Die Europäische Union hat mit dem Data Act einen einheitlichen Rahmen geschaffen, der den Zugang zu Daten vernetzter Geräte regelt. Ziel ist es laut Verordnung, Nutzern mehr Kontrolle über die von ihren Geräten erzeugten Informationen zu geben und gleichzeitig die Datenverfügbarkeit für Unternehmen zu erweitern.
In Deutschland hat das Bundeskabinett am 29. Oktober die nationale Umsetzung beschlossen. Grundlage ist der Entwurf eines Durchführungsgesetzes, der die Anwendung auf nationaler Ebene regeln soll.
Regelungsinhalte der EU-Datenverordnung
Der Data Act definiert einen Rechtsrahmen für den Zugang zu Daten, die bei der Nutzung vernetzter Geräte entstehen. Nutzer sollen demnach selbst bestimmen können, wie diese Daten verwendet und weitergegeben werden. Die Verordnung verfolgt zudem das Ziel, europaweit gleiche Wettbewerbsbedingungen zu schaffen und den Zugang zu Daten für Unternehmen zu verbessern.
Unternehmen sollen aufgrund der besseren Datenverfügbarkeit neue datenbasierte Geschäftsmodelle entwickeln können. Nach Angaben der EU betrifft dies insbesondere kleine und mittlere Firmen sowie Start-ups, die auf verlässliche und zugängliche Datengrundlagen angewiesen sind.
Welche Daten und Geräte betroffen sind
Die Verordnung gilt für vernetzte Geräte, die Informationen über Nutzungsvorgänge oder ihre Umgebung erfassen und elektronisch weiterleiten können. Dazu zählen Smartwatches, Fitness-Tracker und Smart-Home-Produkte ebenso wie digitale Haushaltsgeräte oder vernetzte Gartengeräte. Kommunikationsdienste sind vom Anwendungsbereich ausgenommen.
Erfasst werden sowohl personenbezogene als auch nicht-personenbezogene Daten, sofern sie durch die Geräte erzeugt oder verarbeitet werden und elektronisch übertragbar sind.
Folgen für Verbraucherinnen und Verbraucher
Der Data Act räumt Nutzern das Recht ein, über die Weitergabe und Nutzung der von ihren Geräten erzeugten Daten zu bestimmen. Darüber hinaus enthält die Verordnung Schutzvorgaben für in der EU gespeicherte nicht-personenbezogene Daten. Dazu gehören Sicherheitsmaßnahmen, die den unbefugten Zugriff ausländischer Behörden verhindern sollen.
Die Regelungen betreffen damit sowohl private Endnutzer als auch organisationsinterne Anwender vernetzter Systeme.
Auswirkungen auf Unternehmen und Cloud-Anbieter
Für Unternehmen sieht die Verordnung zusätzliche Rechte und Schutzmechanismen vor. Dazu zählen Regelungen zur Nutzung industrieller Daten sowie Vorgaben für einen fairen Wettbewerb im europäischen Cloud-Markt. Die Verordnung soll Unternehmen vor Vertragsklauseln schützen, die als missbräuchlich eingestuft werden könnten.
Gleichzeitig soll der Data Act Rechtssicherheit beim Austausch von Daten über nationale Grenzen hinweg schaffen. Nach Angaben der Bundesregierung werden insbesondere KMU und Start-ups von der erleichterten Datenverfügbarkeit profitieren.
Umsetzung in deutsches Recht
Für die Durchsetzung der Vorschriften wird in Deutschland die Bundesnetzagentur zuständig sein. Sie erhält umfassende Befugnisse zur Überwachung der Einhaltung und zur Durchsetzung der Regelungen des Data Acts. Die Behörde soll außerdem Anlaufstelle für Fragen zur praktischen Anwendung werden.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) bleibt weiterhin für die Überwachung der Verarbeitung personenbezogener Daten verantwortlich. Beide Behörden sollen damit unterschiedliche Bereiche der Verordnung abdecken.
Weiteres Verfahren
Mit der Zustimmung des Bundeskabinetts ist der nationale Umsetzungsprozess angestoßen. Der Entwurf des Durchführungsgesetzes bildet die Grundlage für die Einführung der verbindlichen Regelungen in Deutschland. Weitere Schritte betreffen das parlamentarische Verfahren und die anschließende praktische Umsetzung durch die zuständigen Behörden.