EU-Datengesetz: Der Data Act und seine Auswirkungen für KMU

59
Data Act: Ein Laptop mit herumschwirrenden Daten in Form von beschrifteten Papiers
EU-Datengesetz: Der Data Act und seine Auswirkungen für KMU - Foto: © Julien Eichinger - stock.adobe.com

Daten ist das Gold des 21. Jahrhunderts. Wie auch die Abhängigkeit von fossilen Rohstoffen zur Jahrhundertfrage wurde, ist auch die Abhängigkeit von der Verarbeitung personenbezogener Daten eine solche Frage. Die Gründe liegen auf der Hand: Vom Recruiting über den Einsatz von IT-Sicherheitssoftware bis zur Supply Chain, weisen nicht nur Unternehmen eine existenzkritische Abhängigkeit von den Daten auf. Auch Behörden und staatliche Einrichtungen sind zunehmend auf Daten-Treibstoffe angewiesen und die Abhängigkeit im privaten Lebensbereich verhält sich entsprechend durch das Erfordernis der Nutzung mobiler Geräte und Applikationen.

Für eine faire und innovative Datenwirtschaft

So lauten die Ziele des Gesetzesentwurfs für einen Data Act, der sich in die neue europäische Datenstrategie einfügen soll. Während laut der International Data Corporation (IDC) von einer Verfünffachung der Datenmenge bis zum Jahr 2025 ausgegangen wird, sollen auch die gesetzlichen Meilensteine für eine durch Edge-Computing und das Internet der Dinge (IoT) zunehmend dezentrale Datenwirtschaft gesetzt werden. Nach Schätzungen der EU-Kommission könne dadurch zudem das Bruttoinlandsprodukt in Europa um 270 Milliarden bis zum Jahr 2028 gesteigert werden.

Mehr Zugang zu (und Austausch von) Daten

Der Data Act soll branchenübergreifend gelten. Bislang werde laut EU-Kommissariat vor allem das Wachstums- und Innovationspotential von „Industriedaten“ nur zu einem Bruchteil genutzt. Es geht im Kern also darum, Bedingungen für den Zugang und den Austausch zwischen Unternehmen sowie zwischen Unternehmen und Behörden zu schaffen und gleichzeitig die Nutzungsrechte an Daten ohne Personenbezug zu regeln. Denn das Gesetz spricht in dem Zusammenhang ausdrücklich von nicht-personenbezogenen Daten. Digitale Dienste sollen zudem leichter gewechselt werden können, indem ein Datentransfer für alle Stakeholder erleichtert wird, was die Abhängigkeit von bestimmten Cloud-Diensten reduziert. Unternehmen und Behörden sollen im Kern des Gesetzes Daten erhalten können, die bis dahin nur wenigen großen Marktteilnehmern zugänglich waren.

EXTRA: Datenpanne: Meldepflicht, Bußgelder und Prävention

Mehr Mitsprache für Verbraucher und Unternehmen

Die neuen Rechte beziehen sich für Verbrauchende und Unternehmende darauf, auf die durch die Nutzung erzeugten Daten zugreifen und diese mit Dritten teilen zu können. Insbesondere sollen Herstellende von Produkten und Dienstleistungen die technischen Voraussetzungen der Zugänglichkeit der Nutzungsdaten schaffen. Verbraucher erhalten zudem das Recht auf einen Anbieterwechsel, was die Interoperabilität erfordert, wie man es zum Teil bereits aus der DSGVO mit dem Recht auf die Datenübertragbarkeit kennt. Unternehmen werden zudem verpflichtet, anderen Unternehmen ihre Daten zur Verfügung zu stellen und kleine und mittlere Unternehmen sollen besser vor benachteiligenden Vertragsklauseln durch große Anbieter geschützt werden. Geregelt wird zudem, dass auch Behörden die Daten erhalten können soweit ein öffentliches Interesse an den Daten besteht. Die Transfers von nicht-personenbezogenen Daten in Drittländer dürfen jedoch, ähnlich wie man es aus der DSGVO kennt, nicht in Konflikt mit dem europäischen Datenrecht stehen.

EXTRA: Datenschutz heute: Externe Beauftragte sind zunehmend gefragt

Ein Turbo für die europäische Digitalwirtschaft?

Es ist zunächst zu begrüßen, dass die Wettbewerbsbedingungen sich für viele kleine und mittlere Unternehmen deutlich verbessern könnten. Unternehmen sollten daher die technologischen und personellen Ressourcen aufweisen, dieses Potential entsprechend zu nutzen. Ob große Anbieter ihre Daten in einer für kleine und mittlere Unternehmen nützlichen Art und Weise teilen, oder ob dies die Abhängigkeit von großen Anbietern weiter erhöht, welche die Nutzungsdaten Dritter erhalten, ist ebenso fraglich wie der Umstand, ob kleine und mittlere Unternehmen die neuen Vorgaben praktisch umsetzen und einhalten könnten. Für nicht wenige Unternehmen dürften die neuen Vorschriften mit einem erheblichen Aufwand verbunden sein, welche Daten sie konkret in einem nicht-personenbezogenen Format auf welche Weise bereitzustellen haben. Der Aufwand wäre umso höher, je weniger das Unternehmen selbst von den Daten Dritter profitiert. Das Recht der Nutzer auf den Zugriff und das Teilen ihrer Nutzungsdaten, sowie die Bedeutung für den Datenschutz, sind zum jetzigen Zeitpunkt ebenfalls nicht sicher zu beantworten. Mit dem neuen Datengesetz ist frühestens ab dem Jahr 2023 zu rechnen. Nachbesserungen sind bis dahin wahrscheinlich.

Florian Bou-Fadel
Herr Florian Bou-Fadel, LL.M. ist Gründer und Berater von Rocketlegal.de, einem innovativen Legal Tech Startup im Bereich der Data Compliance. Neben einem All-in-One Portfolio im Datenschutz bietet das Unternehmen spezialisierte Security-Lösungen für KMU.

Kommentiere den Artikel

Bitte gib deinen Kommentar ein!
Bitte gib hier deinen Namen ein

Der Artikel hat dir gefallen? Gib uns einen Kaffee aus!