Das europäische Datenschutzgesetz tritt am 12. September 2025 in Kraft

Am 12. September 2025 trat die neue Verordnung über den Zugang zu und den Austausch von Daten, der „Data Act“, in Kraft. Seit diesem Tag müssen die Mitgliedstaaten alle sich aus der Verordnung ergebenden Verpflichtungen vollständig umsetzen. Die Verordnung wird durch weitere EU-Rechtsakte ergänzt – insbesondere durch den Data Governance Act, der sich mit Regelungen für den freiwilligen Datenaustausch befasst, und natürlich auch durch die DSGVO, die den Schutz personenbezogener Daten regelt.

„Eine große Frage wird auch sein, wo die Grenze zwischen personenbezogenen und nicht personenbezogenen Daten zu ziehen ist. In der Praxis arbeiten wir oft mit kombinierten Datensätzen, und es ist nicht einfach zu unterscheiden, was noch unter die DSGVO fällt und was nicht. Ein weiteres Problem ist der Schutz von Geschäftsgeheimnissen und geistigem Eigentum. Einerseits fördert die Gesetzgebung Offenheit und Austausch, andererseits müssen wir Innovationen und das Know-how von Unternehmen schützen. Unklarheiten gibt es auch im Bereich der Sanktionen – da diese von den einzelnen Mitgliedstaaten festgelegt werden, können sie sich nicht nur in der Höhe der Geldbußen, sondern auch in der Auslegung unterscheiden. Daher ist es wichtig zu beobachten, wie sich der Data Act genau auf das tschechische Recht auswirkt. Und schließlich dürfen wir die internationalen Auswirkungen nicht vergessen – der Data Act betrifft auch Unternehmen außerhalb der EU, die auf dem europäischen Markt tätig sind, und auch diese müssen mit Kontrollen und möglichen Sanktionen rechnen.“

Der Data Act ist ein wichtiger Schritt, damit die EU nicht nur ein Wirtschaftsraum mit offenen Daten ist, sondern auch ein Ort, an dem der Datenaustausch fair geregelt ist, unter Berücksichtigung des Schutzes von Rechten, Innovation und Wettbewerb. Für Unternehmen ist dies eine Herausforderung, aber auch eine Chance – wer die Veränderungen rechtzeitig bewältigt, kann sich einen Wettbewerbsvorteil verschaffen. Verbraucher sollten mehr Rechte, mehr Kontrolle und ein breiteres Angebot an Dienstleistungen erhalten.

Lassen Sie uns das Thema genauer betrachten:

Was sind die wichtigsten Elemente des Data Act?

Recht auf Zugang zu Daten Der Nutzer eines Geräts oder einer Dienstleistung (z. B. eines intelligenten Haushaltsgeräts oder eines industriellen Sensors) hat das Recht, die von diesem Gerät erzeugten Daten zu erhalten. Wenn diese nicht in Echtzeit verfügbar sind, muss der Hersteller sie unverzüglich und kostenlos zur Verfügung stellen.
Möglichkeit der Weitergabe von Daten an Dritte Der Nutzer kann seine Daten an andere Unternehmen weitergeben, beispielsweise an einen unabhängigen Dienstleister. Dies eröffnet Raum für mehr Dienstleistungen und einen faireren Wettbewerb.
Schutz kleiner Unternehmen Die kleinsten Unternehmen (Kleinst- und Kleinunternehmen) sind von den Verpflichtungen ausgenommen, damit sie nicht durch neue Kosten gefährdet werden.
Entschädigung für die Bereitstellung von Daten Wenn Daten von Dritten genutzt werden, kann deren Inhaber eine faire und angemessene Vergütung erhalten. Die Regeln sollen Diskriminierung oder Missbrauch verhindern.
Faire Vertragsbedingungen Der Data Act schützt kleine und mittlere Unternehmen vor unfairen Verträgen, die ihnen von stärkeren Partnern aufgezwungen werden könnten. Darüber hinaus plant die EU Mustervertragsklauseln.
Datenaustausch mit öffentlichen Einrichtungen In Ausnahmefällen (z. B. Naturkatastrophen, Pandemien) sind Unternehmen verpflichtet, den staatlichen Behörden die erforderlichen Daten schnell und kostenlos zur Verfügung zu stellen.
Einfacherer Wechsel zwischen Cloud-Anbietern Kunden können einfach und ohne Strafen zu einem anderen Cloud-Dienstleister wechseln, wodurch die sogenannte „Vendor Lock-in“ eingeschränkt werden soll.
Schutz vor unbefugtem Zugriff aus dem Ausland Strenge Vorschriften sollen verhindern, dass in der EU gespeicherte personenbezogene Daten unter Verstoß gegen europäisches Recht an Regierungen außerhalb der EU weitergegeben werden.
Überarbeitung der Datenbankrechte Datenbanken, die aus von IoT-Geräten generierten Daten erstellt wurden, werden nicht durch ein spezielles Sui-generis-Recht geschützt, damit die Daten besser genutzt werden können.
Ausgewogenheit zwischen geistigem Eigentum und Geschäftsgeheimnissen Der Data Act ändert weder die Regeln zum geistigen Eigentum noch zum Schutz von Geschäftsgeheimnissen, legt jedoch klar fest, dass die Verpflichtung zur Weitergabe von Daten diese Rechte nicht verletzen darf.

Mit welchen Sanktionen müssen Unternehmen rechnen, wenn sie ihren Verpflichtungen nicht nachkommen?

Die Mitgliedstaaten legen ihre eigenen Regeln für Sanktionen fest. Diese müssen wirksam, verhältnismäßig und abschreckend sein.

Bei der Verhängung von Sanktionen sind Faktoren wie die Art, Schwere, Ausmaß und Dauer des Verstoßes zu berücksichtigen.

Art, Schwere, Umfang und Dauer des Verstoßes
die Maßnahmen, die der Verantwortliche zur Minderung oder Behebung des Schadens ergriffen hat
frühere Verstöße
finanzielle Vorteile aus dem Verstoß oder Kosteneinsparungen
sonstige mildernde oder erschwerende Umstände
Umsatz des Verantwortlichen in der Union im vorangegangenen Geschäftsjahr

Jeder EU-Mitgliedstaat muss bis zum 12. September 2025 festlegen, welche Sanktionen bei Verstößen gegen die Verordnung in seinem Land verhängt werden.

Wie ist der aktuelle Stand der Sanktionsvorschriften in der Tschechischen Republik?

Das Ministerium für Industrie und Handel gibt auf seiner Website bekannt, dass es die Umsetzung des Data Act vorbereitet.
Die Datenschutzbehörde (ÚOOÚ) sollte in die Überwachung der Einhaltung der Vorschriften einbezogen werden, insbesondere in Fällen, die personenbezogene Daten betreffen.

Was ist noch nicht konkretisiert?

Bislang ist kein konkretes tschechisches Gesetz bekannt, das die genauen Tatbestände von Verstößen gegen den Data Act oder die Höhe der im Rahmen der Tschechischen Republik zu verhängenden Geldbußen definiert.
Es wurden noch keine Vorschläge veröffentlicht, wie hoch die Sanktionen in der Tschechischen Republik für verschiedene Arten von Verstößen sein könnten und ob sie wie bei der DSGVO (z. B. prozentualer Anteil des Umsatzes) definiert, festgesetzt oder eine Kombination sein werden.
Es ist auch noch nicht klar, welche tschechischen Gerichte/Behörden oder Kontrollinstanzen die Aufsicht in bestimmten Bereichen übernehmen werden, wenn es sich nicht um personenbezogene Daten handelt.

Welche Auswirkungen hat die neue Verordnung auf Organisationen und Verbraucher?

Organisationen sollten sich auf folgende Bereiche konzentrieren:

Überarbeitung von Verträgen: Verträge über den Verkauf, die Vermietung oder die Bereitstellung von IoT-/vernetzten Produkten müssen klar definieren, wer Zugriff auf welche Daten hat, in welchem Format, ob eine Weitergabe an Dritte möglich ist und unter welchen Bedingungen.
Technische Bereitschaft: Es muss möglich sein, Daten zu extrahieren (zu exportieren), Interoperabilität und Datenschutz sowie Geschäftsgeheimnisse zu gewährleisten und sicherzustellen, dass Produkte/Dienstleistungen über Schnittstellen (APIs) oder andere Mechanismen verfügen, die den Datenzugriff ermöglichen.
Sicherheit & Schutz (Geschäftsgeheimnisse, geistiges Eigentum): Wenn Daten im Zusammenhang mit dem IoT und damit verbundenen Diensten verarbeitet werden, enthalten sie oft sensible Informationen (für geistiges Eigentum, Know-how). Unternehmen müssen Maßnahmen zum Schutz von Geschäftsgeheimnissen vorbereiten, die jedoch die Erfüllung gesetzlicher Verpflichtungen nicht behindern.
Strategie für öffentliche Anfragen: Seien Sie bereit zu reagieren, wenn Behörden in Notfällen oder im öffentlichen Interesse Daten anfordern – einschließlich eines Verfahrens zur Feststellung, ob die Anfrage legitim, schriftlich und rechtskonform (Anonymisierung, Minimierung) ist usw.
Einhaltung der DSGVO: Personenbezogene Daten fallen weiterhin unter die DSGVO – wenn also der Data Act den Zugriff oder die Weitergabe von Daten verlangt, müssen Unternehmen gleichzeitig sicherstellen, dass die Anforderungen der DSGVO erfüllt sind (z. B. Rechtsgrundlage für die Verarbeitung, Zweck, Informationen für die betroffenen Personen usw.).

„Der Data Act bringt eine Reihe neuer Verpflichtungen für Unternehmen mit sich, auf die sie sich gut vorbereiten müssen. Technisch gesehen wird dies ein komplexer Prozess sein – der Export und die Weitergabe von Daten, Interoperabilität, APIs oder verschiedene Formate erfordern Investitionen in Systeme.“

Für Verbraucher ergeben sich aus der neuen Gesetzgebung vor allem Vorteile:

Mehr Kontrolle über die eigenen Daten: Wenn Sie ein Gerät mit Internet der Dinge (IoT) besitzen, haben Sie das Recht auf die Daten, die das Gerät generiert – Sie können diese Daten einsehen und nach eigenem Ermessen an Dritte weitergeben.
Möglichkeiten für neue Dienste: Reparaturdienste, Aftermarket-Service, Analyseanwendungen oder datenbasierte Dienste – Verbraucher können von einem größeren Angebot und mehr Wettbewerb profitieren.
Mehr Transparenz: Die Bedingungen werden klarer, Verträge müssen angeben, was du bekommst, wie und wann du zu einem anderen Dienstleister wechseln kannst, welche Rechte du hast – weniger Überraschungen.
Schutz vor unlauteren Praktiken: Wenn beispielsweise die stärkere Partei (Hersteller, großes Unternehmen) einseitige Vertragsbedingungen vorschreibt, die für den Verbraucher nachteilig sind, legt der Data Act einen Rahmen fest, um zu prüfen, ob eine Vertragsbedingung „unfair” ist, und wenn ja, kann sie ungültig sein.

„Die vollständigen Auswirkungen des Data Act werden sich vor allem bei neuen Produkten und Dienstleistungen zeigen, die ab 2026 auf den Markt kommen. Erst dann werden wir sehen, wie grundlegend er die Praxis von Herstellern und Dienstleistern beeinflussen wird. Eine große Unbekannte bleibt die Beziehung zum amerikanischen Cloud Act, der amerikanische Unternehmen verpflichtet, Daten auch außerhalb der USA an Regierungsbehörden weiterzugeben. Es ist unklar, wie beide Rechtsvorschriften miteinander in Einklang gebracht werden und ob es zu Rechtskonflikten kommen wird.“