Kontakt
Logo
8 rot kontrast 300dpi

Der Data Act: Anforderungen

Episode 06 unserer Artikelreihe: The Cybersecurity Compass

Willkommen zur neuesten Episode unserer fortlaufenden Reihe „The Cybersecurity Compass“, in der wir die komplexen Anforderungen von Cybersecurity-Regulierungen beleuchten.

In dieser Folge widmen wir uns dem Data Act – einer zentralen Verordnung, die maßgeblich beeinflusst, wie Daten innerhalb der Europäischen Union branchenübergreifend verwaltet, geteilt und geschützt werden.

 

Den Data Act verstehen

Der Data Act ist eine zentrale Verordnung im Rahmen der umfassenderen Digital Decade Strategy der EU. Sein Hauptziel besteht darin, klare Leitlinien für die Weitergabe, Zugänglichkeit und Interoperabilität von Daten zu schaffen, die durch vernetzte Produkte und Dienste generiert werden.

Die Verordnung stärkt Fairness, Innovation und Transparenz in der digitalen Wirtschaft, indem sie verbindlich regelt, wie Daten zwischen Unternehmen und Verbrauchern geteilt werden sollen.

 

Zentrale Bestimmungen des Data Act

1. Verpflichtende Datenteilung (Artikel 3–7)

Der Data Act stärkt den Datenzugang, indem er Nutzern das Recht einräumt, auf durch vernetzte Produkte und Dienste generierte Daten zuzugreifen und diese zu übertragen. Dies stellt eine bedeutende Entwicklung dar, da auch Drittanbietern Zugang zu Daten ermöglicht wird und dadurch Innovation und Wettbewerb gefördert werden können.

  • Bedeutung für Nutzer: Endnutzer können die Übertragung ihrer Daten an andere Dienstleister verlangen und so Datenportabilität über verschiedene Plattformen hinweg realisieren.
  • Bedeutung für Unternehmen: Unternehmen müssen reibungslose Prozesse zur Datenteilung sicherstellen und Interoperabilitätsstandards einhalten.

2. Interoperabilitätsanforderungen (Artikel 33)

Zur Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten schreibt der Data Act Interoperabilität vor. Dadurch werden Anbieterwechsel oder die Nutzung mehrerer Dienstleister einfacher und kosteneffizienter. Für Organisationen ist die Einhaltung dieser Vorgaben entscheidend, um operative Flexibilität zu gewährleisten und Sanktionen zu vermeiden.

3. Pflichten von Dateninhabern (Artikel 14–22)

Dateninhaber (Organisationen, die Daten generieren oder verwalten) sind unter bestimmten Voraussetzungen verpflichtet, Daten bereitzustellen. Der Data Act definiert klare Szenarien, in denen Daten zugänglich gemacht werden müssen, insbesondere im öffentlichen Interesse oder bei außergewöhnlicher Notwendigkeit.

  • Anforderungen des öffentlichen Sektors: In Krisensituationen oder bei außergewöhnlichem Bedarf müssen Daten an öffentliche Stellen, wie beispielsweise die Europäische Zentralbank (EZB), übermittelt werden.
  • Unternehmerische Verantwortung: Unternehmen müssen transparente Datenteilungsprozesse gewährleisten und robuste Sicherheitsmaßnahmen implementieren, um unbefugten Zugriff oder Missbrauch zu verhindern.

4. Smart Contracts und Datenübertragungen (Artikel 27–31)

Der Data Act betont die Rolle von Smart Contracts bei der Automatisierung von Vereinbarungen zur Datenteilung. Diese selbstausführenden Verträge stärken das Vertrauen, indem sie sicherstellen, dass Datenteilungsvereinbarungen gemäß vordefinierter Bedingungen automatisch umgesetzt werden – ohne menschliches Eingreifen.

cybersec_grafik12

 

Cybersecurity und Datenschutz

Die Einhaltung des Data Act erfordert auch strenge Cybersecurity-Maßnahmen. Das Gesetz verpflichtet Dateninhaber, robuste technische Schutzmaßnahmen zu implementieren, um unbefugten Zugriff, Sicherheitsverletzungen oder Missbrauch im Rahmen des Datenaustauschs zu verhindern. Dazu gehören:

  • Meldung von Vorfällen (Artikel 35):
    Verpflichtende Meldung von Cybersecurity-Vorfällen oder Datenpannen an die zuständigen Behörden.
  • Technische Schutzmaßnahmen:
    Einsatz fortschrittlicher Maßnahmen zur Verhinderung unbefugter Nutzung oder Offenlegung sensibler Daten.

Ausnahmen und Sonderfälle

Obwohl der Data Act einen breiten Anwendungsbereich hat, sind kleine und mittlere Unternehmen (KMU) teilweise von bestimmten Anforderungen ausgenommen, um ihren begrenzten Ressourcen Rechnung zu tragen. Große Unternehmen und kritische Sektoren hingegen müssen die Vorgaben vollständig erfüllen; bei Nichteinhaltung drohen erhebliche Sanktionen.

 

Zeitplan für die Umsetzung

Wichtige Termine für Unternehmen im Zusammenhang mit dem Data Act:

  • Januar 2024: Inkrafttreten der Verordnung; erste Verpflichtungen beginnen zu greifen.
  • September 2025: Vollständige Anwendung der Anforderungen, insbesondere in Bezug auf Interoperabilität und Datenzugänglichkeit.

 

Fazit

Der Data Act läutet eine neue Ära des digitalen Datenmanagements ein und betont die Notwendigkeit sicherer, fairer und transparenter Praktiken beim Datenaustausch.

Für Unternehmen bedeutet dies: Wer die regulatorischen Anforderungen frühzeitig und strategisch umsetzt, vermeidet nicht nur Bußgelder, sondern schafft zugleich die Grundlage für Innovation und nachhaltige Wettbewerbsvorteile im digitalen Marktumfeld.

Bleiben Sie dran für weitere Einblicke, wie Sie Ihr Unternehmen im Einklang mit der sich wandelnden Cybersecurity-Landschaft ausrichten können – in den kommenden Episoden von „The Cybersecurity Compass“.

Ihr Ansprechpartner

_profilepic_round-2025 natalia

Natalia Petrova-Korudzhiyski

Senior Business Consultant • BU Security & Safety

+4366480740359

Ihr Ansprechpartner

_profilepic_round-2025 Ayhan

Ayhan Mehmed

Lead Business Consultant • BU Security & Safety

+43 664 80740139