Ein umfassender Überblick über das Datengesetz, einschließlich seiner Ziele und seiner Funktionsweise in der Praxis.
Warum das Datengesetz?
Das Datengesetz ist ein Gesetz zur Stärkung der Datenwirtschaft der EU und zur Förderung eines wettbewerbsfähigen Datenmarkts, indem Daten (insbesondere Industriedaten) leichter zugänglich und nutzbar gemacht werden, datengesteuerte Innovationen gefördert werden und die Datenverfügbarkeit erhöht wird. Um dies zu erreichen, sorgt das Datengesetz für eine faire Verteilung des Datenwerts unter den Akteuren der Datenwirtschaft. Sie verdeutlicht, wer welche Daten unter welchen Bedingungen verwenden darf. Nähere Informationen finden Sie in den häufig gestellten Fragen zum Datengesetz.“
In den letzten Jahren hat die Verfügbarkeit von mit dem Internet verbundenen Produkten („verbundene Produkte“) auf dem europäischen Markt rapide zugenommen. Diese Produkte, die zusammen ein Netzwerk bilden, das als Internet der Dinge (IoT) bekannt ist, erhöhen das Datenvolumen, das in der EU zur Wiederverwendung zur Verfügung steht, erheblich. Dies birgt ein enormes Potenzial für Innovation und Wettbewerbsfähigkeit in der EU.
Das Datengesetz gibt Nutzern vernetzter Produkte (Unternehmen oder Einzelpersonen, die ein solches Produkt besitzen, leasen oder mieten) eine größere Kontrolle über die von ihnen generierten Daten, während Anreize für diejenigen, die in Datentechnologien investieren, erhalten bleiben. Darüber hinaus werden allgemeine Bedingungen für Situationen festgelegt, in denen ein Unternehmen gesetzlich verpflichtet ist, Daten an ein anderes Unternehmen weiterzugeben.
Das Datengesetz enthält auch Maßnahmen zur Erhöhung der Fairness und des Wettbewerbs auf dem europäischen Cloud-Markt sowie zum Schutz von Unternehmen vor missbräuchlichen Vertragsklauseln im Zusammenhang mit dem Datenaustausch, die von stärkeren Akteuren auferlegt werden. Außerdem wird ein Mechanismus eingeführt, über den öffentliche Stellen Daten von einem Unternehmen anfordern können, wenn ein außergewöhnlicher Bedarf besteht, beispielsweise in öffentlichen Notsituationen, und es werden klare Regeln dafür festgelegt, wie solche Anträge gestellt werden sollten. Darüber hinaus werden Sicherheitsvorkehrungen eingeführt, um zu verhindern, dass staatliche Stellen aus Drittländern auf nicht personenbezogene Daten zugreifen können, wenn dies gegen EU-Recht oder nationales Recht verstoßen würde. Schließlich werden im Datengesetz grundlegende Anforderungen an die Interoperabilität festgelegt, um sicherzustellen, dass Daten nahtlos zwischen Sektoren und Mitgliedstaaten, die durch gemeinsame europäische Datenräume erleichtert werden, sowie zwischen Anbietern von Datenverarbeitungsdiensten fließen können.
Das Datengesetz wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht und wird am 12. September 2025 in Kraft treten.
Das Datengesetz ergänzt das Daten-Governance-Gesetz, das erste Ergebnis im Rahmen der europäischen Datenstrategie. Das Daten-Governance-Gesetz trat im September 2023 in Kraft. Während das Daten-Governance-Gesetz das Vertrauen in freiwillige Datenaustauschmechanismen stärkt, schafft das Datengesetz Rechtsklarheit in Bezug auf den Zugang zu und die Nutzung von Daten.
Zusammen mit anderen politischen Maßnahmen und Finanzierungsmöglichkeiten werden diese beiden Verordnungen zur Schaffung eines EU-Datenbinnenmarkts beitragen und Europa zu einem Vorreiter in der Datenwirtschaft machen, indem das Potenzial der ständig wachsenden Datenmengen, insbesondere der Industriedaten, zum Nutzen der europäischen Wirtschaft und Gesellschaft genutzt wird.
Behandelte Themen
Nach den allgemeinen Bestimmungen (Kapitel I), die den Anwendungsbereich der Verordnung festlegen und Schlüsselbegriffe definieren, ist das Datengesetz in sechs Hauptkapitel gegliedert:
Kapitel II über die gemeinsame Nutzung von Daten zwischen Unternehmen und Verbrauchern im Zusammenhang mit dem Internet der Dinge: Nutzer von IoT-Objekten können auf Daten zugreifen, diese verwenden und portieren, die sie durch die Nutzung eines vernetzten Produkts gemeinsam generieren.
Kapitel III über die gemeinsame Nutzung von Daten zwischen Unternehmen: dies klärt die Bedingungen für die gemeinsame Nutzung von Daten überall dort, wo ein Unternehmen gesetzlich, auch durch das Datengesetz, verpflichtet ist, Daten mit einem anderen Unternehmen zu teilen.
Kapitel IV über missbräuchliche Vertragsklauseln: Diese Bestimmungen schützen alle Unternehmen, insbesondere KMU, vor ihnen auferlegten missbräuchlichen Vertragsklauseln.
Kapitel V über den Datenaustausch zwischen Unternehmen und Behörden: Öffentliche Stellen werden in der Lage sein, in bestimmten Situationen mit außergewöhnlichem Bedarf mehr faktengestützte Entscheidungen zu treffen, indem sie Maßnahmen ergreifen, um auf bestimmte Daten des privaten Sektors zuzugreifen.
Kapitel VI über den Wechsel zwischen Datenverarbeitungsdiensten: Anbieter von Cloud- und Edge-Computing-Diensten müssen Mindestanforderungen erfüllen, um die Interoperabilität zu erleichtern und einen Anbieterwechsel zu ermöglichen.
Kapitel VII über den unrechtmäßigen Zugang der Regierung von Drittländern zu Daten: Nicht personenbezogene Daten, die in der EU gespeichert sind, sind vor unrechtmäßigen Zugriffsanfragen ausländischer Regierungen geschützt.
Kapitel VIII über die Interoperabilität: Teilnehmer an Datenräumen müssen Kriterien erfüllen, die einen Datenfluss innerhalb und zwischen Datenräumen ermöglichen. Ein EU-Repository wird einschlägige Standards und Spezifikationen für die Cloud-Interoperabilität festlegen.
Kapitel IX über die Durchsetzung: Die Mitgliedstaaten müssen eine oder mehrere zuständige Behörden benennen, die das Datengesetz überwachen und durchsetzen. Wird mehr als eine Behörde benannt, muss ein „Datenkoordinator“ benannt werden, der als zentrale Anlaufstelle auf nationaler Ebene fungiert.
Kapitel II: Business-to-Business- und Business-to-Consumer-Datenaustausch im Kontext des IoT-Marktes
Warum?
Ein Hauptziel des Datengesetzes besteht darin, Fairness in der Datenwirtschaft zu schaffen und die Nutzer in die Lage zu versetzen, Nutzen aus den Daten zu ziehen, die sie mit den vernetzten Produkten generieren, die sie besitzen, mieten oder leasen.
Das Datengesetz ermöglicht es Nutzern vernetzter Produkte (z. B. vernetzte Autos, Medizin- und Fitnessgeräte, Industrie- oder Landmaschinen) und damit verbundener Dienstleistungen (d. h. alles, was dazu führen würde, dass sich ein vernetztes Produkt in einer bestimmten Weise verhält, wie z. B. eine App zur Anpassung der Helligkeit von Lichtern oder zur Regulierung der Temperatur eines Kühlschranks), auf die Daten zuzugreifen, die sie durch die Nutzung der verbundenen Produkte / damit verbundenen Dienstleistungen gemeinsam erstellen.
Die Verfügbarkeit solcher Daten wird sich erheblich auf die Wirtschaft auswirken. Beispielsweise können Daten, die durch vernetzte Produkte und damit verbundene Dienstleistungen generiert werden, dazu verwendet werden, den Aftermarket und Nebendienstleistungen zu fördern sowie völlig neue Dienstleistungen zu schaffen, von denen sowohl Unternehmen als auch Verbraucher profitieren.
Beispiele für vernetzte Produkte: Konsumgüter (z. B. vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte), andere Produkte (z. B. Flugzeuge, Roboter, Industriemaschinen).
Beispiel für eine verwandte Dienstleistung: Ein Benutzer kauft eine Waschmaschine und installiert eine Anwendung, mit der er die Umweltauswirkungen des Waschzyklus anhand der Daten der verschiedenen Sensoren in der Maschine messen und den Zyklus entsprechend anpassen kann. Diese Anwendung würde als verbundener Dienst betrachtet.
Beispiele für Aftermarket- und Nebendienstleistungen: Reparatur- und Wartungsdienstleistungen, datenbasierte Versicherungen.
Arten von Daten, die in den Anwendungsbereich fallen
Kapitel II des Datengesetzes über die gemeinsame Nutzung von Daten zwischen Unternehmen und Verbrauchern gilt für alle Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen und für den Dateninhaber (z. B. Hersteller eines vernetzten Produkts/Anbieters eines verbundenen Dienstes) leicht verfügbar sind, d. h. Daten, auf die ohne unverhältnismäßigen Aufwand leicht zugegriffen werden kann und die über einen einfachen Vorgang hinausgehen. Dies gilt sowohl für personenbezogene als auch für nicht personenbezogene Daten, einschließlich relevanter Metadaten.
Solche Daten umfassen Daten, die von einem einzelnen Sensor oder einer angeschlossenen Gruppe von Sensoren gesammelt werden, wie Temperatur, Druck, Durchflussrate, Audio, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit.
Abgeleitete oder abgeleitete Daten und Inhalte (z. B. hoch angereicherte Daten, audiovisuelles Material) fallen nicht in den Anwendungsbereich. Darüber hinaus lässt das Datengesetz die Gesetze zum Schutz der Rechte des geistigen Eigentums unberührt.
Wenn ein Benutzer beispielsweise einen Film auf seinem angeschlossenen Fernseher ansieht, ist der Film selbst nicht in Reichweite, aber Daten über die Helligkeit des Bildschirms sind in Reichweite.
In der Praxis
Kapitel II des Datengesetzes ermöglicht Benutzern (d. h. jeder juristischen oder natürlichen Person, die ein verbundenes Produkt besitzt, mietet oder vermietet) den Zugriff auf die Daten, die sie durch ihre Nutzung des verbundenen Produkts oder verbundenen Dienstes generieren. Wenn der Nutzer diese Daten an eine andere Einrichtung oder natürliche Person (im Folgenden „Dritter“)weitergeben möchte, kann er dies entweder direkt tun oder den Dateninhaber auffordern, sie an einen Dritten seiner Wahl weiterzugeben (mit Ausnahme von Gatekeepern nach dem Gesetz über digitale Märkte). Der Dateninhaber ist in der Regel das Unternehmen, das das verbundene Produkt herstellt oder einen damit verbundenen Dienst bereitstellt. Ein Dateninhaber muss einen Vertrag mit dem Nutzer haben (z. B. Kaufvertrag, Mietvertrag, zugehöriger Dienstleistungsvertrag usw.), in dem die Rechte in Bezug auf den Zugriff, die Nutzung und die gemeinsame Nutzung der Daten festgelegt sind, die durch das verbundene Produkt oder die verbundene Dienstleistung generiert werden. Es ist wichtig zu beachten, dass der Dateninhaber nicht personenbezogene Daten, die durch das Produkt erzeugt werden, nicht ohne Zustimmung des Nutzers verwenden kann.
Als Beispiel und unter Berücksichtigung der Tatsache, dass der betreffende Vertrag die genauen Rollen festlegt:
-
Ein Unternehmen betreibt einen Bulldozer: Der Dateninhaber wäre in der Regel der Planierraupenhersteller, und der Benutzer wäre das Unternehmen, das den Planierraupen betreibt.
-
Wenn jemand einen angeschlossenen Kühlschrank kauft und eine App herunterlädt, die ihm hilft, die optimale Temperatur für den Inhalt des Kühlschranks zu regulieren, gäbe es möglicherweise zwei Dateninhaber, nämlich das Unternehmen, das den Kühlschrank in Verkehr gebracht hat, und das Unternehmen, das den entsprechenden Dienst anbietet (die App), und nur den einen Benutzer (der Eigentümer des Kühlschranks).
Das Datengesetz enthält mehrere Mechanismen, die es den Nutzern erleichtern sollen, von diesen Bestimmungen Gebrauch zu machen: Die Dateninhaber müssen dem Nutzer Informationen über die Art der Daten zur Verfügung stellen, die sie bei der Nutzung des verbundenen Produkts oder verbundenen Dienstes generieren werden (einschließlich des Volumens, der Erhebungshäufigkeit usw.); die Nutzer sollten in der Lage sein, über ein einfaches Verfahren Zugang zu den Daten zu beantragen, und Die Dateninhaber müssen die Daten den Nutzern kostenlos zur Verfügung stellen.
Einschränkungen bei der Nutzung der Daten
Um Unternehmen nicht davon abzuhalten, in datengenerierende Produkte zu investieren, können die gewonnenen Daten nicht zur Entwicklung eines konkurrierenden vernetzten Produkts verwendet werden. Das Datengesetz verbietet den Wettbewerb bei verbundenen Dienstleistungen oder Aftermarket-Dienstleistungen nicht. Darüber hinaus besteht nach dem Datengesetz keine Verpflichtung für einen Dateninhaber, Daten an Dritte mit Sitz außerhalb der EU weiterzugeben.
Das Datengesetz steht in vollem Einklang mit den Datenschutzvorschriften, insbesondere der DSGVO. Ist der Nutzer nicht die betroffene Person, deren Daten angefordert werden, können personenbezogene Daten nur dann zur Verfügung gestellt werden, wenn eine gültige Rechtsgrundlage (z.B. Einwilligung) vorliegt. Dies ist eine wichtige Überlegung, da die gemeinsam generierten Daten oft sowohl personenbezogene als auch nicht personenbezogene Daten enthalten, die möglicherweise schwer zu trennen sind.
Sie schafft Anreize für die Entwicklung vernetzter Produkte und Dienstleistungen auf der Grundlage neuer Datenströme, was für kleinere Unternehmen von besonderem Wert ist. Darüber hinaus unterliegen Kleinst- und Kleinunternehmen als Hersteller oder Anbieter verbundener Dienstleistungen nicht den gleichen Verpflichtungen wie größere Unternehmen.
Um Geschäftsgeheimnisse zu schützen, ohne das Ziel des Datengesetzes, mehr Daten zur Verfügung zu stellen, zu untergraben, können sich der Dateninhaber und der Nutzer/Dritte auf bestimmte Maßnahmen zur Wahrung der Vertraulichkeit der Geschäftsgeheimnisse einigen. Werden diese Maßnahmen nicht eingehalten, kann der Dateninhaber die gemeinsame Datennutzung zurückhalten oder aussetzen. Der Dateninhaber darf die Weitergabe von Daten nur verweigern, wenn er nachweisen kann, dass er durch die Offenlegung von Geschäftsgeheimnissen höchstwahrscheinlich einen schweren wirtschaftlichen Schaden erleiden wird.
Der Dateninhaber und der Nutzer können vereinbaren, den Datenaustausch zu beschränken, wenn das Risiko besteht, dass die Sicherheitsanforderungen des vernetzten Produkts untergraben werden könnten, was zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit, Sicherheit oder Sicherheit von Menschen führen könnte. Diese Anforderungen müssen im EU-Recht oder im nationalen Recht festgelegt werden.
Setzt der Dateninhaber die Weitergabe von Daten aus Gründen des Schutzes oder der Sicherheit von Geschäftsgeheimnissen aus, hält sie zurück oder verweigert er sie, so muss er dies der zuständigen nationalen Behörde mitteilen. Die Nutzer können eine solche Entscheidung entweder vor dem zuständigen Gericht eines Mitgliedstaats, über eine Beschwerde bei der zuständigen Behörde oder nach Zustimmung des Dateninhabers vor einer Streitbeilegungsstelle anfechten.
Kapitel III: Vorschriften für die obligatorische gemeinsame Nutzung von Daten zwischen Unternehmen
Warum?
Mit dem Datengesetz werden Vorschriften für Situationen eingeführt, in denen ein Unternehmen („Dateninhaber“) nach EU-Recht oder nationalem Recht gesetzlich verpflichtet ist, Daten einem anderen Unternehmen („Datenempfänger“) zur Verfügung zu stellen, auch im Zusammenhang mit IoT-Daten. Insbesondere müssen die Bedingungen für den Datenaustausch fair, angemessen und nichtdiskriminierend sein.
Als Anreiz für den Datenaustausch können Dateninhaber, die zur Weitergabe von Daten verpflichtet sind, vom Datenempfänger eine „angemessene Entschädigung“ verlangen.
Arten von Daten, die in den Anwendungsbereich fallen
Kapitel III des Datengesetzes gilt für alle Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden, einschließlich der unter Kapitel II des Datengesetzes fallenden Situationen.
In der Praxis
Die Dateninhaber können eine angemessene Entschädigung für die Bereitstellung der Daten an einen Datenempfänger verlangen. Dies könnte Kosten für die Bereitstellung der Daten sowie technische Kosten im Zusammenhang mit der Verbreitung und Speicherung umfassen. Kleinstunternehmen, KMU und gemeinnützigen Forschungseinrichtungen dürfen jedoch nicht mehr als die Kosten für die Bereitstellung der Daten in Rechnung gestellt werden.
Zum Schutz der Dateninhaber enthält das Datengesetz eine nicht erschöpfende Liste von Maßnahmen zur Behebung von Situationen, in denen ein Dritter oder Nutzer unrechtmäßig auf Daten zugegriffen oder diese verwendet hat. Beispielsweise könnte ein Dateninhaber verlangen, dass eine rechtsverletzende Partei die Herstellung des betreffenden Produkts einstellt oder die Daten, die sie unrechtmäßig erhalten hat, vernichtet, oder er könnte eine Entschädigung verlangen.
Etwaige Verpflichtungen zur Weitergabe von Daten, die dem Datengesetz vorausgehen, bleiben unberührt. Die Verpflichtungen in künftigen (sektoralen) Rechtsvorschriften sollten an die Bestimmungen des Kapitels III des Datengesetzes angeglichen werden.
Kapitel IV: Missbräuchliche Vertragsklauseln
Warum?
Vertragsfreiheit ist von zentraler Bedeutung für Business-to-Business-Beziehungen. Das Datengesetz zielt jedoch darauf ab, alle europäischen Unternehmen, die Daten erwerben wollen, insbesondere KMU, vor missbräuchlichen Vertragsklauseln zu schützen, indem es Maßnahmen ergreift, um in Situationen einzugreifen, in denen sich beispielsweise eines der Unternehmen in einer stärkeren Verhandlungsposition befindet (z. B. aufgrund seiner Marktgröße) und eine nicht verhandelbare Klausel („take-it-or-leave-it“) in Bezug auf den Datenzugang und die Datennutzung aufstellt.
Arten von Daten, die in den Anwendungsbereich fallen
Diese Vorschriften gelten für alle personenbezogenen und nicht personenbezogenen Daten, die sich im Besitz einer privaten Einrichtung befinden und auf der Grundlage eines Vertrags zwischen Unternehmen abgerufen und verwendet werden.
In der Praxis
Einseitig auferlegte Take-it-or-leave-it-Bedingungen können, wenn sie sich auf die Bereitstellung von Daten beziehen, einer Missbräuchlichkeitsprüfung unterzogen werden.
Das Datengesetz enthält eine nicht erschöpfende Liste von Klauseln, die stets als missbräuchlich gelten (z. B. die Haftung der Partei, die die Klausel einseitig wegen Vorsatzes oder grober Fahrlässigkeit verhängt hat, ausschließen oder einschränken würde) und von Klauseln, von denen angenommen wird, dass sie missbräuchlich sind (z. B. die Rechtsbehelfe bei Nichterfüllung vertraglicher Verpflichtungen oder die Haftung bei Verletzung dieser Verpflichtungen unangemessen einschränken oder die Haftung des Unternehmens, dem die Klausel einseitig auferlegt wurde, verlängern würde). Wenn eine Klausel als missbräuchlich angesehen wird, ist sie nicht mehr gültig – wenn möglich, wird sie einfach vom Vertrag getrennt. Wird angenommen, dass die Klausel missbräuchlich ist, kann das Unternehmen, das die Klausel verhängt hat, versuchen, nachzuweisen, dass die Klausel nicht missbräuchlich ist.
Kapitel V: Datenaustausch zwischen Unternehmen und Behörden
Warum?
Daten, die sich im Besitz privater Einrichtungen befinden, können für eine öffentliche Stelle von wesentlicher Bedeutung sein, um eine Aufgabe von öffentlichem Interesse wahrzunehmen. Nach Kapitel V des Datengesetzes können öffentliche Stellen unter bestimmten Bedingungen auf solche Daten zugreifen, wenn ein außergewöhnlicher Bedarf besteht. Letzteres bezieht sich auf eine unvorhersehbare und zeitlich begrenzte Situation, in der die Daten, die sich im Besitz einer privaten Einrichtung befinden, für die Erfüllung der Aufgabe von öffentlichem Interesse, insbesondere zur Verbesserung der faktengestützten Entscheidungsfindung, erforderlich sind. Zu den Situationen mit außergewöhnlichem Bedarf gehören sowohl öffentliche Notfälle (z. B. schwere Naturkatastrophen oder vom Menschen verursachte Katastrophen, Pandemien und Cybersicherheitsvorfälle) als auch Situationen ohne Notfall (z. B. könnten aggregierte und anonymisierte Daten aus GPS-Systemen der Fahrer verwendet werden, um die Verkehrsströme zu optimieren).
Mit dem Datengesetz wird sichergestellt, dass Behörden zeitnah und zuverlässig auf diese Daten zugreifen können, ohne den Unternehmen einen unangemessenen Verwaltungsaufwand aufzuerlegen.
Arten von Daten, die in den Anwendungsbereich fallen
In Kapitel V werden alle Daten erfasst, wobei der Schwerpunkt auf nicht personenbezogenen Daten liegt.
In Kapitel V des Datengesetzes über den Datenaustausch zwischen Unternehmen und Behörden wird zwischen zwei Szenarien unterschieden:
-
Um auf einen öffentlichen Notfall reagieren zu können, sollte eine öffentliche Stelle nicht personenbezogene Daten anfordern. Wenn dies jedoch nicht ausreicht, um auf die Situation zu reagieren, können personenbezogene Daten angefordert werden. Soweit möglich, sollten diese Daten vom Dateninhaber anonymisiert werden.
-
In nicht dringenden Fällen dürfen öffentliche Stellen nur nicht personenbezogene Daten anfordern.
Wichtigste Interessenträger
Zu den Stellen, die berechtigt sind, Daten anzufordern, gehören öffentliche Stellen der Mitgliedstaaten sowie bestimmte Organe, Einrichtungen und sonstige Stellen der EU. Diese Einrichtungen können die Daten unter bestimmten Bedingungen auch an Forschungs- und Förderorganisationen weitergeben.
Im Zusammenhang mit Anfragen von Unternehmen an Behörden sind Dateninhaber in der Regel private Einrichtungen, können aber auch öffentliche Unternehmen umfassen.
In der Praxis
Eine öffentliche Stelle kann einen Dateninhaber unter bestimmten Bedingungen verpflichten, bestimmte Daten unverzüglich zur Verfügung zu stellen, um auf einen öffentlichen Notfall zu reagieren. Das Datengesetz definiert einen öffentlichen Notfall; ihre Existenz wird jedoch nach nationalen oder EU-Verfahren oder -Gesetzen bestimmt.
Bei außergewöhnlichen Bedürfnissen, die nicht mit einem öffentlichen Notfall zusammenhängen, kann eine öffentliche Stelle nicht personenbezogene Daten anfordern, um eine bestimmte Aufgabe zu erfüllen, die im öffentlichen Interesse liegt und gesetzlich vorgesehen ist, wenn die öffentliche Stelle nachweisen kann, dass sie nicht in der Lage war, auf andere Weise auf die Daten zuzugreifen.
In beiden Fällen (Notfall und Nicht-Notfall) müssen die Anträge eine Reihe strenger Grundsätze und Bedingungen einhalten. Beispielsweise müssen Anfragen spezifisch, transparent und verhältnismäßig sein, Geschäftsgeheimnisse müssen geschützt werden und die Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.
In der nachstehenden Tabelle ist zusammengefasst, welche Unternehmen in diesem Zusammenhang um die Bereitstellung von Daten an eine öffentliche Stelle ersuchen können.
Ausgleich für die Bereitstellung von Daten nach Kapitel V des Datengesetzes
| Unternehmen, die keine Kleinst- und Kleinunternehmen sind, können Folgendes verlangen: | Kleinst- und Kleinunternehmen können verlangen: | |
| Öffentlicher Notstand | Unternehmen können verlangen, dass ihr Datenbeitrag von der empfangenden öffentlichen Stelle anerkannt und öffentlich anerkannt wird. | Angemessene Vergütung, die die technischen und organisatorischen Kosten nicht übersteigt + öffentliche Anerkennung auf Anfrage |
| Nicht-Notfallsituation | Angemessene Vergütung, die die technischen und organisatorischen Kosten nicht übersteigt (mit Ausnahme der Erstellung amtlicher Statistiken) | N/A (von der Pflicht zur Datenübermittlung ausgenommen) |
Um den Aufwand für die Unternehmen so gering wie möglich zu halten, können dieselben Daten nicht mehr als einmal von mehr als einer öffentlichen Stelle angefordert werden („Grundsatz der einmaligen Erfassung“). Aus diesem Grund müssen alle Anfragen vom Datenkoordinator öffentlich zugänglich gemacht werden (sofern keine Sicherheitsbedenken bestehen).
Kapitel VI: Wechsel zwischen Datenverarbeitungsdiensten
Warum?
Um einen wettbewerbsorientierten Markt in der EU zu gewährleisten, sollten Kunden von Datenverarbeitungsdiensten (einschließlich Cloud- und Edge-Diensten) in der Lage sein, nahtlos von einem Anbieter zum anderen zu wechseln. Allerdings sehen sich die Kunden derzeit einer Reihe von Hindernissen gegenüber, darunter hohe Gebühren, die beispielsweise mit dem Datenausgang, langwierigen Verfahren und mangelnder Interoperabilität zwischen Anbietern verbunden sind und zu einem Verlust von Daten und Anwendungen führen können.
Das Datengesetz wird das Wechseln frei, schnell und flüssig machen. Davon profitieren Kunden, die frei wählen können, welche Dienstleistungen ihren Bedürfnissen am besten entsprechen, sowie Anbieter, die von einem größeren Kundenpool profitieren.
Geltungsbereich
Kapitel VI des Datengesetzes gilt für Anbieter von Datenverarbeitungsdiensten (d. h. digitale Dienste, die einen allgegenwärtigen Netzzugang auf Abruf ermöglichen, wie Netzwerke, Server oder andere virtuelle oder physische Infrastrukturen und Software). Daten, die für einen Wechsel von entscheidender Bedeutung sind, umfassen Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden, mit Ausnahme von Daten, die durch Rechte des geistigen Eigentums geschützt sind oder ein Geschäftsgeheimnis des Diensteanbieters darstellen.
In der Praxis
Um das Machtungleichgewicht zwischen Anbietern und Kunden auf dem Cloud-Markt zu überwinden, werden im Datengesetz Mindestanforderungen an den Inhalt von Cloud-Verträgen festgelegt. Insbesondere Kunden aus dem privaten und öffentlichen Sektor werden von einer deutlich höheren Vertragstransparenz profitieren.
Das Datengesetz enthält Maßnahmen, mit denen sichergestellt wird, dass Kunden schnell und reibungslos von einem Anbieter von Datenverarbeitungsdiensten („Quellanbieter“) zu einem anderen Anbieter („Zielanbieter“) wechseln können, ohne Daten oder die Funktionalität von Anwendungen zu verlieren. Beispielsweise müssen Anbieter von Plattform und Software as a Service offene Schnittstellen zur Verfügung stellen und zumindest Daten in einem gängigen und maschinenlesbaren Format exportieren. Anbieter von Infrastruktur als Dienstleistung müssen Maßnahmen ergreifen, um zu erleichtern, dass ein Kunde, der zu einem Dienst desselben Typs wechselt, als Reaktion auf denselben Input für Funktionen, die beide Dienste gemeinsam haben, wesentlich vergleichbare Ergebnisse erhält („funktionale Äquivalenz“). Als Beispiel für eine solche Maßnahme muss der Quellanbieter möglicherweise Tools verwenden, um Rechenworkloads von einer Virtualisierungstechnologie auf eine andere zu verschieben.
Alle Anbieter sind verpflichtet, Hindernisse zu beseitigen, mit denen ihre Kunden konfrontiert sind, wenn sie zu einem anderen Anbieter wechseln oder mehrere Dienste gleichzeitig nutzen möchten.
Mit dem Datengesetz werden ab dem 12. Januar 2027 auch Wechselgebühren, einschließlich Gebühren für den Datenausgang (d. h. Gebühren für den Datentransit), vollständig abgeschafft. Dies bedeutet, dass Anbieter ihren Kunden keine Gebühren für die Vorgänge in Rechnung stellen können, die zur Erleichterung des Wechsels oder des Datenausgangs erforderlich sind. Als Übergangsmaßnahme können Anbieter ihren Kunden jedoch in den ersten drei Jahren nach Inkrafttreten des Datengesetzes (vom 11. Januar 2024 bis zum 12. Januar 2027) weiterhin die Kosten in Rechnung stellen, die im Zusammenhang mit dem Wechsel und dem Datenausgang anfallen.
Kapitel VII: Unrechtmäßiger Zugang der Regierung von Drittländern
Warum?
Manchmal zielt eine Entscheidung oder ein Urteil eines Landes außerhalb der EU (im Folgenden „Drittland“) darauf ab, der Regierung den Zugang zu und die Übermittlung nicht personenbezogener Daten zu ermöglichen, die innerhalb der EU verarbeitet und gespeichert werden. In bestimmten Fällen kann jedoch die Gewährung des Zugangs zu oder die Übermittlung solcher Daten tatsächlich rechtswidrig sein, insbesondere wenn das Ersuchen im Widerspruch zu EU-Rechtsvorschriften und Garantien zum Schutz der Grundrechte natürlicher Personen, der nationalen Sicherheitsinteressen oder wirtschaftlich sensibler Daten steht.
Das Datengesetz folgt dem Daten-Governance-Gesetz in Bezug auf die Bestimmungen, die darauf abzielen, den unrechtmäßigen Zugriff und die unrechtmäßige Übermittlung nicht personenbezogener Daten aus Drittstaaten, die sich in der EU befinden, zu verhindern. Solche Bestimmungen haben keine Auswirkungen auf den regelmäßigen Datenaustausch zwischen Unternehmen. Sie erhöhen die Transparenz und Rechtssicherheit in Bezug auf das Verfahren und die Bedingungen, unter denen nicht personenbezogene Daten von staatlichen Stellen außerhalb der EU abgerufen oder an diese übermittelt werden können.
Arten von Daten, die in den Anwendungsbereich fallen
Alle nicht personenbezogenen Daten, die in der EU von einem Anbieter eines Datenverarbeitungsdienstes gespeichert werden.
In der Praxis
Das Datengesetz verbietet nicht den grenzüberschreitenden Datenverkehr, sondern stellt sicher, dass der Schutz, der Daten in der EU gewährt wird, mit allen außerhalb der EU übermittelten Daten reist.
In diesem Zusammenhang enthält das Datengesetz Vorschriften und Garantien für Anträge einer ausländischen öffentlichen Stelle auf Zugang zu nicht personenbezogenen Daten, die sich in der Union befinden. Die rechtmäßige internationale Zusammenarbeit im Bereich der Strafverfolgung wird von diesen Bestimmungen nicht berührt.
Wenn es kein internationales Abkommen gibt, das den Zugang einer Regierung eines Drittlandes zu nicht personenbezogenen Daten innerhalb der EU regelt, können die Daten nur unter bestimmten Bedingungen übertragen oder abgerufen werden. Diese Bedingungen beziehen sich auf bestimmte Garantien zur Wahrung europäischer Rechte, die von der Rechtsordnung des Drittlands erfüllt werden müssen, einschließlich der Verpflichtung, die Gründe darzulegen und die Verhältnismäßigkeit in der Entscheidung zu bewerten. Der Anbieter von Datenverarbeitungsdiensten, auf den sich eine solche Entscheidung bezieht, kann sich an die zuständige nationale Stelle wenden, um zu beurteilen, ob die im Datengesetz festgelegten Bedingungen erfüllt sind. Um zu beurteilen, ob diese Bedingungen erfüllt sind, wird die Europäische Kommission zusammen mit dem Europäischen Dateninnovationsrat (einer Expertengruppe, die gemäß dem Daten-Governance-Gesetz eingesetzt wurde, um den Austausch bewährter Verfahren zu erleichtern und sektorübergreifenden Interoperabilitätsstandards Vorrang einzuräumen) Leitlinien ausarbeiten.
Anbieter von Datenverarbeitungsdiensten sollten alle zumutbaren Maßnahmen (z. B. Verschlüsselung, Audits, Einhaltung von Zertifizierungssystemen) ergreifen, um den Zugriff auf die Systeme, in denen sie nicht personenbezogene Daten speichern, zu verhindern. Diese Maßnahmen sollten auf ihren Websites veröffentlicht werden. Darüber hinaus sollten sie, wo immer möglich, ihre Kunden informieren, bevor sie Zugang zu ihren Daten gewähren.
Kapitel VIII: Interoperabilität
Warum?
Normen und Interoperabilität sind von entscheidender Bedeutung, um sicherzustellen, dass Daten aus verschiedenen Quellen innerhalb und zwischen gemeinsamen europäischen Datenräumen genutzt werden können, um die Forschung zu fördern und neue Produkte oder Dienstleistungen zu entwickeln. Zu diesem Zweck werden im Datengesetz einige grundlegende Anforderungen festgelegt, die die Teilnehmer an Datenräumen erfüllen müssen und die von der Europäischen Kommission im Wege delegierter Rechtsakte weiter präzisiert werden können.
Außerdem soll die Interoperabilität zwischen Datenverarbeitungsdiensten sichergestellt werden. Dies ist unerlässlich, wenn Kunden von einem einfacheren Wechsel profitieren sollen.
Wichtigste Interessenträger
Dieses Kapitel richtet sich an Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder datenbasierte Dienste anbieten und die den Datenaustausch innerhalb der Datenräume erleichtern oder betreiben.
Es richtet sich auch an Anbieter von Smart Contracts sowie an Anbieter von Datenverarbeitungsdiensten.
In der Praxis
Die Datenraumteilnehmer sollten mehrere grundlegende Anforderungen erfüllen, um den Datenfluss innerhalb und zwischen Datenräumen zu ermöglichen. Beispielsweise sollte eine Beschreibung der Datenstrukturen, Datenformate und Vokabeln, soweit verfügbar, öffentlich zugänglich sein. Darüber hinaus sollten Mittel zur Gewährleistung der Interoperabilität von Vereinbarungen über den Datenaustausch, wie intelligente Verträge, sichergestellt werden.
Das Datengesetz bildet auch die Grundlage für die Verbesserung der Interoperabilität von Datenverarbeitungsdiensten durch harmonisierte Normen und offene Interoperabilitätsspezifikationen.
Darüber hinaus werden Anforderungen an Anbieter intelligenter Verträge für die automatisierte Ausführung von Vereinbarungen über die gemeinsame Datennutzung festgelegt, um beispielsweise sicherzustellen, dass sie die Bestimmungen der Vereinbarung über die gemeinsame Datennutzung ordnungsgemäß ausführen und Manipulationen durch Dritte standhalten.
Die Kommission wird Hindernisse für die Interoperabilität bewerten und dem Normungsbedarf Vorrang einräumen, auf dessen Grundlage sie die europäischen Normungsorganisationen auffordern kann, harmonisierte Normen zu erarbeiten, die den oben genannten Anforderungen entsprechen.
Führt der Antrag nicht zu einer harmonisierten Norm oder reicht die Norm nicht aus, um die Konformität mit dem Datengesetz sicherzustellen, kann die Kommission gemeinsame Spezifikationen als Ausweichlösung annehmen. Diese sollten unter Berücksichtigung der Rückmeldungen des Europäischen Dateninnovationsrats offen und inklusiv entwickelt werden.
Kapitel IX: Durchsetzungs- und übergreifende Bestimmungen
Die Mitgliedstaaten benennen eine oder mehrere (neue oder bestehende) zuständige Behörden, um die effiziente Umsetzung des Datengesetzes zu gewährleisten. Überall dort, wo es mehrere zuständige Behörden gibt, müssen die Mitgliedstaaten eine von ihnen als „Datenkoordinator“ benennen. Der Datenkoordinator fungiert als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit der Umsetzung des Datengesetzes auf nationaler Ebene und erleichtert die Anwendung sowohl für Unternehmen als auch für Behörden. Wenn ein Unternehmen beispielsweise einen Rechtsbehelf für die Verletzung seiner Rechte nach dem Datengesetz einlegt, sollte der Datenkoordinator (auf Anfrage) alle erforderlichen Informationen bereitstellen, damit es seine Beschwerde bei der zuständigen Behörde einreichen kann. Der Datenkoordinator erleichtert auch die Zusammenarbeit in grenzüberschreitenden Situationen, beispielsweise wenn eine zuständige Behörde eines bestimmten Mitgliedstaats nicht weiß, an welche Behörde sie sich im Mitgliedstaat des Datenkoordinators wenden sollte.
Die Kommission wird ein öffentliches Register der zuständigen Behörden und Datenkoordinatoren führen.
Der Europäische Dateninnovationsrat wird Gespräche zwischen den zuständigen Behörden erleichtern, um beispielsweise Empfehlungen zur Festlegung von Sanktionen für Verstöße gegen das Datengesetz zu koordinieren und anzunehmen. Die Sanktionen werden von den zuständigen Behörden festgelegt, und nach dem Datengesetz sollten wirksame, verhältnismäßige und abschreckende Sanktionen verhängt werden.
Die Mitgliedstaaten können auf Wunsch zertifizierte Streitbeilegungsstellen einrichten, um Parteien zu unterstützen, die sich nicht auf faire, angemessene und diskriminierungsfreie Bedingungen für die Bereitstellung von Daten einigen können. Den Vertragsparteien steht es frei, sich an jede Streitbeilegungsstelle zu wenden – entweder in dem Mitgliedstaat, in dem sie niedergelassen sind, oder in einem anderen Mitgliedstaat.
Zertifizierte Streitbeilegungsmechanismen und spezialisierte zuständige Behörden werden es Unternehmen, insbesondere kleinen Unternehmen, erleichtern, ihre Rechte nach dem Datengesetz durchzusetzen, da sie den Beteiligten eine einfache, schnelle und kostengünstige Lösung bieten.
Was kommt als nächstes?
Die europäische Datenstrategie gibt den Weg vor, auf dem die EU in der Datenwirtschaft führend werden kann. Dies wird durch die Schaffung eines europäischen Binnenmarkts für Daten erreicht, in dem Daten sicher und vertrauenswürdig zum Nutzen von Wirtschaft und Gesellschaft zwischen Sektoren und Mitgliedstaaten ausgetauscht werden können. Durch die Gewährleistung einer fairen Verteilung des Wertes der Daten unter den Interessenträgern ist das Datengesetz ein Schlüsselelement zur Verwirklichung dieser Vision.
Das Datengesetz tritt am 12. September 2025 in Kraft.
Um Unternehmen bei der Umsetzung dieser neuen Vorschriften zu unterstützen, wird die Kommission eine Reihe von Mustervertragsklauseln empfehlen, um Unternehmen beim Abschluss fairer, angemessener und diskriminierungsfreier Verträge über den Datenaustausch zu unterstützen (Kapitel II und III des Datengesetzes). Diese Bedingungen enthalten auch Leitlinien für eine angemessene Entschädigung und den Schutz von Geschäftsgeheimnissen. Die Kommission wird auch eine Reihe unverbindlicher Standardvertragsklauseln für Cloud-Computing-Verträge zwischen Cloud-Dienstnutzern und Anbietern empfehlen. Zur Unterstützung der Kommission bei der Ausarbeitung solcher Bestimmungen und Klauseln wurde eine Sachverständigengruppe eingesetzt, die bis Herbst 2025 empfohlen werden soll.
Innerhalb von drei Jahren nach Inkrafttreten des Datengesetzes wird die Kommission eine Bewertung der Auswirkungen des Datengesetzes vornehmen. Auf dieser Grundlage kann die Kommission erforderlichenfalls eine Änderung des Gesetzes vorschlagen.
Rechtliche Hinweise
Dieses Dokument sollte nicht als repräsentativ für den offiziellen Standpunkt der Europäischen Kommission angesehen werden.