{"id":2387,"date":"2025-06-17T16:03:15","date_gmt":"2025-06-17T14:03:15","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=2387"},"modified":"2025-06-17T16:03:16","modified_gmt":"2025-06-17T14:03:16","slug":"data-act-als-herausforderung-fuer-den-datenschutz-kommt-ab-september-2025-auf-unternehmen-zu","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=2387&lang=de","title":{"rendered":"Data Act als Herausforderung f\u00fcr den Datenschutz kommt ab September 2025 auf Unternehmen zu"},"content":{"rendered":"\n<p>Der Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (HmbBfDI) hat die Orientierung mit der Handreichung \u201e<a href=\"https:\/\/t5baa4d95.emailsys1a.net\/c\/107\/8403721\/4207\/0\/20698348\/699\/548997\/077b642760.html\">Der Data Act als Herausforderung f\u00fcr den Datenschutz<\/a>\u201c ver\u00f6ffentlicht. Die Handreichung gibt einen \u00dcberblick \u00fcber die Inhalte des Data Acts, zeigt Handlungsbedarfe auf und skizziert die M\u00f6glichkeiten der datenschutzbeh\u00f6rdlichen Aufsicht.<\/p>\n\n\n\n<p>Der Data Act (im Folgenden \u2013 Data Act, DA) tritt&nbsp;<strong>ab dem 12. September 2025<\/strong>&nbsp;in Kraft.<\/p>\n\n\n\n<p>Er zielt darauf ab, bislang bestehende Monopole auf den Zugang zu Daten von vernetzten Ger\u00e4ten aufzubrechen. Hersteller internetf\u00e4higer Ger\u00e4te sind dann verpflichtet, die von diesen Ger\u00e4ten gesendeten Daten auch mit Dritten zu teilen. Im Fokus steht das Internet der Dinge (IoT), zu dem vernetzte Maschinen, Fahrzeuge, Haushaltsger\u00e4te, Fernseher sowie Medizin- und Fitnessger\u00e4te geh\u00f6ren.<\/p>\n\n\n\n<p><strong>DA und DSGVO (Datenschutz-Grundverordnung)<\/strong><br>Ein zentraler Punkt der Handreichung ist das Zusammenspiel aus DA und DSGVO.<br>Der Data Act&nbsp;<strong>\u201egilt unbeschadet des (\u2026) Rechts \u00fcber den Schutz personenbezogener Daten\u201c.&nbsp;<\/strong>Dies bedeutet, dass die DSGVO unber\u00fchrt bleibt und im Falle eines Widerspruchs Vorrang genie\u00dft.&nbsp;Kein Datenzugang darf gew\u00e4hrt werden, der nicht als zul\u00e4ssige Datenverarbeitung nach der DSGVO gedeckt ist.<br>Das Herzst\u00fcck des DAs, die Zugangsanspr\u00fcche, gilt zwar f\u00fcr nichtpersonenbezogene und personenbezogene Daten (unter Ber\u00fccksichtigung der DSGVO). Die Kl\u00e4rung des Personenbezugs spielt daher eine f\u00fchrende Rolle.<\/p>\n\n\n\n<p><strong>Verpflichtungen unter dem Data Act<\/strong><\/p>\n\n\n\n<ul><li><strong>Datenzugang<\/strong>: Hersteller sind verpflichtet, die von vernetzten Ger\u00e4ten gesendeten Daten mit Dritten zu teilen.<\/li><li><strong>Schnittstellen<\/strong>: Soweit &#8222;relevant und technisch durchf\u00fchrbar&#8220; (Art. 3 Abs. 1 DA), ist der Zugang direkt \u00fcber eine Schnittstelle zu gew\u00e4hren.<\/li><li><strong>Notstandsregelungen<\/strong>: In F\u00e4llen au\u00dfergew\u00f6hnlicher Notwendigkeit (z. B. Naturkatastrophen) k\u00f6nnte die Herausgabe von Daten verlangt werden.<\/li><li><strong>Cloud Switching<\/strong>: Ma\u00dfnahmen implementieren, damit NutzerInnen einfacherer zu anderen Anbietern wechseln k\u00f6nnen.<\/li><li><strong>Internationaler Datenverkehr<\/strong>: DA unterwirft auch nichtpersonenbezogene Daten territorialen Grenzen. Die Logik unterscheidet sich jedoch hier von der DSGVO.<\/li><\/ul>\n\n\n\n<p><strong>Wesentliche Umsetzungst\u00e4tigkeiten f\u00fcr Unternehmen<\/strong><\/p>\n\n\n\n<ol><li><strong>Pr\u00fcfung des Anwendungsbereichs<\/strong>: Nicht alle Unternehmen, die Daten verarbeiten, unterliegen auch Pflichten aus dem DA.<\/li><li><strong>Erstellung einer Daten\u00fcbersicht:<\/strong>&nbsp;Wer verpflichtet ist, Zugang zu Informationen zu gew\u00e4hren, sollte sich zun\u00e4chst einen \u00dcberblick verschaffen, welche Daten vorhanden sind. Daf\u00fcr kann das Verzeichniss der Verarbeitungst\u00e4tigkeiten (Art. 30 DSGVO) hilfreich sein.<\/li><li><strong>Kl\u00e4rung des Personenbezugs<\/strong>: Es muss pr\u00e4zise dargelegt werden k\u00f6nnen, ob ein Datum nichtpersonenbezogen ist und deshalb offengelegt werden muss, oder ob es personenbezogen ist und deshalb gegebenenfalls zur\u00fcckgehalten werden muss.<\/li><li><strong>Kennzeichnung von Gesch\u00e4ftsgeheimnissen<\/strong>: Datenschutz ist nicht der einzige m\u00f6gliche Hinderungsgrund, der einem Datenzugang entgegenstehen kann.<\/li><li><strong>Einrichten von Schnittstellen<\/strong>: Wenn es \u201erelevant und technisch durchf\u00fchrbar, sind die vernetzte Produkte grunds\u00e4tzlich so zu konzipieren, dass NutzerInnen einfach auf die von ihnen generierten Daten zugreifen, sie nutzen und teilen k\u00f6nnen.<\/li><li><strong>Vorbereiten von Vertr\u00e4gen<\/strong>&nbsp;(insbesondere Lizenzvertr\u00e4ge und ggf. Einwilligungen): Wer k\u00fcnftig zum Abschluss von Lizenzvertr\u00e4gen mit NutzerInnen und Datenempf\u00e4ngerInnen verpflichtet ist, sollte entsprechende Muster vorbereiten.<\/li><li><strong>Die Gew\u00e4hrleistung von Transparenz<\/strong>: DA enth\u00e4lt Informationspflichten unter anderem bei Vertragsschluss \u00fcber ein vernetztes Produkt, die den Datenschutzinformationen nach Art. 13 DSGVO \u00e4hneln.<\/li><\/ol>\n\n\n\n<p>Der Data Act bringt signifikante \u00c4nderungen f\u00fcr Unternehmen mit sich. Das Zusammenspiel mit der DSGVO erfordert eine pr\u00e4zise Beurteilung des Personenbezugs von Daten und die Sicherstellung einer rechtm\u00e4\u00dfigen Datenverarbeitung.<br>Eine fr\u00fchzeitige Auseinandersetzung mit den neuen Pflichten und die Einbeziehung der Datenschutzbeauftragten in Unternehmen sind entscheidend, um die Anforderungen des DAs und die Einhaltung des Datenschutzes gleicherma\u00dfen zu gew\u00e4hrleisten<\/p>\n\n\n\n<p><br>Wir vom ePrivacy-Team unterst\u00fctzen Sie gerne bei der Implementierung des Data Acts.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der Hamburgische Beauftragte f\u00fcr Datenschutz und Informationsfreiheit (HmbBfDI) hat die Orientierung mit der Handreichung \u201eDer Data Act als Herausforderung f\u00fcr den Datenschutz\u201c<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=2387&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2387"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2387"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2387\/revisions"}],"predecessor-version":[{"id":2388,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/2387\/revisions\/2388"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}