Seit dem 11.01.2024 gilt der Data Act innerhalb der Europäischen Union. Wir haben bereits hier und hier über den Data Act und seine Stärken und Schwächen berichtet. Die Verordnung gilt ab dem 12.09.2025. Das Vorgehen ist ähnlich wie bei der DSGVO, die am 04.05.2016 in Kraft trat und ab dem 25.05.2018 Gültigkeit erlangte und damit verpflichtend wurde, u. a. für die Unternehmen und öffentlichen Stellen. Um sich nicht von den neuen Verpflichtungen im Jahre 2025 überraschen zu lassen, ist es sinnvoll, sich nun mit dem Data Act auseinanderzusetzen.
Betroffen vom Data Act sind vor allem Unternehmen, die vernetzte Produkte und Dienste herstellen oder anbieten. Dies umfasst eine breite Palette von Unternehmen, die Produkte und Dienstleistungen im Bereich des Internet of Things (IoT) anbieten, wie etwa vernetzte Fahrzeuge, Smart-Home-Geräte und ähnliche Technologien. Diese müssen sicherstellen, dass ihre Produkte und Dienstleistungen den Nutzern einen Zugang zu den generierten Daten ermöglichen und dass diese Daten in einem nutzerfreundlichen Format bereitgestellt werden.
Ein wichtiger Aspekt des Data Acts ist die Frage, ob und inwieweit er eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten bietet. Der Data Act ergänzt die bestehende Datenschutz-Grundverordnung (DSGVO) und fokussiert sich auf nicht-personenbezogene Daten. Für die Verarbeitung personenbezogener Daten bleibt die DSGVO die primäre Rechtsgrundlage. Der Data Act stellt jedoch klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, er aber keine Rechtsgrundlage für die Datenverarbeitung darstellt. Über die problematischen Folgen, wie die Weitergabe von nicht anonymisierten Daten, hatten wir bereits berichtet.
Die Durchsetzung des Data Acts und die Überwachung seiner Einhaltung werden durch nationale Behörden gewährleistet, die in den jeweiligen Mitgliedstaaten für die Überwachung der Einhaltung von Datenregulierungen zuständig sind. Diese Rolle werden in Deutschland die Landesdatenschutzbeauftragten übernehmen. Der Data Act legt fest, dass diese Behörden die Befugnis haben, die Einhaltung der Vorschriften zu überprüfen und bei Verstößen entsprechend zu handeln. Die Bußgeldvorschriften werden durch die Mitgliedstaaten festgelegt. Dies muss bis September 2025 geschehen.
Es sind nun gut eineinhalb Jahre Zeit, sich mit den neuen Verpflichtungen vertraut zu machen. Die DSGVO hat gezeigt, dass eine frühzeitige Auseinandersetzung mit dem Gesetz hektische Betriebsamkeit bei Gültigkeit in Grenzen halten kann.
Wir halten Sie über den Data Act und die Europäische Datenstrategie auch weiterhin in unserem Blog auf dem Laufenden!
Anonymous
18. Januar 2024 @ 13:06
Woher kommt denn die Feststellung, dass die Durchsetzung des Data Acts und die Überwachung seiner Einhaltung in Deutschland durch die Landesdatenschutzbeauftragten erfolgen wird?
Olaf Rossow
18. Januar 2024 @ 16:46
Danke für die Frage. Dies ergibt sich aus Art. 37 Abs. 3 des Data Acts. Danach sind die für die Überwachung der Anwendung der Verordnung (EU) 2016/679 (die DSGVO) zuständigen Aufsichtsbehörden sind bezüglich des Schutzes personenbezogener Daten auch für die Überwachung der Anwendung des Data Acts zuständig. Das sind die Datenschutzaufsichtsbehörden.
Anonymous
23. Januar 2024 @ 17:49
Danke für die Antwort. Der Artikel 37 Abs. 3 sagt: „The supervisory authorities responsible for monitoring the application of Regulation (EU) 2016/679 shall be responsible for monitoring the application of this Regulation insofar as the protection of personal data is concerned.“ Dieser Zusatz ist entscheidend. Die Landesdatenschutzbehörden sind damit nicht generell für die Überwachung/Enforcement des Data Acts verantwortlich, sondern werden sich nur zuständig fühlen, wenn personenbezogene Daten unrechtmäßig verarbeitet werden.