HmbBfDI veröffentlicht Handreichung zum Data Act – mit To-do-Liste
Geschrieben von Miriam Harringer, veröffentlicht am 26.06.2025Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine praxisorientierte Handreichung zum EU‑Data‑Act veröffentlicht, die ab dem 12. September 2025 gilt. Für Unternehmen liefert sie konkrete To‑dos und erläutert zugleich das Spannungsverhältnis zum bestehenden Datenschutzrecht. Besonders gut dargestellt im Handout: die Beispiele aus der Praxis.
Hinweise für Unternehmen: Das müssen Sie wissen
Unternehmen von vernetzten Geräten sollten zunächst klar definieren, ob sie dem Anwendungsbereich des Data Act unterliegen – als Hersteller, Dateninhaber, -nutzer oder Cloud‑Anbieter. Als zentraler Schritt gilt die Erstellung einer umfassenden Datenübersicht: Welche Daten liegen an – personenbezogen, oder nicht? Hier hilft zumindest in Teilen das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO als Ausgangspunkt.
Im nächsten Schritt ist sorgfältig zu prüfen, ob Daten personenbeziehbar sind. Der Data Act erlaubt zwar grundsätzlich Datenzugang, jedoch nur unter Berücksichtigung der DSGVO ‑ bei Widersprüchen hat letztere Vorrang. Besonders bei Mischdatensätzen sollten Unternehmen personenbezogene Daten von nicht‑personenbezogenen trennen.
Zudem gibt es technische Anforderungen: Wo „relevant und technisch durchführbar“, sollte eine Schnittstelle bereitstehen, und der Zugang gegen unbefugten Zugriff muss gesichert sein. Auch Lizenzverträge für anonymisierte Datenzugriffe müssen früh vorbereitet und rechtlich abgesichert werden.
Darüber hinaus empfiehlt der HmbBfDI, Geschäftsgeheimnisinteressen zu dokumentieren, um berechtigten Schutz vor Herausgabeansprüchen zu behalten. Ebenso sollten Informationspflichten umgesetzt werden, analog zu Art. 13 DSGVO, also klare Hinweise an Käufer und Nutzerinnen der Geräte.
Datenschutz vor Datenteilung
Die Handreichung des HmbBfDI liefert Unternehmen eine To‑do‑Liste:
- Anwendungsbereich prüfen,
- Dateninventar anlegen,
- Personenbezug klären,
- Schnittstellen aufbauen,
- Lizenz‑ und Informationspflichten regeln
- sowie Geschäftsgeheimnisse schützen.
Entscheidend bleibt dabei die Balance zwischen dem neuen Zugangsrecht und der bestehenden DSGVO‑Compliance – denn bei Konflikten gilt: Datenschutz vor Datenteilung. Wer diese Hausaufgaben jetzt angeht, stellt sich rechtssicher und strategisch auf den Start im September 2025 ein.
Sprechen Sie uns gerne an, bei Fragen zu HmbBfDI veröffentlicht Handreichung zum Data Act – mit To-do-Liste
Miriam Harringer,
Medien- und Kulturmanagerin sowie langjährige Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Einholung einer Einwilligung bei KI-Tests gem. Art. 61 KI-VO: Die Inhalte auf einen Blick
- Arbeitgeber müssen Beschäftigte über Nutzung hochriskanter KI-Systeme gem. Art. 26 KI-VO informieren
- Daten und Daten-Governance gem. Art. 10 KI-VO: Gute Daten, fair-sichere KI-Systeme
- Datenschutz-Checkliste für Soloselbständige und Kleinstunternehmen im Handel
- Verhaltenskodizes auf freiwilliger Basis: Art. 95 KI-VO und Erwägungsgrund 165
- Die menschliche Aufsicht gem. Art. 14 KI-VO: Mensch-zentrierte KI
Verwandte Artikel
- Der Digitale Omnibus: Opfert die EU den Datenschutz für KI und Big Tech?
- Bias bei KI-Modellen: Diskriminierung durch die Maschine und ihre Ursachen
- OpenAI Atlas: Was bedeutet der neue KI-Browser für den Datenschutz?
- Der Weg zur KI-Kompetenz: Lernen, verstehen, anwenden
- KI-Transkription bei Videocalls: Das müssen Sie beachten
- Ohne Einheit droht Chaos: Warum KI-Regeln transatlantisch werden müssen