Am 27. November 2023 hat nach dem Europäischen Parlament nun auch der Europäische Rat den EU-Data-Act angenommen. Mit diesem sollen gesetzliche, wirtschaftliche und technische Hemmnisse für die Datenökonomie reduziert werden. Der Zugang zu und die Weitergabe von automatisch generierten Daten, die bei der Nutzung verschiedenster vernetzter Produkte sowie diesbezüglicher Dienstleistungen (Internet of Things, IoT) entstehen, sollen vereinfacht werden. Solche Produkte sind zum Beispiel Fitness-Tracker oder aber Produkte wie Apple-CarPlay. Weiterhin soll durch diese Regelung ein Wechsel des Cloud-Service-Anbieters deutlich vereinfacht werden. Wesentliche Inhalte des EU-Data-Acts, insbesondere die Bedeutung für die Nutzung von Cloud-Services sowie die Geschichte der Entstehung werden in diesem Blog-Artikel betrachtet.
Geschichte der Entstehung
Der erste Entwurf des Data-Acts der EU-Kommission stammt vom 23. Februar 2022. Es handelt sich hierbei um ein umfangreiches Regelwerk für den fairen Zugang zu und die Nutzung von Daten. Laut der EU-Kommission bleibt ein Großteil der maschinengenerierten/industriellen Daten – bis zu 80 % – derzeit ungenutzt. Der Data-Act will diesen Datenschatz heben und dabei die rechtlichen, wirtschaftlichen und technischen Hindernisse für die Nutzung beseitigen und zugleich die mit Daten verbundene Wertschöpfung verbessern.
Nach vielen Lesungen und Änderungen hat das europäische Parlament der Verordnung am 09. November 2023 zugestimmt. Nach anschließender Annahme des europäischen Rates am 27. November 2023 ist der EU-Data-Act am 11. Januar 2024 in Kraft getreten. Es folgt nun eine Übergangsfrist von 20 Monaten, bevor der Data-Act ab 11. September 2025 anwendbar ist. Er gilt dann für alle Unternehmen, die entsprechende Produkte in der EU anbieten. Weitere Pflichten, wie etwa die Einhaltung des Grundsatzes auf das sogenannte “Access by Design” also den Zugriff von staatlichen Justiz- und Ermittlungsbehörden bei Bedarf, werden erst nach weiteren zwölf Monaten anwendbar, also voraussichtlich im September 2026.
Abbildung 1: Zeitverlauf der Entstehung
Überblick – EU-Data-Act
Doch was beinhaltet dieser Data-Act eigentlich alles an Neuerungen?
- Der EU-Data-Act soll den Umgang mit Daten aus den Bereichen IoT, Industrial Internet of Things (IIoT) und Connected Cars. regulieren. Er berührt auch den Einsatz von virtuellen, zukünftig wohl KI-basierten Assistenten, von deren zunehmender Bedeutung er ausgeht.
- Er soll die Beziehung zwischen Dateninhabern und Nutzern regeln. Nutzer erzeugen Daten, die bei Dateninhabern verbleiben. Der Data-Act soll die Nutzer ermächtigen, ihre erzeugten Daten einzufordern – und gegebenenfalls auch damit zu handeln.
- Der Wechsel zwischen Cloud-Service-Anbietern soll stark erleichtert werden. Gemäß dem EU-Data-Act ist es nicht mehr zulässig, einen Umstieg zu behindern.
Wesentliche Inhaltsaspekte
Gerade dem Wechsel zwischen Datenverarbeitungsdienstleistungen ist das Kapitel 4 im EU-Data-Act gewidmet. Gemeint ist hier das sogenannte “Cloud Switching”. Dem zufolge darf ein Cloud-Service-Anbieter einem Kunden bei einem anstehenden Wechsel zum Beispiel keine technischen, vertraglichen und organisatorischen Hindernisse in den Weg stellen. Konkret betrifft das unter anderem die Kündigung der Dienste, den Abschluss eines neuen Vertrags mit einem Wettbewerber und die Portierung von Daten auf einen Wettbewerber oder eine eigene On-Premise-Infrastruktur mit dem Ziel, gleichartige Leistungen bei einem Wettbewerber zu beziehen oder Dienstleistungen aufzuspalten – auch “Unbundling” genannt.
In Kapitel 4, Artikel 25 enthält der Data-Act Vorgaben zu vertraglichen Vereinbarungen über Datenverarbeitungsdienstleistungen, wie sie Cloud-Services darstellen. Hinzu kommen Informationspflichten über die Methoden und Formate für den Dienstleisterwechsel Dies schließt unter anderem Informationen über etwaige Einschränkungen und technische Limitierungen mit ein. Die Dienstleister sind verpflichtet, ein stets aktuelles Onlineregister vorzuhalten, das über Datenstrukturen und -formate sowie relevante Standards und Spezifikationen für eine Interoperabilität Auskunft gibt.
In Kapitel 8, Artikel 33 stellt der Data-Act umfassende Regeln zur Interoperabilität von Daten, Mechanismen und Diensten für die Datenweitergabe sowie der Nutzung in gemeinsamen europäischen Datenräumen auf. Mit Datenräumen sind beispielsweise Cloud-Umgebungen wie AWS, Azure oder die Google Cloud gemeint. Die EU-Kommission darf Durchführungsbestimmungen erlassen und Standardsetzungsorganisationen (z.B.: ISO, DIN) auffordern, einheitliche Standards in diesem Bereich festzulegen, um diese Interoperabilität zu erreichen. Diese müssen die Anbieter dann entsprechend umsetzen.
Kontrolle der Vorgabenumsetzung
Wie in vergleichbaren EU-Verordnungen üblich, macht die EU im Data-Act entsprechende Vorgaben zur Umsetzung und Durchsetzung dieser Regeln. Demnach sollen die einzelnen EU-Staaten Behörden benennen, denen die Aufgabe der Durchsetzung des Data-Act zukommt. Für Deutschland dürfte das entweder das Innenministerium oder das diesem unterstellte BSI werden. Festgelegt ist dies aber noch nicht. Diese Behörden sollen Beschwerden wegen Verletzungen des EU-Data-Act insbesondere im Bereich des Schutzes von Geschäftsgeheimnissen nachgehen und allgemein die Anwendung des Data- Act überwachen. Zusätzlich sollen sie technologische und wirtschaftliche Entwicklungen im Bereich der Datenbereitstellung beobachten. Mögliche Konsequenzen wäre eine Anpassung von Regulierungen. Ein Beispiel hierfür wäre ein neues Produkt auf dem Markt, welches bislang unbekannte Möglichkeiten der Datensammlung und Verarbeitung bietet, etwa im Zusammenhang mit KI. Wie die EU-weite Zusammenarbeit der Behörden untereinander dann aussehen soll, haben die Mitgliedsstaaten in den kommenden Monaten entsprechend auszuarbeiten.
Ähnlich wie bei der GDPR sind bei Verstößen gegen den EU-Data-Act erhebliche Sanktionen vorgesehen. Bußgelder können bis zu 20.000.000 Euro beziehungsweise bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens betragen. Mögliche wäre eine solche Strafe etwa bei der Verweigerung von Datenzugriffen.
Fazit – EU-Data-Act
Der EU-Data-Act ist weltweit das erste Regelwerk dieser Art. Die Verarbeitung industrieller Daten rückt regulatorisch näher an die Verarbeitung personenbezogener Daten (GDPR). Eine konkrete Aussage zu dem Thema „Dateneigentum“ ist allerdings nicht getroffen worden, was von Datenschutzorganisationen auch entsprechend kritisiert wird. Weiterhin stellt der Data-Act einen wesentlichen Eingriff in die Vertragsgestaltungsfreiheit der betroffenen Akteure bei Datennutzungsverträgen dar. Wenn die Verordnung schlussendlich gilt, wird sich zeigen, welche Folgen das haben wird. Betroffene Service- bzw. Produktanbieter sollten spätestens jetzt mit der Umsetzung der Vorgaben des Data-Acts beginnen, denn es steht fest, dass der Data-Act zahlreiche Verpflichtungen für Digitalunternehmen mit sich bringt, die zum Teil nur in langfristigen und umfangreichen Prozessanpassungen gewährleistet werden können.
