Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft getreten und zielt darauf ab, ein sicheres, effizientes und transparentes Datenumfeld für Unternehmen zu schaffen. Dadurch soll die Innovations- und Wettbewerbsfähigkeit von Unternehmen in sämtlichen Branchen der EU gestärkt werden, indem ihnen ein besserer Zugang zu Daten ermöglicht wird. Gleichzeitig soll die Handlungskompetenz der Verbraucher hinsichtlich ihrer eigenen Daten gestärkt werden, was zu einem höheren Maß an Selbstbestimmung im digitalen Raum führen soll.

Obwohl der Data Act bereits in Kraft getreten ist, wird dieser erst nach der Übergangsfrist, welche stets zur Umsetzung eingeräumt wird, ab dem 12. September 2025 Wirksamkeit erlangen. Als EU-Verordnung gilt der Data Act unmittelbar in allen Mitgliedstaaten, so dass eine einheitliche Anwendung und Durchsetzung gewährleistet ist, ohne dass es einer Umsetzung in nationales Recht bedarf.

Der Data Act ergänzt den bereits geltenden Data Governance Act (DGA), der die Nutzung von Daten, insbesondere im öffentlichen Sektor, erleichtert und damit die erste Säule der europäischen Datenstrategie bildet. Der Data Act stell somit keine umfassende Neuregelung des Datenwirtschaftsrechts da, sondern ist die zweite Säule der europäischen Datenstrategie. Durch diese beiden Säulen soll ein umfassendes Rahmenwerk geschaffen werden, das den Bedürfnissen einer digitalen Wirtschaft gerecht wird und gleichzeitig die Rechte der Verbraucher schützt.

Die Auswirkungen auf Unternehmen

Der Data Act erfordert von Unternehmen eine umfassende Überprüfung und Anpassung ihrer Datenmanagementstrategie. Dies bedeutet erhebliche Investitionen in neue Technologien und Systeme zur Sicherstellung der Compliance. Soweit beispielsweise Smart Contracts („Intelligente Verträge“) zur Erfüllung von Datenübermittlungsvereinbarungen eingesetzt werden, sind gemäß Art. 36 DA  z.B. sichere Beendigungs- oder Unterbrechungsmechanismen erforderlich. Durch die Erleichterung des Zugangs zu Daten, wie durch die Möglichkeit der unmittelbaren Weitergabe von Daten an Dritte nach Art. 5 Abs. 1 DA, und die Förderung der Entwicklung datenbasierter Produkte eröffnet der Data Act neue Chancen. Diese können neue Geschäftsmodelle entwickeln, welche auf der Nutzung und Analyse von Daten basieren.

Der Data Act bringt aber auch erweiterte Informationspflichten mit sich. Unternehmen sind verpflichtet gemäß Art. 8 Abs. 1 DA, transparente Informationen über die von ihnen erhobenen und genutzten Daten bereitzustellen. Dies betrifft sowohl interne Prozesse als auch die Kommunikation mit Geschäftspartnern und Kunden. Um die Transparenz in Bezug auf die generierten Produktdaten zu gewährleisten und dem Nutzer den Zugang zu den Daten zu erleichtern, schreibt Art. 3 Abs. 2 und Abs. 3 DA vor, dass Verkäufer, Vermieter oder Leasinggeber eines vernetzten Produkts bzw. der Anbieter eines verbundenen Dienstes vor Vertragsabschluss detaillierte Informationen insbesondere zu Art und Umfang der Daten, zur Speicherung und den Modalitäten des möglichen Zugriffs auf die Daten bereitstellen müssen. Transparenz und Nachvollziehbarkeit werden damit zu entscheidenden Faktoren im Datenmanagement.

Schnittstellen zur künstlichen Intelligenz (KI)

In diesem Zusammenhang stellt sich daher die Frage nach den Auswirkungen des Data Act auf die Nutzung und das Training von Künstlicher Intelligenz (KI). Der Data Act enthält dabei keine konkreten Regelungen zur Nutzung für KI. Dennoch kann der Anwendungsbereich des Data Act in bestimmten Fällen durch den Einsatz von KI eröffnet sein.

Die aktuelle Generation von KI-Modellen ist stark auf große Mengen Daten angewiesen. Daten sind das Fundament, auf dem KI-Modelle trainiert, validiert und verbessert werden. Ohne Zugang zu Daten können KI-Systeme ihre volle Leistungsfähigkeit nicht entfalten. Durch den Data-Act werden weitere Datensätze für KI-Modelle nutzbar gemacht. Dadurch werden Produkte und Dienste intelligenter, effizienter und produktiver.

Praxis-Beispiel: Ein Start-Up könnte die von einem smarten Gesundheitsüberwachungsgerät, also einem IoT-Gerät (Internet of Things) wie einem Fitness-Tracker oder einer Smartwatch, erhobenen Daten nutzen, um eine KI-basierte App zur personalisierten Gesundheitsberatung zu erstellen. Das Start-Up als Datenempfänger müsste daher zunächst vom Nutzer die Zugriffsrechte auf die Daten mittels eines Datenlizenzvertrag einräumen lassen. Dies führt zu verbesserten Gesundheitsdiensten und stärkt das Vertrauen der Verbraucher in die Technologie.

Werden also die von IoT-Geräten generierten Daten als Training-, Test- oder Validierungsdaten für KI-Systeme verwendet, gelten hierfür die Anforderungen des Data Act.

Verhältnis zur DSGVO

Wenn personenbezogene Daten verarbeitet werden, sind ebenfalls die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu beachten. Der Data Act hat selbst keine Rechtsgrundlage für Verarbeitung personenbezogenen Daten, sodass diese der DSGVO zu entnehmen ist. In der Praxis wird daher in den meisten Fällen eine Einwilligung nach Art. 6 DSGVO erforderlich sein. Der Data Act und die DSGVO stehen daher nebeneinander. Im Widerspruchsfall gehen die Regelungen der DSGVO vor, da dieser spezifischer sind und sich nur auf personenbezogene Daten beziehen.

Praxishinweise

Mit der Entfaltung der Wirkung des Data Act wird es daher notwendig sein, bestehende Datenverarbeitungs- und Datenübermittlungsverträge zu überprüfen und anzupassen. Dies betrifft insbesondere Verträge, die den Austausch und die Nutzung von Daten betreffen. Unternehmen müssen sicherstellen, dass ihre Verträge den neuen gesetzlichen Anforderungen entsprechen und klare Regelungen zum Umgang mit Daten enthalten. Damit soll ein reibungsloser Übergang zu einem modernen und regulierten Datenmanagement ermöglicht werden.

Können wir Ihnen weiterhelfen?

Falls Sie rechtliche Beratung bei der Umsetzung des Data Act haben, können Sie uns gerne ansprechen. Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.