Datenrecht: Was Unternehmen 2024 wissen müssen!

Das Wichtigste im Überblick

  • Das Datenschutzrecht gilt seit 2018: Jetzt kommen neue Regelungen aus der EU auch für nicht-personenbezogene Daten! Ihr Ziel ist es, die Datenwirtschaft anzukurbeln.
  • Der Data Act der EU bringt neue Rahmenbedingungen für die Nutzung und den Austausch von Daten. Besonders wichtig ist er für digitale Produkte, IoT-Geräte wie Smartphones, vernetzte Autos oder digitale Maschinen und für Cloud-Services.
  • Der Data Governance Act soll (unter anderem durch Datenräume und die Stärkung freiwilliger Datenspenden) für eine größere Datenverfügbarkeit sorgen.
  • Der AI Act der EU regelt den Umgang mit Künstlicher Intelligenz (KI/AI) in Unternehmen und macht eine Risikoermittlung für das eingesetzte System nötig.
  • Der Digital Services Act und der Digital Markets Act bringt vor allem für Online-Plattformen und die großen Player in der digitalen Welt – Google, Apple, Meta, Amazon und Microsoft – strenge Pflichten.  

Was regelt der Data Act für Unternehmen?

Mitte Dezember 2023 ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) verkündet worden. Damit läuft nun die Umsetzungsfrist: Mitte September 2025 sind die Regelungen einzuhalten. Für Datenzugangsansprüche zu digitalen Produkten gilt eine längere Frist bis September 2026. In den bis dahin verbleibenden Monaten müssen die Vorgaben des Data Act umgesetzt werden. Dafür müssen Produktdesigns angepasst, Informationen erstellt und Verträge überarbeitet werden. Ziel des Data Acts ist es, personenbezogene und nicht-personenbezogene Daten in unterschiedlichen Lebensbereichen besser nutzbar zu machen und den Wettbewerb in der Datenwirtschaft zu stärken.

Gerade die Datenzugangsansprüche im Data Act sind weitreichend. Nutzer und Dritte haben danach einen Anspruch, in Echtzeit die Nutzungsdaten der Produkte und verbundenen Serviceleistungen zu erhalten. Unternehmen, die digitale Produkte herstellen und vertreiben, sollten genau prüfen, ob und wo diese Ansprüche künftig bestehen. Denn die verpflichteten Unternehmen müssen den Datenschutz sicherstellen und ihre Geschäftsgeheimnisse schützen. Beides ist keine leichte Aufgabe angesichts der strengen und teils nicht ganz stimmigen Vorgaben im Data Act. Auf der anderen Seite können sich Start Ups und die Anbieter von Serviceleistungen schon jetzt in Stellung bringen, um als Datenempfänger dann Zugang zu den Daten zu erhalten und diese für innovative eigene Produkte zu nutzen.

Der Data Act greift hier ein und stellt neue rechtliche Rahmenbedingungen für den Austausch von Daten auf. Hersteller digitaler Produkte müssen Zugang zu den Daten in Echtzeit gewähren, Informationen dazu bereitstellen und Verträge über die Datennutzung abschließen.

Daneben bringt der Data Act noch weitere Pflichten: Der Wechsel zwischen Cloud-Services wird vereinfacht, er muss technisch und kommerziell ohne Hürden ermöglicht werden. Verträge über die Datenverwendung müssen fair gestaltet sein. Cloud-Services, Datenräume und Smart Contracts müssen interoperabel ausgestaltet werden. Und auch nicht-personenbezogene Daten sind beim Transfer in Länder außerhalb der EU vor staatlichen Zugriffen nationaler Behörden zu schützen.

Angesichts dieser umfangreichen neuen Regelungen wird kaum ein Unternehmen in der EU nicht vom Data Act betroffen sein – als Verpflichtete oder auch als Berechtigte!

Was ist Data Governance in Unternehmen?

Der Begriff Data Governance heißt so viel wie „Datenkontrolle“ oder „Datenverwaltung“. In Unternehmen umfasst er Tätigkeiten und Maßnahmen, die nötig sind, um Daten und Informationen strategisch und strukturiert zu verwahren und die Prozesse um sie herum zu steuern. Wird zielgerichtete Data Governance betrieben, bedeutet das, dass in einem Unternehmen jederzeit die richtigen Menschen zur richtigen Zeit an die richtigen Daten kommen, die diesem Zweck entsprechend organisiert sind.

Seit Juni 2022 ist der Data Governance Act in Kraft und muss seit September 2023 angewendet werden. Auch er hat einen bessere Verfügbarkeit und Nutzbarkeit von Daten zum Ziel. Zusammen mit dem Data Act wird durch ihn die sogenannte „EU-Datenstrategie“ umgesetzt, die für eine größere Datenverfügbarkeit sorgen soll. Dem Data Governance Act liegen drei Säulen zugrunde:

  • die Weiterverwendung bestimmter Kategorien geschützter Daten im Besitz öffentlicher Stellen,
  • eine Schlüsselrolle von Datenvermittlungsdiensten in der Datenwirtschaft zur Steigerung der Datenverfügbarkeit und
  • Datenaltruismus, also eine Steigerung der Datenverfügbarkeit durch freiwillige Datenspenden.

Der Data Governance Act ist für alle Unternehmen, Behörden und Privatpersonen relevant, die mehr Daten nutzen oder zur Verfügung stellen wollen. Sein Schwerpunkt liegt allerding im nicht-kommerziellen Bereich.

Künstliche Intelligenz und der AI Act: Bedeutung für Unternehmen

Immer weitere Verbreitung in Unternehmen findet Künstliche Intelligenz. Selbstlernende Algorithmen benötigen Daten, um überhaupt in Einsatz gelangen zu können. Auch hierzu gibt es bald einen EU-Act, nämlich den AI Act (Artificial Intelligence Act), zu dem jüngst eine Einigung erzielt wurde. Durch ihn wird Künstliche Intelligenz (AI/KI) in drei Kategorien eingeteilt, nämlich in KI mit

  • unakzeptabel hohem Risiko (führt zur Bedrohung von Personen, der Einsatz wird verboten),
  • hohem Risiko (Einsatz wird mit strengen Regularien durch AI Act geregelt) und
  • geringem Risiko (aus dem eine Transparenz- und Informationspflicht folgt).

Daneben gibt es Sonderregeln für den Einsatz Generativer KI, also z.B. ChatGPT.

Der AI Act reguliert den Einsatz von Künstlicher Intelligenz insbesondere durch die Pflicht zu Transparenz und Dokumentation. Anbieter müssen umfassende Risikoabwägungen durchführen und protokollieren.

Der AI Act bildet so die Grundlage für einen zukunftsweisenden Einsatz von Anwendungen Künstlicher Intelligenz, die die Demokratie, den Schutz der Menschenrechte und unser aller Handlungsfreiheit wahren, ohne aber – so die Hoffnung – Innovationen zu behindern.

Der AI Act ersetzt nicht die Ausarbeitung unternehmensinterner Richtlinien und Positionen zum Einsatz von Anwendungen künstlicher Intelligenz. Solche sind wichtig, um auch die weiteren Herausforderungen zu meistern: KI-Anwendungen schaffen effizient, geben Raum für Innovationen und können neue Geschäftsfelder erschließen. Ihr Einsatz bringt aber auch erhebliche Rechtsrisiken, so insbesondere beim Datenschutz und dem Schutz geistigen Eigentums. Mit KI erstellte Software etwa ist nur selten schutzfähig – ist sie Asset in einem Unternehmen, kann das zu einer Abwertung des Unternehmenswertes führen. Es ist daher elementar, den Einsatz und die Entwicklung von Anwendungen künstlicher Intelligenz im eigenen Unternehmen proaktiv zu gestalten.

Strategie zum Umgang mit Daten

Aus dem neuen Datenrecht, insbesondere dem AI Act und dem Data Act, folgen Handlungsbedarfe für Unternehmen, die individuell zu ermitteln sind und stark von der jeweiligen Daten- und Geschäftsstrategie abhängen. Sind Sie mit Ihrem Unternehmen beispielsweise bereit für die Nutzung von Datenräumen oder können Sie eventuell von der Weiternutzung der Daten öffentlicher Stellen profitieren? Setzen Sie KI ein oder entwickeln Sie Tools mit künstlicher Intelligenz? Haben Sie bereits eine umfangreiche Datenstrategie und Data Governance Rules implementiert?

Wir beraten und begleiten Sie bei

  • der Implementierung des Data Acts: Identifikation vernetzter Produkte, betroffener Daten, Cloud-Verträge, entsprechender Vertragsgestaltung sowie bei der Erarbeitung der Informationen und Gestaltung der Produkte,
  • der Dienstegestaltung im oder außerhalb des Scoops des Data Governance Acts und bezüglich der Zugangsansprüche zu Daten, gerade auch im Bereich der Forschung und unter Berücksichtigung der Datenräume wie dem im Entstehen begriffenen Europäischen Gesundheitsdatenraum,
  • bei der Produktgestaltung, Transparenz- und Risikoabwägung und der Qualifikation der Produkte im neuen Regulierungssystem beim Thema Künstliche Intelligenz,
  • bei der Ausarbeitung passender KI-Richtlinien für den Einsatz und die Entwicklung von KI-Tools in Ihrem Unternehmen und
  • allen anderen rechtlichen Themen rund um das Thema Daten – vom Cloud-Anbieterwechsel über Daten in vernetzten Produkten und Services bis hin zur Prüfung von Datenerhebungsgesuchen öffentlicher Stellen.

Setzen Sie sich mit uns in Verbindung.

FAQ

Welche Gesetze gibt es zum Datenschutz?

In Deutschland werden Datenschutz und IT-Sicherheitsthemen vor allem durch die Datenschutzgrundverordnung (DSGVO), das Bundesdatenschutzgesetz und die IT-Sicherheitsgesetze geregelt.

Auf EU-Ebene sind jüngst neue Regelungen zur Datenregulierung hinzugetreten, insbesondere der Data Act, der Data Governance Act und bald der AI Act. Diese regeln nicht den Datenschutz, sondern vielmehr die Datennutzung. Der Datenschutz muss parallel dazu gewahrt bleiben.

Was wird im Datenschutzgesetz geregelt?

Als Datenschutzgesetz wird meist die EU-Datenschutzgrundverordnung bezeichnet. Sie regelt, wann und wie die Verarbeitung personenbezogener Daten zulässig ist. Relevant ist sie immer dann, wenn in der EU personenbezogene Daten verarbeitet werden, auch, wenn das verarbeitende Unternehmen außerhalb der EU sitzt. Zentral ist das Verbot mit Erlaubnisvorbehalt: Wer personenbezogene Daten verarbeiten will, braucht eine Erlaubnis. Ohne Erlaubnis ist die Verarbeitung unzulässig.

Was gehört zum neuen Datenrecht?

Das neue Datenrecht der EU will die Datenwirtschaft in der EU beflügeln. Es sollen erhebliche Werte gehoben werden, Daten werden in den Mittelpunkt der neuen Wertschöpfung gerückt. Die wichtigsten Rechtsakte sind die EU-Verordnungen Data Act und Data Governance Act. Bald kommt außerdem noch der AI Act hinzu. Die weiteren Verordnungen, der Digital Services Act und der Digital Markets Act, betreffen ganz spezifische Online-Dienste und starke Player (vor allem @GAFAM – Google, Apple, Meta, Amazon und Microsoft).

Wie stehen Datenschutz und Datenrecht zueinander?

Die neuen EU-Rechtsakte zum Datenrecht haben leider nicht geregelt, ob und wie unter ihnen personenbezogene Daten verarbeitet werden dürfen. Dazu regeln sie: Die EU-Datenschutzgrundverordnung „bleibt unberührt“. Dies bringt erhebliche Probleme für Unternehmen, da sie parallel sicherstellen müssen, dass die EU-Datenschutzgrundverordnung eingehalten wird. Es kann also sein, dass der Data Act einen Datenzugangsanspruch gibt, dieser aber wegen Verstoß gegen die EU-Datenschutzgrundverordnung nicht gewährt werden darf.

Was sind Datenräume?

Um den Datenaustausch und die gemeinsame Datennutzung zu fördern, schafft die EU neue Datenräume für verschiedene Sektoren. Sehr weit vorangeschritten ist der Europäische Gesundheitsdatenraum, der „European Health Data Space“ oder auch kurz „EHDS“. Auch dies ist eine EU-Verordnung, die Regeln und Bedingungen festlegt, unter denen Gesundheitsdaten ausgetauscht und genutzt werden können. Es werden dezentrale Strukturen geschaffen, nicht etwa, wie der Name dies vermuten lässt, eine einzelne Cloud. Zentrales Element sind dabei die genauen Vorgaben, welche Daten von wem mit welchen Sicherheitsmaßnahmen und zu welchen Zwecken genutzt werden dürfen. Klar Regeln machen es einfacher, Daten auch tatsächlich auszutauschen.

Ihre Ansprechpartnerin: Dr. Kristina Schreiber

Dr. Kristina Schreiber ist Fachanwältin für Verwaltungsrecht und CIPP/E und Partnerin bei Loschelder Rechtsanwälte in Köln. Sie ist spezialisiert auf rechtliche Begleitung von Digitalisierungsprojekten und die Beratung und Vertretung in allen Fragen des Datenschutzes, der Datennutzung und der Cyber-Sicherheit. Sie publiziert regelmäßig in Fachzeitschriften zu diesen Themen, ist Lehrbeauftragte an der FernUniversität Hagen und Referentin auf diversen Fachveranstaltungen.