HmbBfDI veröffentlicht Handreichung zum Data Act – mit To-do-Liste
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine praxisorientierte Handreichung zum EU‑Data‑Act veröffentlicht, die ab dem 12. September 2025 gilt. Für Unternehmen liefert sie konkrete To‑dos und erläutert zugleich das Spannungsverhältnis zum bestehenden Datenschutzrecht. Besonders gut dargestellt im Handout: die Beispiele aus der Praxis.
Hinweise für Unternehmen: Das müssen Sie wissen
Unternehmen von vernetzten Geräten sollten zunächst klar definieren, ob sie dem Anwendungsbereich des Data Act unterliegen – als Hersteller, Dateninhaber, -nutzer oder Cloud‑Anbieter. Als zentraler Schritt gilt die Erstellung einer umfassenden Datenübersicht: Welche Daten liegen an – personenbezogen, oder nicht? Hier hilft zumindest in Teilen das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO als Ausgangspunkt.
Im nächsten Schritt ist sorgfältig zu prüfen, ob Daten personenbeziehbar sind. Der Data Act erlaubt zwar grundsätzlich Datenzugang, jedoch nur unter Berücksichtigung der DSGVO ‑ bei Widersprüchen hat letztere Vorrang. Besonders bei Mischdatensätzen sollten Unternehmen personenbezogene Daten von nicht‑personenbezogenen trennen.
Zudem gibt es technische Anforderungen: Wo „relevant und technisch durchführbar“, sollte eine Schnittstelle bereitstehen, und der Zugang gegen unbefugten Zugriff muss gesichert sein. Auch Lizenzverträge für anonymisierte Datenzugriffe müssen früh vorbereitet und rechtlich abgesichert werden.
Darüber hinaus empfiehlt der HmbBfDI, Geschäftsgeheimnisinteressen zu dokumentieren, um berechtigten Schutz vor Herausgabeansprüchen zu behalten. Ebenso sollten Informationspflichten umgesetzt werden, analog zu Art. 13 DSGVO, also klare Hinweise an Käufer und Nutzerinnen der Geräte.
Datenschutz vor Datenteilung
Die Handreichung des HmbBfDI liefert Unternehmen eine To‑do‑Liste:
- Anwendungsbereich prüfen,
- Dateninventar anlegen,
- Personenbezug klären,
- Schnittstellen aufbauen,
- Lizenz‑ und Informationspflichten regeln
- sowie Geschäftsgeheimnisse schützen.
Entscheidend bleibt dabei die Balance zwischen dem neuen Zugangsrecht und der bestehenden DSGVO‑Compliance – denn bei Konflikten gilt: Datenschutz vor Datenteilung. Wer diese Hausaufgaben jetzt angeht, stellt sich rechtssicher und strategisch auf den Start im September 2025 ein.
Miriam Harringer, Redakteurin
Weitere Artikel des Autoren
- Was ist erklärbare KI (XAI)?
- Bias in KI-Systemen: Probleme, Ursachen und Lösungen
- Ist DeepSeek doch rechtswidrig?
- Was verbirgt sich hinter den Kennzeichnungspflichten des Art. 50 KI-VO?
- Art. 26 Abs. 11 KI-VO: Hochrisiko-KI entscheidet mit? Betreiber muss betroffene Personen informieren!
- 2-Faktor-Authentifizierung von Microsoft Azure wird verpflichtend