Der Vergleich zwischen Daten als dem neuen Öl mag abgedroschen sein, doch Daten sind, insbesondere in angereicherter Form, längst zu einer der wichtigsten Ressourcen des 21. Jahrhunderts geworden. Egal, ob es sich um smarte Haushaltsgeräte, vernetzte Autos, digitale Gesundheitsanwendungen oder Daten zum Nutzungsverhalten im Internet handelt: Überall entstehen Daten, die ein immenses wirtschaftliches, gesellschaftliches und technologisches Potenzial beinhalten.

Das Problem: Bislang liegt die Kontrolle über die Daten allzu oft bei Digitalkonzernen sowie einigen Industriekonzernen, in jedem Fall aber bei wenigen großen Akteuren auf Unternehmensseite. Die Europäische Union will das ändern und hat hierfür den EU Data Act als zentrales Element ihrer Datenstrategie geschaffen. Was das neue Gesetz bedeutet, welche Ziele die EU hier verfolgt, was sich für Unternehmen und Verbraucher:innen ändert und wann wir in Deutschland die Umsetzung sehen werden, erfährst du in diesem Beitrag.

Die Europäische Union hat über Jahre daran gearbeitet, ein möglichst faires, transparentes und innovationsfreundliches Datenökosystem zu schaffen und einen dazu passenden gesetzlichen Rahmen zu entwickeln. Offiziell hört das umfangreiche und komplexe Gesetzeswerk auf die nicht minder sperrige Bezeichnung „Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für den fairen Zugang zu und die Nutzung von Daten“, was ein wenig an die DSGVO erinnert. Doch die ist für die personenspezifischen Daten zuständig, während der neue Data Act die wirtschaftliche Nutzung nicht-personenbezogener, maschinell generierter Daten betrifft – also Daten wie Temperaturdaten von Maschinen oder Fahrzeugen, Fahrverhalten von Autos, Nutzungsstatistiken von Haushaltsgeräten. Es geht dabei also eher um jene Datenmengen, die im Rahmen der Nutzung digitaler Services und vernetzter Endgeräte entstehen.

Insbesondere sollte die EU hier zwei unterschiedliche Interessen unter einen Hut bringen: einerseits eben jene Daten schützen und Missbrauch verhindern und auf der anderen Seite aber auch nicht sämtliche Innovation unterbinden, die aus insbesondere aggregierten Daten entstehen kann. Deshalb gibt es im Rahmen des Innovationsschutzes auch das Recht der Unternehmen, eben keine expliziten Betriebsgeheimnisse offenlegen zu müssen. Hierfür soll es Schutzklauseln gegen Missbrauch und unbefugten Wettbewerb geben.

Grundsätzlich sollen die Verbraucher:innen, aber auch Mitbewerber:innen insbesondere mehr Datensouveränität erfahren, wenn es um vernetzte Produkte wie Fitnesstracker oder E-Autos geht. Ziel ist, dass die Kund:innen besser darüber entscheiden können, an wen sie diese weitergeben – also etwa an die Versicherung, die Werkstatt oder eine Gesundheitsberatung. Vor allem aber wird es für die damit arbeitenden Unternehmen verpflichtend sein, besser darüber zu informieren, was genau sie mit den erhobenen Daten machen wollen. Dazu müssen sie den Kund:innen  entsprechenden Zugriff auf die Daten geben, die sie im Rahmen der Nutzung erzeugen.

Auch soll es in Zukunft einfacher sein, die Daten zu einem anderen Anbieter zu überführen, was etwa bei Werkstattdaten für Autos ein Thema sein könnte. Dabei dürfen, ähnlich wie das im Rahmen der PSD2 im Bankensektor das Ziel war, kleinere Anbieter gegenüber den großen Playern nicht benachteiligt werden. Auch sollen die dafür zu entwickelnden Kosten angemessen sein.

Eher ein Ausnahmefall dürfte dagegen das Recht der öffentlichen Hand sein, unter bestimmten Voraussetzungen wie Naturkatastrophen auf bestimmte Daten zuzugreifen, wenn das zur Gefahrenabwehr notwendig ist. Dieses Recht könnte allerdings, befürchteten Datenschützer:innen, missbraucht werden, etwa im Falle einer Pandemie. Die europäischen Gesetzgeber:innen haben daher sichergestellt, dass der Zugriff klar begrenzt ist und gegebenenfalls strengen Transparenz- und Rechtfertigungspflichten unterliegt.

Vom Gesetz betroffen ist im Sinne einer Bringschuld also nicht der:die einzelne Nutzer:in, sondern eher die Unternehmen und Hersteller, wobei aber Kleinunternehmen teilweise von Verpflichtungen zur Datenteilung ausgenommen sein werden. Diese haben eher Rechte im Sinne der Nutzung von jenen Daten, die bei den großen Herstellern und Plattformbetreibern entstehen.

Daten, das macht die EU deutlich, sollen nicht in Silos oder auf Serverfarmen von Herstellern versickern, sondern Mehrwert für die Nutzer:innen, aber auch für die Gesellschaft und die Forschung schaffen. Deshalb hat die EU bereits mit dem Roll-out der Verordnung begonnen, die seit Januar 2024 (mit einer Übergangsfrist von 20 Monaten) in Kraft ist. Diese muss als unmittelbare und automatisch geltende Verordnung übrigens nicht in Landesrecht überführt werden, sondern gilt ab dem 12. September 2025 aus sich heraus.

Doch auch wenn es kein gesondertes Umsetzungsgesetz hierfür braucht, wird es, wie man von Verbraucherschützer:innen hört, einige ergänzende Regelungen im deutschen Recht geben – etwa weil bestimmte Aufsichtsfunktionen in den einzelnen Ländern unterschiedlich geregelt sind. Für die Unternehmen – und das sind nicht nur große Automobilkonzerne, sondern auch Anbieter kleinerer Apps – hat die Vorbereitung bereits begonnen.

In jedem Fall ist der EU Data Act ein Versuch, das Potenzial industrieller Daten besser zu nutzen und dabei Gerechtigkeit, Transparenz und Innovation zu fördern – ähnlich wie die PSD2 im Finanzsektor für viele Fintechs das Agieren auf Augenhöhe mit den großen Zahlungsanbietern und Banken erleichtert hat. Für Verbraucher:innen bedeutet er hoffentlich mehr Rechte und Kontrolle über eigene Daten. Für Unternehmen stellt er dennoch eine Herausforderung dar – aber auch eine Chance, durch fairen Datenzugang neue Geschäftsmodelle zu entwickeln. Die Umsetzung des Data Act wird allerdings erst noch zeigen müssen, ob Europa damit tatsächlich den Spagat zwischen Datenschutz, Wettbewerbsfähigkeit und technologischer Unabhängigkeit schafft. Sicher ist aber schon jetzt, dass der Data Act einen Wendepunkt in der europäischen Datenpolitik darstellt (und dass auch internationale Digitalkonzerne damit klarkommen müssen).