für eine Nutzung der Daten notwendigen semantischen Informationen (Metadaten) sind ebenfalls bereitzustellen.  

Diese Herausgabepflicht erfasst auch Daten, die von der Software auf dem betroffenen Gerät oder in einer zugehörigen App verarbeitet werden. 


Was sind die Chancen? 

Die EU will mit dem EU Data Act den Datenschatz aus den IoT-Geräten heben. Daten sollen getauscht und analysiert werden können. So soll sichergestellt werden, dass Dritte gleichberechtigt mit den Herstellern Dienstleistungen auf der Basis der IoT-Daten erbringen können. Die Daten sollen beispielsweise helfen, Prozesse in Industrie, Verkehr und Landwirtschaft zu optimieren. Gleichzeitig sind die bereitzustellenden Daten dabei ideale Trainingsdaten für künstliche Intelligenz.  


Hersteller müssen einiges tun 

Für Produkthersteller ergeben sich aus der Zustimmung zum EU Data Act verschiedene Handlungsbedarfe:  

  • Produkte müssen zukünftig „data access by default“ ermöglichen, d.h. sie müssen so konstruiert sein, dass der gesetzlich angestrebte Datenzugang grundsätzlich bereits am Gerät möglich ist.  
  • Nutzerinnen und Nutzern sind Informationen über das „OB“ und „WIE“ des Datenzugangs bereitzustellen. Es müssen hier also Dokumentationen erstellt und verfügbar gemacht werden.  
  • Wenn der Datenzugang nicht direkt am Gerät möglich ist, muss er durch Abruf erfolgen. Hier ist die individuelle Berechtigung der Nutzerinnen und Nutzer zum Datenempfang zu prüfen.  
  • Nicht alle Komponenten, die Hersteller verbauen, stammen von diesen selbst. Deshalb müssen Hersteller ihre Zulieferer auf die Erfüllung der Vorgaben zum Datenzugang und zur Dokumentation verpflichten. Die Lieferverträge sind hierauf entsprechend anzupassen.
  • Um die Daten selbst verwenden zu können, benötigen die Data Holder die vertragliche Erlaubnis der Nutzerinnen und Nutzer. Entsprechende Regelungen (i.d.R. AGB) müssen ausgewogen sein.  
  • Auch für IoT-Daten sind die Vorgaben des Datenschutzes, insbesondere der DSGVO, einzuhalten. 
  • Der Schutz von Geschäftsgeheimnissen muss gewährleistet bleiben. Hersteller müssen also prüfen, welche IoT-Daten Geschäftsgeheimnisse enthalten. In diesem Kontext sind Geheimhaltungsvereinbarungen und technische und organisatorische Maßnahmen zu treffen. Wenn die Datenherausgabe zum Schutz von Geschäftsgeheimnissen verweigert wird, ist dies gegenüber der Aufsichtsbehörde anzuzeigen - hierfür ist eine entsprechende Dokumentation notwendig.  


Bis wann ist der EU-Daten-Act umzusetzen? 

Der EU Data Act hat eine Übergangsfrist von 20 Monaten nach Veröffentlichung im EU-Amtsblatt. Mit einer solchen Veröffentlichung ist noch vor Ende 2023 zu rechnen, die Regelungen sind also voraussichtlich ab dem zweiten Halbjahr 2025 zu beachten.  

Die Pflicht den Datenzugang „by design“ bereitzustellen, gilt nur für neue Produkte und mit einer zusätzlichen Übergangsfrist von einem weiteren Jahr, d.h. bis zum zweiten Halbjahre 2026.  

Angesichts der üblichen Produktzyklen haben Hersteller also nicht mehr viel Zeit zur Vorbereitung.  


Was droht? 

Der EU Data Act verlangt von den Mitgliedstaaten, dass diese Bußgelder für Verstöße gegen die Verpflichtungen verhängen. Wie hoch diese sein werden, bleibt abzuwarten. Relevanter dürfte aber das Risiko zivilrechtlicher Klagen sein, wenn Nutzerinnen und Nutzer – gerade im B2B-Umfeld – Zugang zu wertvollen Daten erreichen wollen.  


Unser Angebot für Sie 

Wir unterstützen Sie bei der Umsetzung des EU Data Acts in Ihrem Unternehmen. Für Hersteller heißt das im ersten Schritt, die konkreten Auswirkungen auf Ihre Produkte zu ermitteln und rechtskonforme Umsetzungen in Workshops zu ermitteln.  

Wenn Sie gesammelte Daten nutzen möchten, identifizieren wir gemeinsam mit Ihnen die neuen Möglichkeiten des EU Data Act und dessen, wie Sie Daten verwenden und teilen können.  


Ihr Ansprechpartner

MATTHIAS NIEBUHR 
Rechtsanwalt, Fachanwalt für IT-Recht
Mitglied der Expertengruppe der EU Kommission für B2B Datenaustauschverträge unter dem EU Data Act. 

Ansprechpartner

Matthias Niebuhr, Rechtsanwalt | Fachanwalt für IT-Recht
Matthias Niebuhr
Rechtsanwalt | Fachanwalt für IT-Recht
Berlin

Abonnieren Sie die neuesten Nachrichten von BDO Legal!

abonnieren