Datenschutzrecht

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft getreten und zielt darauf ab, ein sicheres, effizientes und transparentes Datenumfeld für Unternehmen zu schaffen. Dadurch soll die Innovations- und Wettbewerbsfähigkeit von Unternehmen in sämtlichen Branchen der EU gestärkt werden, indem ihnen ein besserer Zugang zu Daten ermöglicht wird. Gleichzeitig soll die Handlungskompetenz der Verbraucher hinsichtlich ihrer eigenen Daten gestärkt werden, was zu einem höheren Maß an Selbstbestimmung im digitalen Raum führen soll.

Obwohl der Data Act bereits in Kraft getreten ist, wird dieser erst nach der Übergangsfrist, welche stets zur Umsetzung eingeräumt wird, ab dem 12. September 2025 Wirksamkeit erlangen. Als EU-Verordnung gilt der Data Act unmittelbar in allen Mitgliedstaaten, so dass eine einheitliche Anwendung und Durchsetzung gewährleistet ist, ohne dass es einer Umsetzung in nationales Recht bedarf.

Der Data Act ergänzt den bereits geltenden Data Governance Act (DGA), der die Nutzung von Daten, insbesondere im öffentlichen Sektor, erleichtert und damit die erste Säule der europäischen Datenstrategie bildet. Der Data Act stell somit keine umfassende Neuregelung des Datenwirtschaftsrechts da, sondern ist die zweite Säule der europäischen Datenstrategie. Durch diese beiden Säulen soll ein umfassendes Rahmenwerk geschaffen werden, das den Bedürfnissen einer digitalen Wirtschaft gerecht wird und gleichzeitig die Rechte der Verbraucher schützt.

Die Auswirkungen auf Unternehmen

Der Data Act erfordert von Unternehmen eine umfassende Überprüfung und Anpassung ihrer Datenmanagementstrategie. Dies bedeutet erhebliche Investitionen in neue Technologien und Systeme zur Sicherstellung der Compliance. Soweit beispielsweise Smart Contracts („Intelligente Verträge“) zur Erfüllung von Datenübermittlungsvereinbarungen eingesetzt werden, sind gemäß Art. 36 DA  z.B. sichere Beendigungs- oder Unterbrechungsmechanismen erforderlich. Durch die Erleichterung des Zugangs zu Daten, wie durch die Möglichkeit der unmittelbaren Weitergabe von Daten an Dritte nach Art. 5 Abs. 1 DA, und die Förderung der Entwicklung datenbasierter Produkte eröffnet der Data Act neue Chancen. Diese können neue Geschäftsmodelle entwickeln, welche auf der Nutzung und Analyse von Daten basieren.

Der Data Act bringt aber auch erweiterte Informationspflichten mit sich. Unternehmen sind verpflichtet gemäß Art. 8 Abs. 1 DA, transparente Informationen über die von ihnen erhobenen und genutzten Daten bereitzustellen. Dies betrifft sowohl interne Prozesse als auch die Kommunikation mit Geschäftspartnern und Kunden. Um die Transparenz in Bezug auf die generierten Produktdaten zu gewährleisten und dem Nutzer den Zugang zu den Daten zu erleichtern, schreibt Art. 3 Abs. 2 und Abs. 3 DA vor, dass Verkäufer, Vermieter oder Leasinggeber eines vernetzten Produkts bzw. der Anbieter eines verbundenen Dienstes vor Vertragsabschluss detaillierte Informationen insbesondere zu Art und Umfang der Daten, zur Speicherung und den Modalitäten des möglichen Zugriffs auf die Daten bereitstellen müssen. Transparenz und Nachvollziehbarkeit werden damit zu entscheidenden Faktoren im Datenmanagement.

Schnittstellen zur künstlichen Intelligenz (KI)

In diesem Zusammenhang stellt sich daher die Frage nach den Auswirkungen des Data Act auf die Nutzung und das Training von Künstlicher Intelligenz (KI). Der Data Act enthält dabei keine konkreten Regelungen zur Nutzung für KI. Dennoch kann der Anwendungsbereich des Data Act in bestimmten Fällen durch den Einsatz von KI eröffnet sein.

Die aktuelle Generation von KI-Modellen ist stark auf große Mengen Daten angewiesen. Daten sind das Fundament, auf dem KI-Modelle trainiert, validiert und verbessert werden. Ohne Zugang zu Daten können KI-Systeme ihre volle Leistungsfähigkeit nicht entfalten. Durch den Data-Act werden weitere Datensätze für KI-Modelle nutzbar gemacht. Dadurch werden Produkte und Dienste intelligenter, effizienter und produktiver.

Praxis-Beispiel: Ein Start-Up könnte die von einem smarten Gesundheitsüberwachungsgerät, also einem IoT-Gerät (Internet of Things) wie einem Fitness-Tracker oder einer Smartwatch, erhobenen Daten nutzen, um eine KI-basierte App zur personalisierten Gesundheitsberatung zu erstellen. Das Start-Up als Datenempfänger müsste daher zunächst vom Nutzer die Zugriffsrechte auf die Daten mittels eines Datenlizenzvertrag einräumen lassen. Dies führt zu verbesserten Gesundheitsdiensten und stärkt das Vertrauen der Verbraucher in die Technologie.

Werden also die von IoT-Geräten generierten Daten als Training-, Test- oder Validierungsdaten für KI-Systeme verwendet, gelten hierfür die Anforderungen des Data Act.

Verhältnis zur DSGVO

Wenn personenbezogene Daten verarbeitet werden, sind ebenfalls die Anforderungen der Datenschutzgrundverordnung (DSGVO) zu beachten. Der Data Act hat selbst keine Rechtsgrundlage für Verarbeitung personenbezogenen Daten, sodass diese der DSGVO zu entnehmen ist. In der Praxis wird daher in den meisten Fällen eine Einwilligung nach Art. 6 DSGVO erforderlich sein. Der Data Act und die DSGVO stehen daher nebeneinander. Im Widerspruchsfall gehen die Regelungen der DSGVO vor, da dieser spezifischer sind und sich nur auf personenbezogene Daten beziehen.

Praxishinweise

Mit der Entfaltung der Wirkung des Data Act wird es daher notwendig sein, bestehende Datenverarbeitungs- und Datenübermittlungsverträge zu überprüfen und anzupassen. Dies betrifft insbesondere Verträge, die den Austausch und die Nutzung von Daten betreffen. Unternehmen müssen sicherstellen, dass ihre Verträge den neuen gesetzlichen Anforderungen entsprechen und klare Regelungen zum Umgang mit Daten enthalten. Damit soll ein reibungsloser Übergang zu einem modernen und regulierten Datenmanagement ermöglicht werden.

Können wir Ihnen weiterhelfen?

Falls Sie rechtliche Beratung bei der Umsetzung des Data Act haben, können Sie uns gerne ansprechen. Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.

Yuliya Haj Bakour

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago

Grundlagenkurs: KI und Datenschutz – Was Sie auf jeden Fall beachten müssen

Mit der Veröffentlichung des Chatbots „ChatGPT“ sind KI-Dienste in den Fokus der Öffentlichkeit sowie großer…

2 Jahren ago