Willkommen zur fünften Episode unserer fortlaufenden Reihe „The Cybersecurity Compass“, in der wir die neuesten Entwicklungen im Bereich Cybersecurity und digitale Regulierung beleuchten.
In dieser Folge widmen wir uns dem Data Act – einem zentralen Gesetzgebungsvorhaben der Europäischen Union, das die Landschaft des Datenzugangs und der Datennutzung branchenübergreifend grundlegend verändern wird.
Digital Decade Strategy
Den Data Act verstehen
Der Data Act ist eine neu eingeführte Verordnung der EU, die darauf abzielt, klare Regeln für den Zugang zu und die Nutzung von Daten zu schaffen, die durch vernetzte Produkte und Dienste generiert werden.
Diese Verordnung ist ein zentraler Bestandteil der umfassenderen Digital Decade Strategy der EU und spiegelt die zunehmende Bedeutung von Daten als wesentliche Ressource in der digitalen Wirtschaft wider.
Ziele des Data Act
Die zentralen Ziele des Data Act sind:
- Förderung von Innovation und Wettbewerb:
Durch die Regulierung des Datenzugangs soll der Data Act eine wettbewerbsfähigere digitale Wirtschaft fördern und Innovationen sowie die Entwicklung neuer Geschäftsmodelle ermöglichen. - Schutz von Rechten:
Die Verordnung stellt sicher, dass die Rechte von Einzelpersonen und Unternehmen gewahrt bleiben. Sie gibt ihnen mehr Kontrolle über ihre Daten und erhöht die Transparenz.
Produkte im und außerhalb des Anwendungsbereichs
Der Data Act richtet sich gezielt an vernetzte Produkte und Dienste und legt klar fest, welche Produkte betroffen sind:
Produkte im Anwendungsbereich:
IoT-Geräte: Smart-Home-Geräte, industrielle IoT-(IIoT-)Ausrüstung sowie andere vernetzte Produkte, die Daten erzeugen und nutzen.
Vernetzte Dienste: Digitale Dienste, die in IoT-Geräte integriert sind, wie Cloud- und Edge-Computing-Dienste, die Daten dieser Geräte verarbeiten und analysieren.- Produkte außerhalb des Anwendungsbereichs:
Smartphones und Kameras: Diese fallen in der Regel nicht in den Anwendungsbereich, es sei denn, sie werden zur Steuerung anderer Geräte eingesetzt (z. B. in einer Smart-Home-Umgebung).
Produkte mit erforderlicher menschlicher Mitwirkung: Geräte, deren Datenerzeugung maßgeblich eine aktive menschliche Eingabe voraussetzt, sind grundsätzlich ausgenommen.
Zentrale Bestimmungen des Data Act
Der Data Act führt mehrere zentrale Bestimmungen ein, die den Zugang zu und die Weitergabe von Daten maßgeblich prägen werden:
- Datenzugang und Datenteilung:
Der Data Act legt fest, wer unter welchen Bedingungen Zugang zu Daten erhält. Ziel ist es sicherzustellen, dass durch vernetzte Produkte generierte Daten sowohl von Verbrauchern als auch von Unternehmen fair genutzt werden können. - Verpflichtungen und Sanktionen:
Unternehmen müssen strenge Vorgaben einhalten, andernfalls drohen erhebliche Sanktionen. Diese können Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes umfassen – je nachdem, welcher Betrag höher ist. Die Sanktionen dienen der Durchsetzung der Vorschriften und stellen sicher, dass Datenpraktiken mit den Zielen des Gesetzes im Einklang stehen.
Vorteile des Data Act
Der Data Act bringt mehrere zentrale Vorteile mit sich, die wesentliche Herausforderungen der heutigen digitalen Landschaft adressieren:
- Fairness:
Er schafft gleiche Wettbewerbsbedingungen, indem kleinen Unternehmen und Verbrauchern gleichermaßen Zugang zu und Nutzung von Daten ermöglicht wird. - Innovation:
Durch die Sicherstellung eines offenen Datenzugangs fördert der Data Act die Entwicklung neuer digitaler Geschäftsmodelle und Dienstleistungen und treibt Innovationen branchenübergreifend voran. - Transparenz:
Die Verordnung schreibt klare Regeln für die Datennutzung vor und stärkt damit das Vertrauen von Unternehmen und Verbrauchern in das digitale Ökosystem. - Datensouveränität:
Nutzer und Unternehmen erhalten mehr Kontrolle über ihre personenbezogenen und unternehmensbezogenen Daten und können besser steuern, wie diese verwendet werden.
Zeitplan für die Umsetzung
- 23. Februar 2022: Erste Vorlage des Data Act.
- 27. November 2023: Formelle Annahme durch das Europäische Parlament.
- 11. Januar 2024: Der Data Act tritt offiziell in Kraft.
- 12. September 2025: Der Data Act wird vollständig anwendbar; die Einhaltung ist für alle Hersteller vernetzter Produkte verpflichtend, einschließlich bereits auf dem Markt befindlicher Produkte.
Fazit
Der Data Act markiert einen grundlegenden Wandel in der Art und Weise, wie Daten innerhalb der EU verwaltet und genutzt werden, und bringt sowohl Herausforderungen als auch Chancen für Unternehmen mit sich.
Durch die Einhaltung der Vorgaben des Data Act können Unternehmen nicht nur erhebliche Bußgelder vermeiden, sondern auch neue Potenziale für Innovation und Wettbewerbsfähigkeit im digitalen Markt erschließen. In einer sich stetig weiterentwickelnden digitalen Wirtschaft wird es entscheidend sein, regulatorische Veränderungen frühzeitig zu erkennen und strategisch umzusetzen, um langfristig erfolgreich zu bleiben.
Wenn Sie Fragen haben oder Unterstützung beim Umgang mit den Anforderungen des Data Act benötigen, stehen Ihnen unsere Kolleg:innen Natalia und Ayhan gerne zur Verfügung. Sie helfen Ihnen dabei, diese komplexen regulatorischen Vorgaben souverän zu bewältigen.
Bleiben Sie dran für weitere Einblicke in den kommenden Episoden von „The Cybersecurity Compass“.
Ihr Ansprechpartner
Natalia Petrova-Korudzhiyski
Senior Business Consultant • BU Security & Safety
Ihr Ansprechpartner
Ayhan Mehmed
Lead Business Consultant • BU Security & Safety