Umsetzung des Data Act: Der Countdown läuft!

15.08.2024

Umsetzung des Data Act: Der Countdown läuft!

von Dr. Kristina Schreiber

In gut 12 Monaten, ab September 2025, müssen Daten von IoT-Produkten Nutzern zur Verfügung gestellt werden, Verträge datenwirtschaftskonform gestaltet und die einfache Migration zwischen Cloud Angeboten möglich sein. Denn ab dem 12.9.2025 gelten die meisten Vorschriften des neuen Data Act unmittelbar, nur einzelne Vorschriften gelten erst ab dem 12.9.2026 (insb. die Pflicht zum data access by design als Produktdesignpflicht). Damit läuft der Countdown zur unmittelbaren Anwendbarkeit der sog. Verordnung (EU)
2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung, bekannt geworden als „Data Act“. Aus Sicht der verpflichteten Unternehmen heißt es, die verbleibende Zeit gut zu nutzen, um die Weichen richtig zu stellen und intern Prozesse zu implementieren, die die Data Act-Konformität absichern:

Betroffenheitsanalyse

Der Data Act betrifft unzählige Unternehmen, einige davon aber mehr als andere. Bei der Prüfung, ob eine zeitnahe und intensive Befassung mit den Pflichten des Data Act angezeigt ist, sollte daher die Betroffenheitsanalyse am Anfang stehen. Besonders weitreichende Pflichten enthält der Data Act für

Hersteller vernetzter Produkte und verbundener Dienste,
Inhaber der Daten aus derartigen Produkten und Diensten,
Anbieter von vernetzten Produkten oder verbundenen Diensten und für
Anbieter von Datenverarbeitungsdiensten.

Produktdesign und Bereitstellung

Bereits ab September 2025 ist die Migration zwischen Datenverarbeitungsdiensten technisch einfach zu ermöglichen, also das sog. Cloud-Switching in die Tat umzusetzen. Auch ab September 2025 müssen Dateninhaber Nutzern vernetzter Produkte und verbundener Dienste sowie Dritten, die von den Nutzern benannt wurden (sog. Datenempfängern) die Daten aus den Produkten und Diensten bereitstellen. Die in-situ Bereitstellungspflicht ist bis September 2026 noch als aktive Zugangsgewährung zu verstehen, wobei indes Daten hierfür nicht aufbereitet werden müssen. Ab September 2026 greift weitergehend dann die data access by design-Pflicht: Auf den Markt gebrachte Produkte müssen dann so gestaltet sein, dass der Zugriff auf die Daten ohne Weiteres möglich ist, „standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich“ (Art. 3 Abs. 1 Data Act). Für die Bereitstellung von Daten sollten Unternehmen präzise überprüfen, welche Dienste verbundene Dienste sind und ob eine Gestaltung gewählt werden kann und soll, durch die manche Dienste womöglich nicht mehr als verbunden i.S.d. Data Act gelten. Hier besteht neben der Produkt- und Dienstdesignpflicht auch ein Gestaltungsspielraum der entsprechenden Produkte und Dienste.

Gestaltung von Information und Vertragsklauseln

Sowohl Anbieter von Datenverarbeitungsdiensten als auch die Anbieter von vernetzten Produkten und verbundenen Diensten müssen künftig vor Vertragsschluss diverse Pflichtinformationen bereitstellen. Darüber hinaus sind Anbieter von Datenverarbeitungsdiensten verpflichtet, in ihren Verträgen die Klauselvorgaben des Art. 25 Data Act einzuhalten. Für die Bereitstellung von Daten aus vernetzten Produkten und verbundenen Diensten an Dritte sind Verträge zu entwerfen, die zumindest organisatorisch auch den Datenschutz und Geschäftsgeheimnisschutz absichern. Die Kommission soll all dies mit Mustervertragsklauseln unterstützen, die bislang noch nicht vorliegen.


RAin Dr. Kristina Schreiber ist Partnerin, Fachanwältin für Verwaltungsrecht und CIPP/E in der Kanzlei Loschelder in Köln und betreibt einen Blog zum Thema Digitalisierung und Recht. Sie hat gemeinsam mit Dr. Patrick Pommerening und Philipp Schoel den Einführungsband zum Data Governance Act „Das neue Recht der Daten-Governance“ in deutscher und in englischer Sprache verfasst, dessen 2. Auflage (die eine Einführung in das Recht des neuen Data Act umfasst) in Kürze im Nomos Verlag erscheint.


NomosWebinar

Künstliche Intelligenz (KI) und ChatGPT verändern den anwaltlichen Arbeitsalltag und können die beratenden Berufe bereichern. Die Mandantschaft wird von Ihnen erwarten, dass Sie digital up-to-date sind und mit diesen Tools selbstverständlich umgehen können. In diesem NomosWebinar erfahren Sie alles über die technischen Grundlagen, die Rechtsfragen – insbesondere aus den Bereichen Compliance, Datenschutz sowie anwaltlichem Berufsrecht – und lernen zugleich kleinere Anwendungen für den erfolgreichen Einsatz von KI in Ihrer Kanzlei.