Data Act – Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz)
Der Data Act trat am 11.01.2024 in Kraft. Nach einer zwanzigmonatigen Umsetzungsfrist gilt der Data Act ab dem 12.09.2025 unmittelbar in allen EU-Mitgliedsstaaten. Es verbessert den Zugang von Einzelpersonen und Unternehmen zu Daten. Dabei bestimmt das Gesetz, wer welche Daten verwerten darf. Der Data Act soll es den Nutzern ermöglichen, über Ihre Daten und deren Nutzung zu verfügen und unter bestimmten Bedingungen an Dritte weiterzugeben.
Der Data Act gilt für europäische Unternehmen und auch für alle nicht europäischen Unternehmen, die in der EU tätig sind. Insbesondere betroffen sind Hersteller und Anbieter als sogenannte Dateninhaber und Nutzer von vernetzten Internet of Things (IoT) Produkten, wie beispielsweise smarte Haushaltsgeräte (Kühlschrank, Heizung etc.) oder Autos. Das Internet of Things bezeichnet die Verbindung von Geräten mit digitalen Netzwerken, um Daten auszutauschen.
Durch das Gesetz bekommen Nutzer einen Anspruch auf Datenzugang. Dazu hat ihnen der Dateninhaber kostenlos einen direkten Zugang zu den Daten bereitzustellen. Somit ist es den Nutzern von Apps und Geräten möglich, die Herausgabe ihrer Nutzungsdaten kostenfrei zu verlangen und an Dritte weiterzugeben. Daher bedarf es einer vertraglichen Nutzungsvereinbarung zwischen Dateninhaber und Nutzer. Auch kann ein Nutzer verlangen, dass der Dateninhaber einem Dritten die nutzergenerierten Daten bereitstellt. Eine Ausnahme bilden Dateninhaber die Kleinst- oder Kleinunternehmen sind. Datenzugangsansprüche können gegenüber diesen nicht geltend gemacht werden.
Der Dateninhaber darf für die Bereitstellung der Daten einen Gegenleistung mit angemessener Marge verlangen. Jedoch darf eine Marge nicht von datenempfangenden Kleinstunternehmen oder von kleinen und mittleren Unternehmen (KMU) verlangt werden. Erhalten die angeforderten Daten Geschäftsgeheimnisse, sind diese vom Dateninhaber grundsätzlich bereitzustellen. Sie müssen jedoch nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um die Vertraulichkeit von Geschäftsgeheimnissen zu wahren, beispielsweise durch Geheimhaltungsvereinbarungen.Bei personenbezogenen Daten gilt ergänzend die DSGVO. Demnach dürfen personenbezogene Nutzungsdaten nur an die betroffene Person und an Dritte bei Vorliegen einer datenschutzrechtlichen Rechtsgrundlage im Sinne des Art. 6 DSGVO bereitgestellt werden.
Verstöße gegen den Data Act können mit einem Bußgeld in Höhe von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Umsatzes des vorangegangen Geschäftsjahres geahndet werden.
Der Data Act schafft also Regeln für den Zugriff auf und die Nutzung von Daten innerhalb der europäischen Datenwirtschaft. Aufgrund der Verordnung müssen vernetzte Produkte so konzipiert und hergestellt werden, dass die Nutzer einfach und sicher auf die generierten Daten zugreifen, sie nutzen und teilen können.