Der Data Act ist in Kraft getreten und verpflichtet zum Datenteilen
Seit dem 11. Januar 2024 ist der Data Act in Kraft getreten und nach einer Übergangszeit werden bis September 2025 alle darin enthaltenen Regelungen verpflichtend. Erneut nutzt die EU damit die gesetzlichen Möglichkeiten, um die europäische Datenwirtschaft einheitlich zu regeln und somit zu fördern. Mit dem Artificial Intelligenz Act, dem Data Governance Act und nun dem Data Act (DA) nimmt die Europäische Union eine globale Vorreiterrolle ein.
Ziel des DA ist dabei, die Verfügbarkeit von Daten zu erhöhen. Bereits heute sammeln europäische Unternehmen in großem Umfang Daten. Diese können zwar für die Verbesserung bestehender Abläufe und die Entwicklung neuer Produkte und Dienstleistungen genutzt werden. Diese Potenziale bleiben aktuell jedoch oftmals ungenutzt. Häufig sind Unternehmen selbst nicht in der Lage die Daten für jeden Nutzen vollumfänglich zu verarbeiten. Gleichzeitig findet Austausch und Handel von Daten bisher nicht in dem Umfang statt, wie es möglich wäre. So bleiben beispielsweise 80 Prozent der europäischen Industriedaten bisher ungenutzt.
Durch Anreize und Verpflichtungen möchte die EU dies nun ändern. Zu diesem Zweck verpflichtet der DA zum Datenteilen. Dazu beinhaltet das Gesetz weitgehende Verpflichtungen zur Breitstellung von Daten durch Unternehmen – sowohl gegenüber Nutzern als auch Behörden und Dritten. Beispielsweise müssen Daten, die durch Nutzer generiert werden in der Regel den Nutzern selbst zur Verfügung gestellt werden. Daten, die für behördliche Aufgaben benötigt werden, müssen beispielsweise in Notfällen, ebenfalls zugänglich gemacht werden.
Mit dem DA kommen auf zahlreiche Unternehmen also neue Verpflichtungen zu. Im Folgenden wird ein kurzer Überblick gegeben, was die neuen Regelungen vorsehen und wie ihnen entsprochen werden kann.
Verpflichtungen: Die wesentlichen Inhalte des DA
Die Regelungen des Data Act lassen sich vereinfacht drei Bereichen zuordnen:
1. Verpflichtung zur Bereitstellung von Nutzerdaten
Der erste Bereich betrifft die Breitstellung von Nutzerdaten. Viele Produkte sammeln heute bereits Daten: Autos, Sprachassistenten und Thermostate beispielsweise sammeln Daten zu ihrer Umgebung, ihren Nutzern oder der Nutzungsweise. Ab September 2025 müssen Hersteller oder Dateninhaber solche Nutzungsdaten den Nutzern der Produkte zugänglich machen. Hersteller sind dabei Produzenten der betreffenden Produkte oder Dienste, während Dateninhaber diejenigen sind die tatsächliche Kontrolle über die erzeugten Daten haben, unabhängig davon, ob sie das Produkt selbst hergestellt haben. Die Verpflichteten dürfen sich bei der Bereitstellung nicht hinter technischen Schwierigkeiten und umständlichen Verfahren verstecken. Künftig müssen sie ihre Produkte und Dienste vielmehr so konstruieren, dass die erzeugten Daten für die Nutzer direkt zugänglich sind. Fachleute sprechen von „Data Accessibility by Design“. Lässt sich kein Direktzugriff einrichten, haben Nutzer dennoch ein Recht auf die Daten. Ein Dateninhaber muss sie auf Anfrage sofort, kostenfrei und in einem üblichen und maschinenlesbaren Format herausgeben, idealerweise in Echtzeit.
2. Pflicht, Daten den Behörden bereitzustellen (B2G)
Der Data Act nimmt Dateninhaber auch gegenüber staatlichen Akteuren in die Pflicht: Behörden können die Bereitstellung von Daten verlangen, falls hierfür eine „außergewöhnliche Notwendigkeit“ besteht. Dies ist gegeben, wenn die Behörde für die Erfüllung ihrer gesetzlichen Aufgaben im öffentlichen Interesse Daten benötigt, diese aber nicht auf anderem Wege beschaffen kann. So könnten im Katastrophenfall, etwa bei großen Überschwemmungen wie in den letzten Jahren, Behörden wie das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe Daten privater Einrichtungen zu Niederschlagsmengen und Pegelständen anfordern. Die Behörde muss dazu ein einen Antrag einreichen. Die angefragte Stelle hat diesem Antrag unverzüglich zu entsprechen oder zu begründen, warum sie diesem nicht entsprechen kann.
3. Regelungen zur Interoperabilität und zum Wechsel zwischen Datenverarbeitungsdiensten
Der DA schafft neue Pflichten für private Einrichtungen, Daten zu teilen. Dadurch könnten in Zukunft deutlich mehr Daten für digitale Geschäftsmodelle und smarte Anwendungen verfügbar sein. Zugleich will der Gesetzgeber neue digitale Monopole verhindern und sicherstellen, dass es zu keiner starken Konzentration von Daten und datenbasierter Wertschöpfung bei einzelnen Akteuren kommt. Vielmehr sollen Nutzer nicht auf Dienste einzelner Anbieter von Datenverarbeitungsdiensten angewiesen sein. Im Gegenteil sollen sie leicht zwischen Datenverarbeitungsdiensten wechseln können. Zu diesem Zweck verpflichtet der DA die Anbieter von Datenverarbeitungsdiensten, etwaige Hürden für einen Wechsel abzubauen. Beispielsweise dürfen Gebühren beim Anbieterwechsel allenfalls kostendeckend sein. Ab 2027 müssen diese Entgelte sogar ganz entfallen.
Des Weiteren verpflichtet der DA zur Interoperabilität: Anbieter von Datenverarbeitungsdiensten müssen offene bzw. gängige Standards und Formate verwenden – diese können in der Zukunft auch von Seiten der Europäische Kommission festgelegt werden. Damit erfolgt auf Gesetzesebene eine Festschreibung solcher Prinzipien, die durch Datenrauminitiativen wie Gaia-X bereits praktisch umgesetzt werden. Datenräume werden mit dem DA zudem direkt adressiert: Transparenz- und Interoperabilitätsziele, die von Initiativen wie Gaia-X bereits angestrebt oder realisiert werden, werden mit dem DA aufgegriffen.
Lösung: Datenräume
Um den genannten Verpflichtungen und Zielen des DA zu entsprechen, bieten dezentrale Datenökosysteme praktikable Lösungen. Anstatt eigene proprietäre Schnittstellen zu entwickeln, können sich Inhaber von Daten den bestehenden Datenrauminitiativen anschließen und Daten über Datenräume bereitstellen. So können vorhandene Technologien z.B. zur Identifikation von Nutzern, zur sicheren Datenübertragung oder zur Dokumentation des Datentransfers übernommen werden. Kosten für Entwicklung und Erprobung sowie die rechtliche Einschätzung eigener Lösungen werden so weitgehend vermieden.
Relevant ist dies beispielsweise im Hinblick auf die Verpflichtung zur Bereitstellung von Nutzerdaten. Durch die Nutzung von Datenräumen können Nutzer auf die erforderlichen Daten zugreifen, ohne auf technische Hürden zu stoßen. Ein wichtiger Aspekt von Datenräumen ist hierbei beispielsweise die Katalogisierung von Datenbeständen. Datenraumkataloge bieten eine klare Übersicht über verfügbare Datensätze und deren Nutzungsmöglichkeiten, was sowohl für Nutzer als auch für Dritte von großem Interesse ist. Durch die Katalogisierung werden die Daten strukturiert und leichter zugänglich gemacht, was den Anforderungen des Data Act entspricht, der Transparenz und den einfachen Zugang zu Daten fordert. Auf diese Weise erleichtern Datenräume den Zugang zu Daten und reduzieren den Aufwand, der durch die Datenverwaltung und -bereitstellung entsteht, erheblich.
Auch bei der Bereitstellung von Daten gegenüber Behörden bieten Datenräume erhebliche Vorteile, indem sie einen transparenten und rechtssicheren Datenaustausch ermöglichen. Die angeforderten Daten können auf Antrag unverzüglich bereitgestellt werden, ohne dass dabei Sicherheitsstandards oder Datenschutzbestimmungen verletzt werden.
Außerdem können Datenräume einen wesentlichen Beitrag zur Erfüllung der Anforderungen des Data Act im Bereich der Interoperabilität leisten. Dieser fordert, dass Anbieter von Datenverarbeitungsdiensten offene und gängige Standards und Formate verwenden müssen, um sicherzustellen, dass Daten einfach zwischen verschiedenen Diensten und Plattformen ausgetauscht werden können. Hier können Datenräume als Lösung fungieren, da sie von Grund auf Interoperabilität ausgelegt sind. Besonders relevant ist dies im Hinblick auf den Wechsel zwischen Datenverarbeitungsdiensten, da die flexible Struktur der Datenräume Hürden wie proprietäre Schnittstellen oder inkompatible Datenformate abbaut.
Datenräume erleichtern es also, den im Data Act enthaltenen Regelungen zu entsprechen. Zudem eröffnen sie Unternehmen auch neue Chancen, um datengetriebene Geschäftsmodelle und Innovationen voranzutreiben. So lassen sich offene Datenräume nutzen, um neue Austauschbeziehungen zu etablierten, Daten und datenbasierte Dienste anzubieten oder nachzufragen und so den Weg in die Datenökonomie weiter zu beschreiten.
Bei diesem Blogbeitrag, welcher eine allgemeine Einführung zum Data Act gibt, handelt es sich um den ersten Teil der Blogreihe Data Act des Gaia-X Hub Deutschland. In den folgenden Teilen, werden jeweils die drei oben genannten Bereiche im Detail betrachtet und anhand von Beispielen veranschaulicht. Teil zwei der Blogreihe thematisiert den Bereich der Datenweitergabe an Behörden (Business-to-Government; B2G) und richtet dabei einen gesonderten Fokus auf den Anwendungsfall des Katastrophenschutzes.