Derzeit gibt es nur den Entwurf der europäischen Kommission vom 23. Februar 2022 zum Data Act. In seiner deutschen Übersetzung heißt der Entwurf „Vorschlag für eine Verordnung (…) über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Datengesetz)“. 

Ab dem 12. September 2025 gilt der europäische Data Act. Dieser verpflichtet Hersteller von internetfähigen Geräten (z.B. Maschinen, Haushaltsgeräte, Fahrzeuge), die von diesen Geräten gesammelten Daten auch mit Dritten (wie Nutzern, Werkstätten, Forschern) zu teilen.

Dies stellt eine große Herausforderung für den Datenschutz dar. Unternehmen und Behörden müssen Wege finden, den geforderten Datenzugang zu ermöglichen und gleichzeitig Datenschutzvorschriften (wie die DSGVO) sowie Geschäftsgeheimnisse zu wahren.

Regelungen im B2B-Verhältnis

Der Data Act bezieht sich primär auf B2B-Verhältnissse: 

Er soll Unternehmen einen einfacheren Zugang zu Daten anderer Unternehmen ermöglichen, um so neue datenbasierte Geschäftsmodelle und Innovationen hervorzubringen. Hiermit soll insbesondere sichergestellt werden, dass die sog. „Gatekeeper“ ihre Datenschätze mit anderen teilen müssen. Dabei enthält der Data Act Regelungen zu den Modalitäten der Bereitstellung der Daten. Beispielsweise müssen die Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitgestellt werden. Selbst beinhaltet der Data Act (mit Ausnahme einer Norm) keine Regelungen dazu, wann ein Dateninhaber zur Herausgabe von Daten an andere Unternehmer verpflichtet ist. Die Verpflichtung zur Bereitstellung von Daten ergibt sich aus einer anderen europäischen oder nationalen Vorschrift.

Regelungen im B2C-Verhältnis

Der Data Act enthält auch Regelungen im B2C-Verhältnis: 

Dabei geht es vor allem um den Anspruch eines Konsumenten („Nutzer“) auf Bereitstellung von Daten, die während der Nutzung eines Produkts erzeug werden. 

Zu beachten ist, dass nach dem Entwurf auch juristische Personen „Nutzer“ sind, also auch diese einen Anspruch auf Bereitstellung der bei der Nutzung eines Produkts anfallende Daten haben.

Außerdem können nach dem Entwurf Behörden wegen der „außergewöhnlichen Notwendigkeit der Nutzung“ Daten herausverlangen.

Schließlich enthält der Data Act noch Regelungen zum Schutz nicht personenbezogener Daten im internationalen Kontext.

In welchem Verhältnis steht der Data Act zu den geltenden Datenschutzvorschriften?

Die Regelungen des Data Act gelten größtenteils sowohl für personenbezogene als auch nicht-personenbezogene Daten.

Der Data Act ist aber kein Datenschutzrecht.

Er lässt vielmehr die Datenschutzvorschriften unberührt. D.h. er enthält keine zu Art. 6 DSGVO zusätzlichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Datenschutzrechtlich bleibt die Verarbeitung von personenbezogenen allein an den Datenschutzvorschriften, insbesondere der DSGVO, zu messen.

Ziele des Data Acts

Inhalte Kapitel II:

• Pflicht der Zugänglichmachung von bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten, Art. 3
• Recht der Nutzer auf Zugang zu den bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten und auf deren Nutzung, Art. 4
• Recht auf Weitergabe von Daten an Dritte, Art. 5
• Pflichten Dritter, die Daten auf Verlangen des Nutzers erhalten, Art. 6
• Umfang der Pflichten zur Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen, Art. 7

Ziele des Data Acts

• Erhöhung der Rechtssicherheit für Unternehmer und Verbraucher z.B. bezüglich Bedingungen der Datennutzung, hochwertigere Datenerzeugung, Erleichterung und Anregung der Datenwirtschaft und -übermittlung
• Verhinderung des Missbrauchs vertraglicher Ungleichgewichte z.B. auch kleinere und mittlere Unternehmen werden vor missbräuchlichen Vertragsklauseln geschützt, Entwicklung von Mustervertragsklauseln
• Kontrolle durch öffentliche Stellen mit entsprechendem Zugriff auch zur Nutzung von Daten des privaten Sektors z.B. zur Erkenntnissammlung, bessere Reaktion bei Notfällen, Entlastung der Unternehmer
• Rahmenbedingungen für informierte Entscheidungen und Anbieterwechsel z.B. soll dadurch der Cloud-Markt EU-weit erschlossen werden, effiziente Dateninteroperabilität

Insgesamt sollen also Anreize geschaffen werden, die Daten effektiver und transparenter einzusetzen.

Der Data Act ist hier abrufbar

Wann kommt der Data Act?

Mit dem Data Act wird das Teilen von Daten, die bei Internet of Things-Geräten (IoT) entstehen, geregelt. Zwei Ziele wurden damit verfolgt:

1.Wissenschaft und Unternehmen sollen leichteren Zugang zu Daten haben. Davon erhofft sich die EU neue Geschäftsmodelle und Innovationen.

2.Verbrauchende sollen leichter bestimmen können, wer auf ihre Daten zugreift.

Mit 28.06.2023 haben sich das europäische Parlament und der Rat auf den Data Act geeinigt. Nach der Veröffentlichung tritt die Verordnung innerhalb von 20 Monaten in Kraft. Anfang 2025 ist der Data Act somit verbindlich.

Der Data Act ist hier abrufbar

Handreichung zum Data Act des Hamburger Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI)

Handreichung zum Data Act des Hamburger Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI)

Aus dem Inhalt:

Der Data Act tritt im September 2025 in Kraft und verpflichtet Unternehmen (insbesondere Hersteller vernetzter Geräte wie Autos, Haushaltsgeräte etc.), die von diesen Geräten generierten Daten unter bestimmten Bedingungen mit Nutzern und Dritten zu teilen. Ziel des Data Acts ist, Datenmonopole aufzubrechen und es Nutzern sowie anderen Unternehmen (z.B. Werkstätten, Ersatzteilherstellern, Forschern) zu ermöglichen, von den Daten zu profitieren und neue Dienstleistungen zu entwickeln. Der Data Act bringt einige Herausforderungen hinsichtlich des Datenschutzes mit sich, denn Unternehmen müssen den Datenzugang gewähren, dabei aber die DSGVO (Datenschutz-Grundverordnung) und Geschäftsgeheimnisse beachten. Personenbezogene Daten dürfen nur geteilt werden, wenn eine Rechtsgrundlage nach DSGVO (z.B. Einwilligung) vorliegt. Die DSGVO hat bei Konflikten Vorrang.

Wichtige Pflichten für Unternehmen:

• Prüfen, ob sie betroffen sind.
• Dateninventur (personenbezogen und nicht-personenbezogen).
• Klärung des Personenbezugs und Kennzeichnung von Geschäftsgeheimnissen.
• Einrichtung von Schnittstellen für den Datenzugang.
• Vorbereitung von Verträgen und ggf. Einwilligungsmanagement.
• Transparenzpflichten (Informationen für Nutzer).

Der Data Act enthält auch Vorgaben zum leichteren Wechsel zwischen Cloud-Anbietern ("Cloud Switching") und Regelungen für den Zugang zu Daten durch Behörden in Notfällen. Für Aspekte, die personenbezogene Daten betreffen, sind automatisch die Datenschutzbehörden (wie der HmbBfDI) zuständig und wenden ihre DSGVO-Befugnisse an. Für rein nicht-personenbezogene Daten muss Deutschland noch eine Behörde benennen (der Entwurf nennt die BNetzA, was aber umstritten ist).