Was ist der EU Data Act und wer ist davon ab wann betroffen?

Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (sog. Data Act) verabschiedet.

Der EU Data Act ist Teil der europäischen Datenstrategie, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen. Zu diesem Zweck harmonisiert der EU Data Act Vorschriften über den fairen Zugang zu sowie über die faire Nutzung von Daten.

Vorgeschichte

Zunächst hatte die EU-Kommission am 23. Februar 2022 einen Vorschlag für eine Verordnung unterbreitet, die Regelungen hinsichtlich des fairen Zugangs sowie der fairen Nutzung von Daten enthielt. Nach mehreren Verhandlungen zwischen EU-Parlament und EU-Rat wurde am 28.06.2023 eine vorläufige Einigung erzielt.

Diesem Ergebnis hat das Europäische Parlament am 09. November 2023 zugestimmt, bevor am 27. November auch der Rat der Europäischen Union zustimmte. Nach der Verkündung im Amtsblatt der EU am 22. Dezember 2023 trat der EU Data Act am 11. Januar 2024 in Kraft.

Regelungsziele EU Data Act

Der EU Data Act ist Teil der europäischen Datenstrategie, die auf eine effiziente Nutzung des wirtschaftlichen Potentials der wachsenden Datenmenge abzielt. Hierzu soll der EU Data Act laut der EU-Kommission für Fairness im digitalen Umfeld sorgen, einen wettbewerbsfähigen Datenmarkt fördern, Möglichkeiten für datengesteuerte Innovationen eröffnen und den Zugang zu Daten für alle erleichtern, insbesondere auch für Verbraucher.

Anwendungsbereich

Der Anwendungsbereich des EU Data Act ist in Art. 2 Abs. 1 der Verordnung geregelt. Der Anwendungsbereich umfasst personenbezogene sowie nicht-personenbezogene Daten und folgende Arten von Daten in den folgenden Zusammenhängen:

a) Daten, mit Ausnahme von Inhalten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen

b) Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen

c) Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden

d) Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten

e) alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste

f) alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden

Wer ist hiervon betroffen?

Der Adressatenkreis der Regelungen des EU Data Act lautet nach Art. 1 Abs. 3 der Verordnung wie folgt:

a) Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden,

b) Nutzende solcher Produkte oder Dienste,

c) Dateninhaber, die Datenempfängern in der Union Daten bereitstellen,

d) Datenempfänger in der EU, denen Daten bereitgestellt werden,

e) unter bestimmten Voraussetzungen öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der Union sowie

f) Anbieter von Datenverarbeitungsdiensten, die Kunden in der Union solche Dienste anbieten.

g) Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge verwenden, und Personen, deren gewerbliche, geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für andere im Zusammenhang mit der Durchführung einer Vereinbarung umfasst.

Übersicht über den Regelungsinhalt

Kapitel I: In Kapitel I wird der Gegenstand und Anwendungsbereich der Verordnung definiert. Zudem werden hier die im gesamten Instrument verwendeten Definitionen festgelegt.

Kapitel II: In Kapitel II werden Regelungen festgelegt, die die Rechtssicherheit für Verbraucher und Unternehmen beim Zugriff auf Daten, die durch die Produkte oder damit verbundenen Dienstleistungen generiert werden, die sie besitzen, mieten oder leasen, erhöhen. Zum Beispiel müssen hiernach Hersteller Produkte so gestalten, dass die Daten leicht zugänglich sind und transparent vermitteln, wie auf diese zugegriffen werden kann.

Kapitel III: In diesem Kapitel werden allgemeine Regeln für die Verpflichtung zur Bereitstellung von Daten festgelegt. Wenn ein Dateninhaber verpflichtet ist, einem Datenempfänger Daten zur Verfügung zu stellen, wie in Kapitel II oder in anderen Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegt, regelt der allgemeine Rahmen die Bedingungen, unter denen Daten bereitgestellt werden, und die Entschädigung für die Bereitstellung von Daten.

Kapitel IV: In Kapitel IV werden Regelungen aufgestellt, die der Missbräuchlichkeit von Vertragsbedingungen in Datenaustauschverträgen zwischen Unternehmen in Situationen, in denen eine Vertragspartei einem Kleinst-, Klein- oder Mittelunternehmen einseitig eine Vertragsbedingung auferlegt, entgegenwirken.

Kapitel V: Kapitel V schafft einen harmonisierten Rahmen für die Nutzung der von Unternehmen gespeicherten Daten durch öffentliche Stellen und Institutionen, Agenturen und Einrichtungen der Union in Situationen, in denen öffentliche Stellen einen besonderen Bedarf an Daten haben, den sie selbst nicht rechtzeitig bedienen können. Um Missbrauch durch die öffentlichen Stellen zu verhindern, werden an die Anfragen Anforderungen wie beispielsweise Verhältnismäßigkeit gestellt.

Kapitel VI: In diesem Kapitel werden rechtliche Mindestanforderungen vertraglicher, kommerzieller und technischer Art eingeführt, die Anbietern von Cloud-, Edge- und anderen Datenverarbeitungsdiensten auferlegt werden, um den Wechsel zwischen solchen Diensten zu ermöglichen. Der Vorschlag stellt insbesondere sicher, dass Kunden die funktionale Äquivalenz (ein Mindestmaß an Funktionalität) des Dienstes aufrechterhalten, nachdem sie zu einem anderen Diensteanbieter gewechselt haben.

Kapitel VII: In diesem Kapitel wird sich mit dem rechtswidrigen Zugriff Dritter auf in der Union gespeicherte nicht personenbezogene Daten durch auf dem Unionsmarkt angebotene Datenverarbeitungsdienste befasst. Hiernach müssen alle Anbieter angemessenen technischen, rechtlichen und organisatorischen Maßnahmen ergreifen, um einen solchen Zugriff zu verhindern.

Kapitel VIII: Hier werden Anforderungen an die Interoperabilität für Betreiber von Datenräumen und Datenverarbeitungsdienstleister sowie grundlegende Anforderungen an Smart Contracts geregelt.

Kapitel IX: In diesem Kapitel wird der Umsetzungs- und Durchsetzungsrahmen mit den zuständigen Behörden in jedem Mitgliedstaat festgelegt, einschließlich eines Beschwerdemechanismus. Ebenso sind hier Sanktionierungen bei Verstößen geregelt.

Kapitel X: In Kapitel X wird der Zugriff auf und die Nutzung von Daten gemäß Artikel 4 dieser Verordnung oder das Recht, diese Daten gemäß Artikel 5 dieser Verordnung an Dritte weiterzugeben, geregelt.

Kapitel XI: Das letzte Kapitel enthält Regelungen, die es der Kommission ermöglicht, delegierte Rechtsakte zu erlassen, um einen Überwachungsmechanismus für Wechselgebühren einzuführen, die Anbietern von Datenverarbeitungsdiensten auferlegt werden, um die wesentlichen Anforderungen an die Interoperabilität weiter zu spezifizieren und die Referenz offener Interoperabilitätsspezifikationen und europäischer Standards für die Interoperabilität zu veröffentlichen.

Umsetzungsfrist

Der EU Data Act ist eine europäische Verordnung, weshalb er unmittelbare Wirkung in den EU-Mitgliedstaaten entfaltet, ohne dass es einer Umsetzung durch den jeweiligen Mitgliedstaat bedarf. Der EU Data Act trat am 11. Januar 2024 in Kraft und wird nach einer grundsätzlichen Übergangsfrist von 20 Monaten ab dem 12. September 2025 EU-weit direkt anwendbares Recht werden.

EU Data Act und DSGVO

Die DSGVO ist eine europäische Verordnung, die den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verfolgt. Demnach ist der Anwendungsbereich der DSGVO ausschließlich eröffnet, sofern personenbezogene Daten verarbeitet werden (vgl. Art. 1 Abs. 1 DSGVO). Im Anwendungsbereich des EU Data Acts fallen nicht nur personenbezogene Daten, sondern ebenso nicht personenbezogene Daten. Insofern liegt bereits im Anwendungsbereich der beiden Regelungssysteme ein großer Unterschied.

Soweit personenbezogene Daten verarbeitet werden, kommt es zwangsläufig zu Überschneidungen der beiden Regelungssysteme. Um mögliche Unstimmigkeiten entgegenzuwirken, regelt der EU Data Act in Art. 1 Abs. 5 und Erwägungsgrund 7 S. 5 EU Data Act, dass die DSGVO Vorrang hat. EU Data Act und DSGVO sollen so ausgelegt werden, dass sie sich möglichst ergänzen und durch gegenseitige Rücksichtnahme schonend in Ausgleich gebracht werden. Allerdings gibt der EU Data Act nur wenige Hinweise, wie beide Regelungssysteme in Ausgleich gebracht werden können. Dies könnte zu einigen Rechtsunsicherheiten führen. So hat beispielsweise entgegen dem Auskunftsrecht nach Art. 15 DSGVO jeder Nutzer, also nicht nur von der Verarbeitung betroffenen Personen, gem. Art. 4 EU Data Act das Recht gegenüber Dateninhabern auf Bereitstellung produktgenerierter Daten, unabhängig davon, ob diese personenbezogen sind oder nicht.

Wie derartige Unstimmigkeiten zwischen den Regelungssystemen zu lösen sind, ist bisher noch offen. Es bleibt angesichts drohender Rechtsunsicherheiten nur zu hoffen, dass durch Nachregelungen oder durch die Rechtsprechung eine differenziertere Abstimmung zwischen den Regelungssystemen erreicht wird.

Fazit

Der EU Data Act ist Teil der europäischen Strategie und stellt Regelungen auf, die der Fairness im digitalen Umfeld, der Förderung eines wettbewerbsfähigen Datenmarkts und datengesteuerte Innovationen sowie einem erleichterten Zugang zu Daten für alle dienen. Bis zum 12. September 2025 müssten die Regelungen des EU Data Acts umgesetzt werden, sofern sachlicher (Art. 2 Abs. 1) und persönlicher Anwendungsbereich (Art. 1 Abs. 3) der Verordnung eröffnet sind. Die Abstimmung zwischen DSGVO und EU Data Act ist bisher nicht differenziert genug und könnte daher zu einigen Rechtsunsicherheiten führen. Diesbezüglich bleibt es spannend, welche Maßnahmen in Zukunft getroffen werden, um eine bessere Abstimmung zu erreichen.

Falls Sie Fragen bezüglich des EU Data Acts haben, melden Sie sich bei uns. Wir sind Ihnen gerne behilflich.