Compliance Blog

EU Data Act ab 2025: Neue Anforderungen für Unternehmen im Datenmanagement

Geschrieben von Admin | 06.03.25 10:36

EU Data Act ab 2025: Neue Anforderungen für Unternehmen im Datenmanagement

Am 11. Januar 2024 trat der EU Data Act (VO (EU) 2023/ 2854) in Kraft, der nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 in direkt anzuwendendes Recht übergehen wird. Die Verordnung zielt darauf ab, den Zugang zu und die Nutzung von personen- als auch nicht personenbezogenen Daten innerhalb der Europäischen Union zu harmonisieren und zu erleichtern. Der Anwendungsbereich ist sehr umfassend und betrifft insbesondere Hersteller von entsprechenden Produkten und Nutzer von Daten, aber auch Dateninhaber und -empfänger sowie Dienstleister. Für zahlreiche Unternehmen ergeben sich daher neue Verpflichtungen.


Zielsetzung des EU Data Acts

Der EU Data Act wurde entwickelt, um einen fairen und transparenten Rechtsrahmen für den Zugang und die Nutzung von Daten zu schaffen. Dies soll Innovationen fördern, den Wettbewerb stärken und die Entwicklung neuer Dienstleistungen einfacher ermöglichen. Ein zentrales Ziel ist, Hindernisse beim Datenaustausch zu beseitigen und klare Regeln für die gemeinsame Nutzung von Daten festzulegen. Der Data Governance Act als zweiter Baustein der Datenstrategie der europäischen Union legt hingegen Prozesse und Strukturen für den freiwilligen Austausch von Daten fest.


Anwendungsbereich des Data Acts

Von dem EU Data Act betroffene Daten sind diejenigen, die bei der Nutzung eines Produkts oder verbundenen Dienstes erzeugt werden- sowohl personen- als auch nichtpersonenbezogene Daten. Der Data Act gilt für vernetzte Produkte, beispielsweise Haushaltsgeräte, Fahrzeuge oder Industriemaschinen, die mit dem Internet verbunden sind, aber auch für verbundene Dienste.


Was ist ein vernetztes Produkt?

Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.


Beispiele für vernetzte Produkte sind:

 

Smart-Home-Geräte

  • Smart-Thermostate, weil sie Temperaturdaten und Nutzungsverhalten erfassen.
  • Smarte Beleuchtung, weil Nutzereinstellungen und Energieverbrauchsdaten gespeichert werden.
  • Sicherheitskameras & Türschlösser, weil Videoaufnahmen, Zugriffszeiten und Nutzerbewegungen gespeichert werden.

Vernetzte Fahrzeuge

  • E-Autos und vernetzte PKWs, weil sie Standortdaten sammeln und Fahrverhalten und Batteriestatus speichern.
  • LKW-Telematiksysteme, weil sie Fahrzeiten, Strecken und Kraftstoffverbrauch überwachen.

Industrielle Maschinen

  • Produktionsmaschinen mit Sensoren, weil sie unter anderem Betriebszeiten, Wartungsbedarf und Effizienz überwachen.
  • Landwirtschaftliche Maschinen, weil sie unter anderem die Bodenqualität, Ernteerträge und GPS-Daten erfassen.

Wearables & Gesundheitsgeräte
  • Smartwatches & Fitness-Tracker, weil sie Herzfrequenz, Schritte und Schlafmuster messen und speichern.
  • Vernetzte Blutzuckermessgeräte, weil sie Daten an Ärzte oder Apps zur Analyse senden.

Vernetzte Haushaltsgeräte

  • Smarte Kühlschränke, weil sie unter anderem Verfallsdaten und Verbrauchsgewohnheiten erfassen.
  • Vernetzte Waschmaschinen, weil sie beispielsweise Waschprogramme an den Wasserverbrauch anpassen.

Vom Data Act betroffen, sind aber auch verbundene Dienste.


Was sind verbundene Dienste?

Ein verbundener Dienst ist ein digitaler Dienst, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen (z.B. Software)


An wen richtet sich der Data Act?

Adressaten des Data Acts sind:

  • Nutzer und Leasingnehmer eines vernetzten Produkts oder derjenige, der verbundene Dienste in Anspruch nimmt,
  • Dateninhaber und Datenempfänger,
  • Anbieter von Datenverarbeitungsdiensten (z.B. Anbieter von Software) und
  • Hersteller von vernetzten Produkten


Welche wesentlichen Neuerungen ergeben sich durch den Data Act für Unternehmen?

Der Data Act enthält eine Vielzahl von Bestimmungen mit dem Ziel, in unterschiedlichen Lebensbereichen künftig Daten mehr und besser nutzen zu können. Damit dient der Data Act nicht zuletzt dem in der Digitalstrategie der Bundesregierung festgelegten Ziel, durch mehr Datennutzung zu mehr Wertschöpfung, insbesondere für neue Geschäftsmodelle, Start-Ups und KMUs, beizutragen.

Daher finden sich in den Vorschriften insbesondere Vorschriften zu

  • der Datenweitergabe von Unternehmen an Verbraucher (B2C) und zwischen Unternehmen (B2B),
  • den Pflichten der Dateninhaber, die nach dem Recht der EU verpflichtet sind, Daten bereitzustellen (inkl. Entgeltregelungen im B2B-Bereich),
  • dem Verbot missbräuchlicher Vertragsklauseln für den Datenzugang und die Datennutzung zwischen Unternehmen (B2B),
  • der Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit (B2G) und
  • vertraglichen Regelungen und der technischen Umsetzung beim Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“).

Die wichtigsten Pflichten im Überblick:


Handlungsempfehlungen für Unternehmen

Akteur: Prüfen Sie rechtzeitig welcher Akteur Sie im Sinne des Data Acts sind und welche Pflichten Sie dadurch treffen und gehen Sie, sobald wie möglich, in die Umsetzung.

Bestandsaufnahme der Dateninfrastruktur: Analysieren Sie, welche Daten in Ihrem Unternehmen generiert und genutzt werden und wie der aktuelle Zugriff darauf geregelt ist.

Überprüfung der Produkt- und Dienstleistungsgestaltung: Stellen Sie sicher, dass Ihre Produkte und Dienste so konzipiert sind, dass Nutzer problemlos auf die erzeugten Daten zugreifen können und sie auch sonst den entsprechenden Vorgaben aus dem Data Act entsprechen- insbesondere müssen Sie die Anforderungen des Acts bei der Planung Ihrer Produktionszyklen und in der Produktentwicklung beachten.

Anpassung von Verträgen: Überarbeiten Sie bestehende Verträge mit Blick auf die neuen Anforderungen des Data Acts, um rechtliche Risiken zu minimieren.

Schulung von zuständigen Mitarbeitenden: Informieren Sie Ihre Mitarbeitenden über die neuen Regelungen und schulen Sie sie hinsichtlich der neuen Inhalte.

Implementierung technischer Lösungen: Nutzen Sie Compliance-Management-Systeme wie die Compliance Management Software von Eticor, um die neuen Anforderungen effizient umzusetzen und die Datenverarbeitung sicher zu gestalten sowie die Einhaltung der entsprechenden Pflichten zu rechtssicher dokumentieren.

Fazit

Der EU Data Act bringt ab September 2025 erhebliche Veränderungen im Datenmanagement und den Zugang von Daten, die beim Einsatz von Produkten und verbundenen Diensten generiert werden, für Unternehmen mit sich. Durch proaktive Anpassung und Implementierung der geforderten Maßnahmen stellen Unternehmen nicht nur Ihre Compliance sicher, sondern können auch Wettbewerbsvorteile durch optimierte Datenstrategien erzielen. Eticor steht Ihnen dabei als kompetenter Partner zur Seite, um die neuen Herausforderungen erfolgreich zu meistern.
Vollständigen Beitrag anzeigen