Countdown bis September – Die EU-Datenverordnung und ihre Auswirkungen

Die europäische Datenverordnung wird erheblich Auswirkungen für eine Vielzahl von Interessengruppen haben und den rechtlichen Rahmen für den Datenzugang grundlegend verändern.

Mit Blick auf die Unternehmen im Geltungsbereich der EU-Datenverordnung sind die Hersteller von vernetzten Produkten (IoT) und die Anbieter digitaler Dienstleistungen auf dem EU-Markt (unabhängig vom Standort der Unternehmens selbst), der jeweilige „Dateninhaber“ und die Anbieter von Datenverarbeitungsdiensten die Hauptadressaten.

Es gibt Ausnahmen für kleine Unternehmen (d. h. Unternehmen mit weniger als 50 Beschäftigten oder weniger als 10 Mio. EUR Jahresumsatz) und für mittelgroße Unternehmen (d. h. Unternehmen mit weniger als 250 Beschäftigten oder einem Jahresumsatz von höchstens 50 Mio. EUR).

Für welche Produkte und Dienstleistungen gilt die EU-Datenverordnung?

Die Produkte und Dienstleistungen, die in den Anwendungsbereich der EU-Datenverordnung fallen, sind „vernetzte Produkte“ und „verbundene Dienste“.

Ein vernetztes Produkt ist definiert als Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der diese Daten elektronisch, physisch oder über eine integrierte Schnittstelle übermitteln kann. Davon ausgenommen sind allerdings Produkte, deren Hauptfunktion die Speicherung, Verarbeitung oder Übertragung von Daten im Namen und Interesse einer anderen Partei – außer dem Nutzer – ist.

Ein verbundener Dienst ist definiert als entweder (i) ein digitaler Dienst, der mit einem verbundenen Produkt so verbunden ist, dass letzteres ohne ihn eine oder mehrere seiner Funktionen nicht erfüllen kann, oder (ii) der später mit dem Produkt verbunden wird, um dessen Funktionen zu erweitern, zu aktualisieren oder zu ändern. Reine elektronische Kommunikationsdienste sind jedoch ausgenommen.

Einige Beispiele für Produkte und Dienstleistungen, die in den Anwendungsbereich fallen, sind vernetzte Industriemaschinen, Navigationssysteme und -dienste, Fitness-Tracker und intelligente Haushaltsgeräte.

Was schreibt die EU-Datenverordnung vor?

Im Großen und Ganzen verlangt die EU-Datenverordnung von Herstellern und Anbietern, dass sie den Nutzern ihrer Produkte und möglicherweise auch Dritten, sogar Konkurrenten, Zugang zu bestimmten Daten gewähren. Die EU-Datenverordnung gilt auch für „Dateninhaber“, bei denen es sich um dieselben Einrichtungen wie die Hersteller und Anbieter handeln kann, aber nicht muss.

Vernetzte Produkte und verbundene Dienste müssen so konzipiert und hergestellt bzw. bereitgestellt werden, dass die durch das Produkt oder den Dienst oder während dessen Nutzung erzeugten Daten standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format direkt zugänglich sind. Darüber hinaus muss ein breites Spektrum an detaillierten Informationen, über die von dem Produkt oder der Dienstleistung gesammelten Daten und den Zugang zu diesen Daten bereitgestellt werden.

Auf Verlangen des Nutzers müssen leicht zugängliche Daten Dritten unentgeltlich und in derselben Qualität zur Verfügung gestellt werden, wie sie dem Dateninhaber zur Verfügung stehen. Es gibt Bestimmungen zur Wahrung von Geschäftsgeheimnissen, die in die betreffenden Daten einfließen oder aus ihnen abgeleitet werden können. Darüber hinaus sind andere Sicherungsmaßnahmen zum Schutz der Interessen von Dateninhabern, Herstellern und Anbietern vorgesehen oder vertraglich zulässig.

Ferner enthält die EU-Datenverordnung zahlreiche detaillierte Bestimmungen über Anbieterwechsel, Cloud-Dienste, Interoperabilität und andere Aspekte der datengesteuerten Wirtschaft.

Was ist jetzt zu tun? Was passiert bei Nichteinhaltung der Vorschriften? 

Prüfen Sie, ob die EU-Datenverordnung für Sie gilt. Wenn ja, ergreifen Sie Maßnahmen, um die Einhaltung der Vorschriften zu gewährleisten und interne Prozesse für die Bearbeitung von Datenanfragen, den Schutz von Geschäftsgeheimnissen, geeignete vertragliche Maßnahmen und die Einhaltung der DSGVO einzurichten.

Die Nichteinhaltung der EU-Datenverordnung kann zu schwerwiegenden finanziellen Sanktionen führen, die von den Mitgliedstaaten vor dem 12. September 2025 festzulegen sind. Diese werden wahrscheinlich ähnlich hoch sein wie die in der DSGVO vorgesehenen Geldbußen.