Zum Hauptinhalt springen

EU-Datenstrategie: Umsetzung regulatorischer Vorgaben

Festlegung der richtigen Verantwortlichkeiten bei der Umsetzung europäischer Daten- und KI-Initiativen

Die EU reagiert mit einer eigenen Datenstrategie sowie einer Reihe von Gesetzen und Gesetzesentwürfen auf die zunehmende Bedeutung der Datenökonomie. Dabei umfasst die EU-Datenstrategie neben der bereits bekannten EU-DSGVO zum Schutz von personenbezogenen Daten auch den Digital Services Act und den Digital Markets Act (seit November 2022 in Kraft). Im Jahr 2023 sieht der Gesetzgeber die Umsetzung weiterer Vorhaben vor, wie z.B. den Data Act und den EU AI Act. Für Unternehmen entsteht somit Handlungsbedarf.

Die EU-Datenstrategie bringt eine Vielzahl neuer Gesetze mit sich, die einen Großteil der Unternehmen betreffen, die in irgendeiner Form mit Daten zu tun haben. Für eine effiziente und effektive Umsetzung dieser Gesetze in den Unternehmen ist eine entsprechende Zuständigkeit unabdingbar. Im Rahmen unseres Whitepapers zur EU-Datenstrategie bieten wir eine Orientierungshilfe zur Auswahl der geeigneten Verantwortlichkeiten unter Berücksichtigung der üblicherweise infrage kommenden Abteilungen einer Organisation. Anhand einer Scorecard zeigen wir auf, welche Abteilungen sich für die Umsetzung der Gesetze aus der EU-Datenstrategie eignen und was bei der Auswahl zu berücksichtigen ist.

Die Gesetze der EU-Datenstrategie und ihre Zielsetzung


Die Anpassung an den technologischen Fortschritt erfordert von den Unternehmen, die damit einhergehenden Vorschriften einzuhalten. In vielen Fällen ist die Umsetzung dieser Regulatorik mit einigen Herausforderungen verbunden, wie viele Unternehmen bereits 2018 bei der Umsetzung der EU-Datenschutzgrundverordnung erfahren mussten. Während die Datenschutzgrundverordnung zum Schutz personenbezogener Daten bereits seit 2018 wirksam ist und schon in vielen Unternehmen umgesetzt wird, folgte die Regulatorik von 2019 mit der Verordnung für den freien Verkehr nicht personenbezogener Daten in der EU. Ziel dieser Verordnung ist es, den freien Datenfluss nicht-personenbezogener Daten zu unterstützen.

Seit 2022 liegen eine ganze Reihe von Gesetzesentwürfen sowie bereits in Kraft getretene Gesetze vor, die zum Teil bereits anzuwenden sind. Der Digital Market Act zur Regulierung der Gatekeeper und zum Schutz gegen Marktmissbrauch von Daten ist beispielsweise 2022 in Kraft getreten und zumindest teilweise seit 2023 anzuwenden. Gleiches gilt für den Data Governance Act, der ein Rahmenwerk für die Forderungen der kollaborativen Nutzung von Daten schaffen soll. Daneben ist der Digital Services Act zum Schutz von Verbrauchern im digitalen Umfeld ebenfalls seit 2022 in Kraft, ist aber teilweise ab 2023 und teilweise erst ab 2024 anzuwenden. Für das Jahr 2023 sind mit dem EU Data Act zur Förderung fairer und transparenter Datenökonomie und mit dem EU AI Act zum Schutz gegen die Risiken der Künstlichen Intelligenz noch zwei weitere wichtige europäische Gesetze im Kontext der EU-Datenstrategie geplant.

Die Herausforderungen bei der Umsetzung neuer datenbezogener Gesetze


In vielen Unternehmen werden viele der regulatorischen Vorgaben aus der EU-Datenstrategie bereits intensiv diskutiert. Insbesondere mit Blick auf den EU Data Act oder den EU AI Act werden bereits Gutachten erstellt und Risiken beleuchtet. Dennoch zeigen sich die Herausforderungen für Unternehmen bei der Umsetzung von koordinierten Maßnahmen und Programmen, um den regulatorischen Anforderungen fristgerecht Sorge zu tragen. In vielen Fällen lässt sich beobachten, dass viel diskutiert und nur wenig gehandelt wird. Häufig sind neue Gesetzgebungen bereits weit im Voraus bekannt, aber die Umsetzung scheitert daran, dass noch keine eindeutige Verantwortung zugewiesen wurde.

Die richtige Verantwortung für die Umsetzung datenbezogener Gesetze


In unserem Whitepaper beleuchten wir die Vor- und Nachteile einzelner Abteilung bei der Umsetzung regulatorischer Vorgaben aus der EU-Datenstrategie. Mit einer methodischen Vorgehensweise zeigen wir auf, welche Rolle inwieweit von welchen Anforderungen aus der EU-Datenstrategie betroffen ist, welche inhaltliche sowie strukturelle Nähe besteht und inwiefern in der entsprechenden Rolle überhaupt eine budgetäre und kapazitäre Projektmöglichkeit besteht. Darüber hinaus betrachten wir, inwiefern verschiedene Abteilungen und Rollen aufgrund ihrer organisatorischen Ausrichtung oder in Anbetracht ihrer Berichtslinie für eine entsprechende Umsetzung solcher Projekte geeignet sind. Vor diesem Hintergrund haben wir unsere Ergebnisse formuliert.

Laden Sie hier unser Whitepaper zur EU-Datenstrategie herunter. Bei Fragen zu einzelnen Gesetzen aus der EU-Datenstrategie oder bei Bedarf zur Unterstützung der Umsetzung stehen unsere Expertinnen und Experten jederzeit gerne zur Verfügung.

Datendrehbuch: Wie der Data Act Nutzern die Hauptrolle gibt


In der heutigen digitalen Zeit sind Daten der Dreh- und Angelpunkt aller wirtschaftlichen Prozesse und eine wesentliche Zutat für Wertschöpfung. Allein in den vergangenen 18 Monaten haben sich die weltweiten Datenvolumina nahezu verdoppelt. Schon 2018 wurden global mehr als 33 Zettabyte (33.000.000.000.000.000.000.000 Bytes) von Daten erzeugt und es ist davon auszugehen, dass diese Zahl sich bis zum Jahre 2025 auf 175 Zettabyte erhöhen wird. 1

Dadurch ergeben sich vielfältige Nutzungsmöglichkeiten, da beinah jedes moderne Gerät Daten sammelt, bisher ist jedoch nur unklar war, wer auf diese Daten zugreifen, und sie nutzen kann, wodurch hauptsächlich die Hersteller profitierten. Dieses Potential hat auch der europäische Gesetzgeber erkannt und strebt durch neue EU-weite Gesetzgebungen einen einfachen Austausch und faire Wertschöpfung aus Daten an. So wurde im Februar 2022 dem Europäischen Parlament eine Vorschlagsversion des Data Acts vorgelegt, worüber inzwischen am 28. Juni 2023 auch eine politische Einigung erzielt wurde. Das Gesetz unterliegt nur noch der förmlichen Genehmigung und tritt nach seiner Annahme und Veröffentlichung nach 20 Monaten in Kraft.

Es wird erwartet, dass der Data Act dazu in der Lage ist, die Rechtssituation im Bereich der Datenökonomie für folgende Beteiligte von Grund auf zu verändern:

Dreiecksmodell

Abhängig vom Use Case, können unterschiedliche Rollen innerhalb des Dreiecks eingenommen werden

Was im ersten Moment kompliziert aussieht, kann durch zwei Beispiele einfach erklärt werden: 

Es gibt einen Produzenten eines Produkts, das Daten erzeugt und sammelt, auf diese aber nur er als Dateninhaber vollen Zugriff hat. Das kann im privaten Bereich eine Smart-Watch sein oder in einem Unternehmen, als Teil der Smart Factory, ein Sensor in der Produktion. Sowohl die Privatperson als auch das Unternehmen sind die Nutzer, die das Gerät besitzen, jedoch meistens nicht die volle Kontrolle über die von ihnen erzeugten Daten haben. So kann die Privatperson nur die vom Hersteller vorgegeben Funktionen der Smart Watch nutzen und das Unternehmen muss sich beispielsweise für Reparaturen immer an den Hersteller wenden. Hier greift nun der Data Act mit dem Ziel die Innovations- und Wettbewerbsfähigkeit von innerhalb der Europäischen Union zu stärken. Das Unternehmen kann bald vom Produzenten Zugriff auf alle seine Daten fordern, um innovative Angebote anderer Unternehmen wahrzunehmen – die Empfänger von Daten. Die Privatperson kann, auf die von seiner Smart Watch erhobenen Daten voll zugreifen und einfach zwischen verschiedenen Anbietern von Apps wechseln. Zudem sollen neue Interoperabilitäts-Vorschriften den Weg zum schnellen und günstigeren Wechsel zwischen Cloud-Anbietern eröffnen. 

Weitere beispielhafte Use-Cases für die Nutzung der neuen Daten sind zudem:

  • Optimierung des Werksbetriebs: Fabriken, Farmen und Bauunternehmen werden in der Lage sein, Betriebszyklen, Produktionslinien und Supply Chain Management zu optimieren, auch basierend auf maschinellem Lernen.2
  • EU-Unternehmen, insbesondere KMU, werden mehr Möglichkeiten haben, auf der Grundlage von Daten, die sie aufgrund des Zugangs zu Daten und der Übertragbarkeitsrechte erzeugen, zu konkurrieren und Innovationen zu entwickeln.2
  • Nutzer von vernetzten Produkten können sich für einen günstigeren Reparatur- und Wartungsanbieter entscheiden – oder sie selbst warten und reparieren. Auf diese Weise würden sie von niedrigeren Preisen auf diesem Markt profitieren und die Lebensdauer der Produkte wird erhöht.2

Im digitalen Zeitalter voller Verpflichtungen, wie dem Datenschutz, oder Herausforderungen, wie der Cybersicherheit, bietet der Data Act einige Chancen. Um diese zu nutzen, braucht es ein tiefes Verständnis des Data Acts und der eigenen Rechte und Verpflichtungen. 

Als Produzent muss ich z.B. bald schon im Vertrag transparent über die Datenerhebung informieren und langfristig als „Access by Design“ direkt Daten-Schnittstellen in die Geräte einbauen.

Als Nutzer muss ich z.B.  wissen, ob und wie ich auf die Daten zugreifen kann und was für innovative Dienstleistungen mir jetzt offenstehen.

Für Empfänger sind insbesondere die Verpflichtungen interessant, z.B. wie können sie an die Daten kommen und was müssen sie in der Nutzung einhalten.

Abschließend zusammengefasst klingen die Ziele des Data Acts ambitioniert und wegweisend zugleich: Gerechte Verteilung der Kapazitäten, um auf bedeutende digitale Daten aufzubauen und die Wertschöpfung voranzutreiben - dabei wird durch klare Zugriffsrechte für Kohärenz gesorgt und bestehende Verpflichtungen zum Datenzugriff unberührt gelassen. Unternehmen erhalten erhöhte Rechtssicherheit, Verbraucher Transparenz und Zugangskontrolle über ihre generierten Daten. Der Data Act eliminiert vertragliche Ungleichgewichte und schützt KMUs vor missbräuchlichen Klauseln. Neue Vorschriften eröffnen zudem den Weg zu effektivem Wechsel zwischen Datenverarbeitungsdiensten und somit Interoperabilität innerhalb des europäischen Cloud-Marktes. In dieser Ära des datengetriebenen Wandels dürfen Unternehmen nicht nur auf die Chancen des Data Acts blicken, sondern sollten diese aktiv wahrnehmen. 

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback

Wenn Sie helfen möchten, Deloitte.com weiter zu verbessern, füllen Sie bitte folgendes aus: 3-min-Umfrage