Datenverordnung der EU (Data Act)

Die Datenverordnung der EU (Data Act) ist ein zentrales Element der europäischen Datenstrategie und wurde am 13. Dezember 2023 durch das Europäische Parlament und den Rat verabschiedet. Ziel ist es, harmonisierte Vorschriften für fairen Zugang und faire Nutzung von Daten zu schaffen, um den digitalen Binnenmarkt zu stärken und Innovation, Transparenz sowie wirtschaftliche Entwicklung in der EU zu fördern.

Im Mittelpunkt steht die Idee, dass Daten als wirtschaftlich wertvolle Ressource effizient genutzt werden können, ohne an Qualität oder Menge zu verlieren – vorausgesetzt, sie sind interoperabel und zugänglich. Die Verordnung verpflichtet Hersteller vernetzter Produkte und Anbieter verbundener Dienste dazu, den Nutzerinnen und Nutzern Zugriff auf die während der Nutzung generierten Daten zu gewähren. Diese dürfen die Daten dann auch an Dritte ihrer Wahl weitergeben. Damit wird die Datenhoheit der Nutzer gestärkt.

Die Verordnung greift insbesondere dort ein, wo Marktversagen oder Ungleichgewichte auftreten. Beispielsweise erhalten KMU oft keinen Zugriff auf die Daten, die sie durch ihre eigene Nutzung von Produkten erzeugen. Auch vertragliche Ungleichgewichte werden reguliert: Dateninhaber dürfen keine unfairen Vertragsklauseln nutzen, um die Nutzung oder Weitergabe der Daten durch die Nutzer einzuschränken. Unternehmen werden dazu angehalten, faire, angemessene und transparente Bedingungen für den Datenzugang festzulegen.

Ein bedeutender Aspekt ist die Pflicht zur Bereitstellung von Daten im öffentlichen Interesse. Unter bestimmten Umständen – etwa im Falle von Naturkatastrophen oder Pandemien – müssen Dateninhaber Daten an Behörden, die EU-Kommission oder andere Institutionen der Union weitergeben. Dieser Zugang auf Basis „außergewöhnlicher Notwendigkeit“ soll öffentliche Aufgaben unterstützen, ohne gleichzeitig den Datenschutz zu verletzen.

Die Verordnung schützt konsequent das Grundrecht auf Datenschutz und Privatsphäre. Sie ergänzt bestehende Regelungen wie die DSGVO (EU 2016/679) und legt fest, dass personenbezogene Daten nur bereitgestellt werden dürfen, wenn eine gültige Rechtsgrundlage besteht. Sensible Daten können anonymisiert oder pseudonymisiert bereitgestellt werden. Der Datenschutz durch Technikgestaltung (Privacy by Design) ist ein zentrales Prinzip.

Zudem fördert der Data Act die Interoperabilität von Datenverarbeitungssystemen. Nutzer sollen Daten in einem strukturierten, maschinenlesbaren Format erhalten, was insbesondere den Wechsel zwischen Datenverarbeitungsdiensten erleichtert. Das trägt zur Vermeidung von Anbieterabhängigkeit (Vendor Lock-in) bei. Auch technische Anforderungen für die Datenweitergabe werden standardisiert.

Ein weiteres Ziel ist die Förderung von Datenkompetenz: Behörden sollen Maßnahmen ergreifen, um Unternehmen und Verbraucher über ihre Rechte und Pflichten aufzuklären und digitale Kompetenzen zu stärken. Dies ist vor allem für kleine Unternehmen wichtig, die oft nicht über ausreichende Mittel zur Datenanalyse verfügen.

Die Verordnung regelt außerdem die Nutzung von Geschäftsgeheimnissen: Dateninhaber dürfen die Weitergabe von Daten nicht allein deshalb verweigern, weil sie als Geschäftsgeheimnis gelten – außer wenn dadurch nachweislich erheblicher wirtschaftlicher Schaden entsteht. In solchen Fällen müssen konkrete Begründungen vorgelegt und nationale Behörden informiert werden.