Data Act: EU-Gesetz soll Daten befreien

Am 12. September erlangt der Data Act, im Deutschen auch Datengesetz genannt, volle Geltung. Diese EU-Verordnung war am 11. Januar 2024 in Kraft getreten und wirkt nun nach einer Schonfrist als Gesetz unmittelbar in allen Mitgliedstaaten. Die EU-Kommission hatte sie als wichtigen Baustein der 2020 definierten „EU-Datenstrategie“ erdacht und umgesetzt.

Nach eigenen Angaben will die Kommission mit dem Data Act klarstellen, „wer aus Daten Wert schaffen kann und unter welchen Bedingungen“. Das Gesetz soll helfen, Datensilos aufzubrechen, einen Binnenmarkt für Daten zu schaffen und leichter zwischen Cloudanbietern zu wechseln. Konkret geht es um alle möglichen Bestände von nicht personenbezogenen Daten, die bei der Nutzung von Geräten anfallen, etwa in der Industrie, der Landwirtschaft, im Verkehrssektor, aber auch im Internet der Dinge (IoT). Umfasst sind also auch smarte Haushaltsgeräte oder Fitnesstracker.

Speichert beispielsweise ein Fahrzeughersteller die Sensordaten eines verkauften Autos in seiner Cloud, gilt er dem Data Act zufolge als „Dateninhaber“. Während er bislang exklusiven Zugriff auf all diese gesammelten Daten hat, sollen sie nun befreit werden. So muss der Hersteller sie auf Wunsch an den Nutzer, der sie ja eigentlich generiert hat, herausgeben. Er kann sie auch anderen („Dritten“) entgeltlich zur Verfügung stellen, sofern dies vertraglich geregelt ist.

Datenoptimismus

Die EU will damit Verbraucher besserstellen, aber insbesondere den Handel mit riesigen Mengen nicht personenbezogener Daten ermöglichen. Als die Kommission den Data Act 2020 entwarf, prognostizierte sie, dass alleine dieser durchs Gesetz ermöglichte Handel bis 2028 einen Schub von 270 Milliarden Euro fürs EU-Bruttoinlandsprodukt bringen wird. Außerdem würde der Data Act neue Geschäftsmodelle ermöglichen, die bis zu zehn Prozent zusätzliches Produktivitätswachstum generieren, so die optimistische Vorhersage.

Umfasst vom Data Act sind sowohl Unternehmen als auch Privatleute. Der Data Act definiert sogenannte „In-scope-Daten“. Das sind nicht personenbezogene Rohdaten sowie Metadaten, die bei der Nutzung von Geräten entstehen. Für sie gilt das Gesetz ab sofort. Nicht betroffen sind dagegen „Out-of scope-Daten“, etwa strukturiere Analysen oder algorithmische Sortierungen.

Der Data Act ist als Komplementärverordnung zur Datenschutz-Grundverordnung (DSGVO) konzipiert, die weiterhin vollständig gilt. Während sich das Datengesetz nur um nicht personenbezogene Daten kümmert, regelt die DSGVO den Umgang mit personenbezogenen Daten. Daraus folgt: Der Data Act gibt den Handel frei; die Speicherung, Verarbeitung und Weitergabe DSGVO-relevanter Daten erfordert aber weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO.

Herausgabe oder nicht?

Hier spätestens beginnen für Unternehmen als Dateninhaber die Probleme: Sie müssen alle eingesammelten Daten daraufhin überprüfen, ob darunter personenbezogene Daten sind. Ist das der Fall, können sie die Herausgabe an Nutzer oder Dritte verweigern, falls keine Rechtsgrundlage nach DSGVO vorliegt. Geben sie die Daten heraus, obwohl sich Personenbezüge darin finden, können sie in der Folge Schwierigkeiten mit ihrer zuständigen Datenschutzbehörde bekommen.

In der Praxis sollen die Verhältnisse zwischen Dateninhaber, Nutzer und Dritten mit Verträgen geregelt werden. Außerdem gelten neue Transparenzpflichten von Herstellern/Inhabern gegenüber Nutzern. Die Umsetzung des Data Acts gilt als komplex, zumal Experten zufolge viele Dinge bis heute unklar sind, etwa, ob der Data Act nur für neue, oder auch für alte Datenbestände gilt, die vor dem 12. September existierten.

Viel Umsetzung- und Compliance-Aufwand also, der da für die Wirtschaft entstanden ist. Während sich die meisten großen Konzerne schon lange mit dem Data Act beschäftigen, dürften viele Mittelständler und kleine Unternehmen mit den neuen Herausgabepflichten heillos überfordert sein. Mutmaßlich haben einige sich bislang noch nicht einmal damit beschäftigt, weil die Data-Act-Fristen weitgehend unter dem medialen Radar liefen.

Diese Einschätzung bestätigte eine Erhebung des IT-Branchenverbands Bitkom, der im Frühjahr 605 Unternehmen ab 20 Beschäftigten zum Data Act befragt hatte. Nur 1 Prozent der betroffenen Unternehmen hatten demnach 100 Tage vor Geltungsbeginn die Data-Act-Vorgaben vollständig umgesetzt, weitere 4 Prozent teilweise. 10 Prozent hatten gerade erst mit der Umsetzung begonnen, 30 Prozent noch nicht damit angefangen. „Der Data Act betrifft so gut wie jedes Unternehmen, aber die meisten haben sich damit noch gar nicht ernsthaft befasst“, erklärte Bitkom-Präsident Dr. Ralf Wintergerst vor drei Monaten. Daran dürfte sich bis heute wenig geändert haben.

Von der EU können sie zurzeit kaum Unterstützung erwarten. In Art. 41 des Data Acts ist festgelegt, dass sie alle Betroffenen mit rechtverbindlichen Musterverträgen unter die Arme greift, um den Aufwand klein zu halten. Zwar hat eine von der EU-Kommission eingesetzte Expertengruppe solche Musterklauseln in einem Bericht veröffentlicht, allerdings nur als unverbidliche Entwürfe. Der EU-Datenschutzausschuss etwa hat mittlerweile in einer Stellungnahme Nachbesserungsbedarf festgestellt. Wann die dafür verantwortliche EU-Kommission diese Entwürfe in rechtssichere Vorlagen überführen wird, ist bislang unklar.

Land ohne Aufsicht

Ähnlich wie die DSGVO legt der Data Act die Aufsicht und Durchsetzung in die Hände der Mitgliedstaaten. Diese waren angehalten, bis zum heutigen Start eine funktionierende Aufsichtsstelle benannt und installiert zu haben. Während das meist geklappt hat, hinkt Deutschland wie so oft hinterher. Am 7. Februar 2025 hatten die federführenden Ministerien der Ampelkoalition ihren Referentenentwurf für ein Gesetz zur Durchführung des Data Acts vorgelegt. Schon damals war er überfällig, doch dann kam die vorgezogene Bundestagswahl, und seitdem hat die schwarz-rote Koalition keinen neuen Entwurf präsentiert.

Im Entwurf hatte die Regierung die Bundesnetzagentur (BNetzA) als Aufsichtsbehörde benannt. Alle datenschutzrechtlichen Themen sollte die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) übernehmen. Damals sind die Landesdatenschutzbehörden gegen diesen Vorschlag auf die Barrikaden gegangen und pochten auf ihre Zuständigkeit in DSGVO-Belangen. Das Vorhaben verstoße gegen das EU-Recht und die verfassungsrechtliche Verteilung der Verwaltungskompetenzen, monierten sie.

Dem Vernehmen nach steht ein neuer Entwurf an, der allerdings ebenfalls die BNetzA und die BfDI für Data-Act-zuständig erklären soll. Weiterer Streit ist also vorprogrammiert. Und all dies geschieht vor dem Hintergrund eines Durchsetzungsvakuums in Deutschland. Weder können sich Nutzer wie vorgesehen ab heute beschweren, noch drohen Unternehmen bislang die im Datengesetz vorgesehenen Strafen von bis zu vier Prozent Unternehmensumsatz oder 20 Millionen Euro bei Verstößen.

Landesdatenschützer gefordert

Der Hamburgische Landesdatenschutzbeauftragte Thomas Fuchs betonte in einer Stellungnahme vor einigen Tagen, dass er sich einstweilen für Data-Act-Belange bei personenbezogenen Daten als zuständig betrachtet: „Jeder Beschwerde wird federführend in dem Referat nachgegangen, das auch die datenschutzrechtliche Aufsicht über die jeweilige verantwortliche Stelle hat. Damit wird der Zielrichtung des Art. 37 Abs. 3 Data Act gefolgt, Datenverwendungen nach der DSGVO und nach dem Data Act einheitlich zu beurteilen.“ Das Recht könne er „gegebenenfalls mit Anordnungen durchsetzen.“ Verstöße könnten teilweise mit Geldbußen geahndet werden, betonte er.

Ähnlich äußerte sich Carolin Loy, die als Bereichsleiterin Digitalwirtschaft beim Bayerischen Landesamt für Datenschutzaufsicht für den Data Act zuständig ist. Ihre Behörde habe sich aufgestellt, sei mit den Unternehmen im Bundesland im Austausch und nehme Beschwerden entgegen, erläuterte sie in der aktuellen Episode 142 des c’t-Datenschutz-Podcasts Auslegungssache. In der Episode erklärt Loy den Data Act ausführlich und gibt sowohl Unternehmen als auch Nutzern Hinweise, wie nun damit umzugehen ist.

(hob)