EU Data Act erklärt – DSGVO 2.0, noch mehr Aufwand oder falscher Alarm?

Der EU Data Act kommt 2025 und wird alle Unternehmen betreffen, welche Daten von Nutzern in IoT-Kontexten verarbeiten.

By Philipp Schneidenbach

Der EU Data Act folgt auf die 2018 scharfgeschaltete EU-DSGVO, unter der ein neues Zeitalter des Datenschutzrechts anbrach. Doch was bisher lediglich für personenbezogene Daten galt, wird nun auf alle Arten von Nutzungsdaten in IoT bzw. Digitalprodukten angewendet – denn verarbeitet werden darf nur noch, was vertraglich vereinbart ist. Auf dieser Basis werden den Nutzern zudem weitreichende Rechte an den Nutzungsdaten in bspw. smarten Hausgeräten zugestanden.

Geht es Ihnen auch so? Man hat das Gefühl, kein Monat vergeht, ohne dass eine neue EU-Verordnung auf unser Wirtschaftsgeschehen Einfluss nimmt. Oft kommt die Frage auf, wie alles zusammenhängt und wer hier überhaupt die Übersicht behalten kann. Selbst Compliance-Experten, die hauptberuflich in diesem Feld unterwegs sind, spezialisieren sich meist auf Datenschutz, EU-Onlinebusiness oder Trendthemen wie KI und sind mit einer einfachen Antwort überfordert. Interessanterweise hat ausgerechnet ein EU-Abgeordneter jüngst eine passende Übersicht erstellt – gemäß der Infografik von Kai Zenner sind es 104 Vorhaben.

Die jüngste, weit reichende und teils gefürchtete Verordnung hat es mal wieder in sich: Der EU Data Act – zu Deutsch „Datengesetz“ – verpflichtet Unternehmen, welche nicht unter die KMU-Grenze von 50 Mitarbeitern und 10 Millionen Euro Umsatz fallen, Kunden weitreichende Rechte hinsichtlich des Zugangs zu Daten zu ermöglichen. Wie das Präfix „EU-“ bereits vermuten lässt, sind alle Unternehmen im Wirtschaftraum der EU betroffen, sowie Unternehmen aus dem Rest der Welt, welche innerhalb der EU tätig sind bzw. werden wollen. Eine Brancheneinschränkung existiert nicht.

EU Data Act: Abgrenzung und Gemeinsamkeiten zur DSGVO

Für viele Unternehmen war die EU-DSGVO (Datenschutz-Grundverordnung) der erste schmerzhafte Kontakt mit dem Thema EU-Verordnungen und Verarbeitung von Daten. Gemäß dem Wort „Grundverordnung“ gilt diese EU-Verordnung nach wie vor und auch im Kontext des EU Data Act, weshalb ein Aufzeigen von Gemeinsamkeiten und eine Abgrenzung wichtig sind:

  • Die „EU DS-GVO“, Verordnung (EU) 2016/679 behandelt grundlegende Rechte und Pflichten im Bereiche des Schutzes Personenbezogener Daten – also Verarbeitung, Auskunftsrecht, Löschpflichten zu typischen direkt personenbezogenen Daten wie Namen, Adressen, politische Meinungen und Weitere.
  • Der „EU Data Act“, Verordnung (EU) 2023/2854 zielt hingegen auf Daten, welche im Nutzungskontext eines vernetzten Produkts durch eine Person entstehen. Am einfachsten kann hier das Beispiel von Nutzungsdaten beim Fahren eines Autos angeführt werden – doch auch die smarte Kaffeemaschine eignet sich.

Zusätzliche Griffigkeit erhält das Thema durch ein Beispiel aus dem Agrarsektor – wo ein Hersteller von Landwirtschaftsmaschinen die Daten, welche bei der Nutzung der Maschinen entstanden, recht weitreichend nutzen wollte. Die Kernfrage lautet: Wo hört das berechtigte Interesse der Nutzung von Daten durch einen Hersteller eigentlich auf? Wahrscheinlich würde niemand etwas gegen eine Nutzung von Motordrehzahl, Öltemperatur und Kühlwasserstand einwenden. Doch wenn die Daten es dem Hersteller ermöglichen, exakte Nutzungsprofile, GPS-Daten bzw. Karten und Bewegungsprofile, Ertragsstatistiken und Arbeitszeiten zu erfassen, wird jeder zustimmen: Es muss auch Grenzen geben. Und genau hier hakt der EU Data Act ein, denn zukünftig ist solch eine Verarbeitung nur noch nach Zustimmung möglich und unter der Bedingung, dass die Daten auch jederzeit an den Nutzer übergeben werden können – und zwar in gleicher Qualität und maschinenlesbarem Standard.

EU Data Act einfach und verständlich: Keiner will digitale Spione, aber wissen, ob der Akku reicht

In unserer digitalisierten Welt gibt es quasi keine Technik mehr, welche ohne Daten funktioniert bzw. keine Nutzungsdaten erzeugt. Vielleicht haben Sie einen normalen Wasserhahn, einen gewöhnlichen Haarfön – doch schon bei smarten Küchengeräten ist Schluss. Viele Menschen können sich nicht mehr vorstellen, zu Fuß nach dem Fortschritt der Waschmaschine zu sehen oder überhaupt ein anderes Bedienelement als die passende App auf ihrem Smartphone zu verwenden. Durch diese Consumerization und industrielle Zentrierung auf IoT müssen solche Geräte, welche früher nur Druckknöpfe oder Drehschalter hatten, natürlich Daten erzeugen und sie über das Internet oder lokale Verbindungen wie Bluetooth an das Mobiltelefon versenden.

Wie wir in den vergangenen Jahren erlebt haben, bleibt es jedoch meist nicht bei einer zunächst harmlos wirkenden Nutzung von Daten: Smarte Lautsprecher und Hausassistenten gerieten unter (leider berechtigten) Verdacht, Menschen abzuhören. Fernsehgeräte mit Kameras boten Hackern die Möglichkeit, das Privatleben von Menschen auszuspionieren und Fitnesstracker konnten fast alles über das Leben des Benutzers mitteilen – vom Aufstehen am Morgen über Mahlzeiten, Bewegungen per GPS-Tracking bis hin zum Schlafengehen. Dabei sind für die Hersteller grundsätzlich alle Daten interessant, denn wo man alles über die Nutzung des Produkts weiß, kann man Produktoptimierungen und Softwareupdates schneller (und günstiger) entwickeln. In früheren Zeiten, wo man zur Erlangung dieser Daten erst eine komplexe Umfrage starten musste, träumten Entwickler von solchen Möglichkeiten – nun wird genau dieser Komfort zu einem komplexen Thema.

Wir stecken also irgendwie in der Zwickmühle: Als Kunden möchten wir, dass unser Auto anhand der gewählten Route „mitdenkt“ und die nächste Ladestation vorschlägt, welche natürlich noch frei sein sollte. Gleichzeitig fühlen wir uns nicht besonders gut dabei, die gesamten Daten des Fahrzeugs zwischen Hersteller und Google hin und her zu senden. Am Ende muss wohl jeder selbst entscheiden, ob er den Backofen lieber per Schalter bedient, ein normales Leuchtmittel verwendet oder alles über das Handy erledigen will. Und wie beim Internet der frühen 2000er Jahre macht auch die Gesetzgebung irgendwann einen richtungsweisenden Schritt, welchen wir genau jetzt erleben.

Komplexität des EU Data Act für Unternehmen: Was verarbeiten wir wo – und was kostet es uns?

Ganz gleich, ob digitalaffine Kunden bei einem Unternehmen in der Mehrzahl sind oder nicht, müssen Unternehmen nun darauf vorbereitet sein, dass Nutzer ihrer Produkte die Kontrolle über Daten erhalten wollen. Der EU Data Act verlangt nach Artikel 4 ausdrücklich, dass Dateninhaber auf Wunsch der Datennutzer eine entsprechende Bereitstellung durchführen müssen. Dies erfordert jedoch, dass Unternehmen überhaupt erst einmal wissen müssen, welche Daten zu der Anfrage gehören. Denn die Realität ist: Unternehmen haben bereits im Rahmen der DSGVO einige Sonderschichten hinsichtlich der Identifikation Personenbezogener Daten einlegen müssen und tun sich selbst 6 Jahre nach Inkrafttreten schwer, Auskunftsersuchen innerhalb der gegebenen Fristen durchzuführen.

Nun erweitert sich diese Herausforderung massiv: Geht es bei der DSGVO um eine Frist von 30 Tagen, sprechen wir im Rahmen des EU Data Act von „Unverzüglich, kostenlos und [idealerweise] in Echtzeit“. Daraus folgt: Zeit für das Suchen, Identifizieren und Kumulieren von Daten gibt es nicht. Auch, wenn gewisse erlaubte und vom Kunden zu zahlende Gegenleistungen den Punkt „kostenlos“ etwas aufweichen: Sie müssen angemessen sein. Und genau hier sollten Unternehmen ehrlich in den Spiegel blicken – denn die tatsächlichen Kosten für das Verarbeiten von Daten kennen sie meist nicht, bzw. nicht in dem Detailgrad, welcher für eine Berechnung ausreichend ist. Fast immer mangelt es an tatsächlicher Transparenz über Datenverarbeitung, IT-Architekturen und Prozesse. Nur, wer dies durch konsequentes Enterprise Architecture Management bereits verfolgt, kann nun aus dem Vollen schöpfen und sich durch die Transparenz über das eigene Ökosystem entsprechend vorbereiten. Denn wer Dokumentation darüber besitzt, wo welche Daten verarbeitet werden und wohin sie übertragen werden, kann die Anforderungen entsprechend leichter umsetzen.

Wichtig ist zudem, dass Unternehmen nicht warten sollten, bis sie das erste Mal durch eine Kundenanfrage mit der Verordnung in Kontakte kommen. Denn ab dem 12.09.2025, wenn die Übergangsfrist ausläuft und der EU Data Act in direkt anwendbares Recht umgemünzt wird, müssen Kunden bereits bei Vertragsabschluss über diverse Details informiert werden – ungefähr so, wie heute eine Datenschutzerklärung in der Kfz-Werkstatt unterschrieben werden muss. In diesen Rahmen gehören unter anderem:

  • Datenarten und deren Umfang, wie sie voraussichtlich im Rahmen der Nutzung eines Produkts erzeugt werden, und ob dies kontinuierlich bzw. in Echtzeit geschieht
  • Welche Absicht verfolgt wird, ob die Daten selbst genutzt werden oder Dritten zur Verfügung gestellt werden sollen, und falls ja, warum bzw. für welche Zwecke
  • Kontaktinformationen zur raschen Aufnahme des Kontakts mit dem Dateninhaber, dies umfasst Mittel und die Identität des Dateninhabers
  • Die bereits von der DSGVO bekannten Informationen hinsichtlich der Rechte zu Beschwerdemöglichkeiten bei zuständigen Behörden

All dies erfordert, das man die fallweise kommende Ausübung der durch den EU Data Act verbrieften Rechte nicht dann zum ersten Mal exerziert, wenn das dritte Quartal 2025 anbricht – sondern jetzt mit Experten spricht, welche einem dabei helfen, die richtigen Schritte in Richtung Datenmanagement und Prozesse im Kontext der Unternehmensarchitektur zu gehen. Denn so kann auch vermieden werden, mehr zu tun, als tatsächlich nötig ist.

Prozessuale Teufelskreise im EU Data Act: Vermietgeschäft, Leasing und geteilte Nutzung

Gleichwohl ist zu betonen, dass es selbst für Experten einige situative Fragestellungen gibt, die aus heutiger Sicht nicht endgültig beantwortet werden können. Denn nicht immer ist das Verhältnis des Dateninhabers zum Fahrer nur der Hersteller des Fahrzeugs zum Besitzer – was ist mit Mietfahrzeugen, Car Pools oder Autos, die von mehreren Menschen bedient und genutzt werden? Welche Rolle hat auf einmal die Autovermietung, welche weder der Hersteller noch Nutzer ist? An wen soll sich der Nutzer wenden, wenn er seine Daten erhalten möchte? Wie können sich Anbieter von Mietfahrzeugen darauf vorbereiten, gegenüber ihren Kunden zwar als Datenverarbeiter und Dateninhaber aufzutreten, gleichzeitig jedoch Daten an den Hersteller des Infotainmentsystems zu übermitteln und so eine weitere Verarbeitung beauskunften zu müssen? Wie ändern sich Verträge dadurch? Was geschieht am Ende des Leasings – und wie soll sich eigentlich ein Fuhrparkverwalter in einem großen Unternehmen verhalten, der jeden Tag tausende von wechselnden Nutzern und Gruppen verwalten muss, die ggf. sogar Besucher mit einschließen?

Hier wird es auf die tatsächlichen Nutzungsszenarien und entsprechende Erfahrungswerte ankommen, welche heute schwer vorherzusagen sind. Kaum ein Unternehmen wird ohne Weiteres direkt eine Lösung im Schrank haben und nicht überfordert sein. Dennoch sollten die verbleibenden 1,5 Jahre genutzt werden, die Hauptakteure, Prozesse und betroffenen IT-Systeme entsprechend zu identifizieren und sich über die Datenarchitektur zeitnah Gedanken zu machen. Denn auch beim EU Data Act schmerzhafte Konsequenzen auf die Unternehmen, welche als erstes in das Fadenkreuz geraten, weil sie das Thema gelassen aussitzen. Konkret geht es um 20 Millionen Euro oder 4% des Jahresumsatzes – genau wie bei der DSGVO.

Fazit zum EU Data Act: Ohne Transparenz im Unternehmen erwartet viele das Chaos

Somit ist nun die Zeit gekommen, sich als Unternehmen strukturiert vorzubereiten:

  • Welche Prozesse werden in unserem Unternehmen durch Applikationen und Systeme unterstützt, wo werden Nutzungsdaten von Kunden verarbeitet?
  • Welche Produkte sind direkt von den genannten Informationen abhängig bzw. bereits im Markt, welche in Planung, was wird bis 2025 sowieso abgestellt und entfällt dadurch?
  • Wie sehen die Informationsflüsse zwischen diesen Entitäten aus – kann bereits automatisiert ausgewertet werden, welche Daten von Person „Max Mustermann“ in welchen Systemen verarbeitet wird, zu welchem Zweck und auf welcher Rechtsgrundlage?

Diese 3 Kernfragen sollten jedes Unternehmen beschäftigen und in ihrer Beantwortung entsprechend dokumentiert werden. Nur so wird es möglich sein, notwendige und unvermeidliche Änderungen an Produkten, Verträgen und IT-Systemen für das kommende Jahr zu planen und erfolgreich umzusetzen.

Bilden Sie hierzu ein Team von interdisziplinären Experten:

  • Legal & Compliance: Ihre Rechts- und Compliance-Experten, die das Unternehmen kennen
  • Prozessmanagement: Manager, welche Prozesse und deren Schnittstellen überblicken und verstehen
  • Enterprise Architects: Die Orchestrierer aus Business- und IT-Anforderungen und Förderer aktiver Dokumentation

Abschließend sollte immer die Chance betrachtet werden, aus dem Jahr 2018 zu lernen, als die DSGVO alle Unternehmen beschäftigte – ganz gleich, ob bei Ihnen alles perfekt lief oder es am Ende stressig wurde. Jetzt ist die Zeit, den Einfluss des EU Data Act zu beurteilen und das Ergebnis in eine strukturierte Planung zu überführen. Denn dieser Artikel streift nur die wichtigsten Eckpunkte und zeigt das Wesen der Verordnung, welche viele weitere Details enthält.

Philipp Schneidenbach
Philipp Schneidenbach ist Experte auf den Gebieten Enterprise Architecture, Governance, Risk und Compliance. In seiner derzeitigen Position bei Materna vereint er die Erfahrung aus mehr als 25 Jahren Beratung und Linienverantwortung in verschiedenen Industriezweigen und Märkten. Als Autor, Researcher und Speaker engagiert er sich unter anderem in Organisationen und Berufsverbänden wie der IEEE, ISACA und MoreThanDigital.
Das könnte dir auch gefallen Mehr vom Autor

Die Kommentarfunktion ist geschlossen.

More Stories

Neue EU-Standardvertragsklauseln (SCC) verstehen – Was…

Datenschutz und DSGVO – 5 Stolperfallen für KMU

Cybersecurity: Banken müssen ihre Kronjuwelen schützen

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More