Datenverordnung ist in Kraft eingetreten

Unternehmen haben bis zum 12. September 2025 Zeit, die Änderungen umzusetzen, die den fairen Zugang zu Daten und deren Nutzung für die Nutzer gemäß den Bestimmungen der Datenverordnung sicherstellen sollen.

Um einen Binnenmarkt für Daten innerhalb der EU zu verwirklichen, trat am 11. Januar 2024 die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) in Kraft.

Die Verordnung, die den Nutzern den Zugang zu den von vernetzten Geräten erzeugten Daten und den öffentlichen Stellen den Zugang zu den Ressourcen des privaten Sektors ermöglicht, wird nach einer Übergangszeit ab dem 12. September 2025 in allen Mitgliedstaaten gelten.

Für wen und was gilt die Verordnung?

Die Datenverordnung deckt ein breites Spektrum von Betroffenen ab, unter anderem:

  • Hersteller vernetzter Produkte, (eine Gegenstände, der Daten über ihren Nutzung dieses Produkts erlangen, generieren oder erheben), die in der Union in Verkehr gebracht werden
  • Anbieter verbundener Dienste (digitale Dienste, die so mit dem Produkt verbunden sind, dass das vernetzte Produkt ohne sie eine oder mehrere seiner Funktionen nicht ausführen könnte)
  • Anbieter von Datenverarbeitungsdiensten, die solche Dienste anbieten
  • Datenempfänger in der Union, denen Daten bereitgestellt werden

 

Die Verordnung gilt also nicht nur für Unternehmen, sondern auch für natürliche Personen, die keine Eingetragener Kaufmann sind. Die neu eingeführten Regelungen betreffen insbesondere die Anbieter von Cloud-Computing-Diensten wie Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Die Anbieter von Cloud-Computing-Diensten sind verpflichtet, Maßnahmen zu ergreifen, die es den Nutzern ermöglichen, den Cloud Computing-Dienst auf einfache Weise zu wechseln, einschließlich des Wechsels des Cloud Computing-Anbieters oder der gleichzeitigen Nutzung mehrerer Cloud Computing-Anbieter.

Darüber hinaus sind die Dateninhaber verpflichtet, den Nutzern die Daten zusammen mit den für die Interpretation und Nutzung der Daten erforderlichen relevanten Metadaten in der gleichen Qualität, wie sie dem Dateninhaber zur Verfügung steht, in einem allgemein gebräuchlichen, maschinenlesbaren Format und, soweit technisch möglich, fortlaufend und in Echtzeit ohne unangemessene Verzögerung auf einfache und sichere Weise zur Verfügung zu stellen.

Außerdem ist es den Anbietern von Verarbeitungsdiensten untersagt, den Nutzern Hindernisse organisatorischer, kommerzieller, vertraglicher oder technischer Art in den Weg zu legen, die u. a. die Kündigung des Dienstleistungsvertrags, den Wechsel des Anbieters, die Übertragung von Daten auf einen anderen Anbieter oder den Abschluss eines neuen Vertrags mit einem anderen Anbieter abzuschließen.

Die Rechte des Kunden und die Pflichten des Anbieters von Datenverarbeitungsdiensten müssen in einem schriftlichen Vertrag klar festgelegt werden. Der Anbieter muss dem Kunden den Vertrag vor der Unterzeichnung so zur Verfügung stellen, dass der Kunde ihn aufbewahren und vervielfältigen kann.

Darüber hinaus sind die Anbieter von Datenverarbeitungsdienstleistungen ab dem 12. Januar 2027 verpflichtet, die bisher erhobenen Wechselentgelte abzuschaffen; bis dahin sind die Anbieter nur verpflichtet, ermäßigte Entgelte zu erheben, die die Kosten, die dem Anbieter in unmittelbarem Zusammenhang mit dem jeweiligen Wechselvorgang entstehen, nicht übersteigen.

Anwendung der Verordnung und der DSGVO

Gemäß Artikel 1 Abs. 5 der Verordnung lassen die Bestimmungen der Datenverordnung das Unionsrecht und das nationale Recht zum Schutz personenbezogener Daten unberührt. Damit gelten für die Verarbeitung personenbezogener Daten nicht nur die Mechanismen der Datenverordnung, sondern auch die allgemeinen Datenschutzbestimmungen, die in der DSGVO und im Bundesdatenschutzgesetz geregelt sind. Im Falle eines Konflikts zwischen der Verordnung und der DSGVO oder dem Bundesdatenschutzgesetz hat hingegen das anwendbare Unionsrecht oder das nationale Datenschutzrecht Vorrang.

Verstöße und ihre Folgen

Es sind für Verstöße gegen der Dataverordnung bestimmte Sanktionen vorgesehen. In der Regel betragen die Bußgelder bis zu 20.000.000 EUR oder, im Falle eines Unternehmens, bis zu 4 % seines gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Grau Rechtsanwälte PartGmbB berät und unterstützt Unternehmen im Bereich des Vertriebsrechts, Arbeitsrechts und Datenschutzes als externer Datenschutzbeauftragter.

Bei weiteren Fragen wenden Sie sich bitte an unsere Kanzlei unter +49 (0) 40 180 364 020 oder office@graulaw.eu.

SIE HABEN FRAGEN ODER BENÖTIGEN UNSEREN RAT?

Sprechen Sie uns an – wir helfen Ihnen weiter.