Seit einem Monat ist der Data Act – die Datenverordnung – nun rechtlich wirksam und soll die Datenwirtschaft und Innovationskraft innerhalb der EU stärken. Die neuen Vorschriften sollen unter anderem einen angemessenen Datenaustausch und eine bessere Dateninteroperabilität fördern, um den Wechsel zwischen Cloud-Anbietern zu erleichtern und Nutzern die Möglichkeit zu geben, ihre Daten mit Dritten teilen zu können.
Letzteres betrifft „vernetzte Produkte“, also physische Geräte, die Produktdaten über ihre Leistung, Nutzung oder Umgebung generieren und diese übertragen können, wie beispielsweise Smartphones, Smartwatches, smarte Kühlschränke, Waschmaschinen sowie andere „smarte“ Haushaltsgeräte und Industriemaschinen.
Dazu gehören auch Drohnen und vernetzte Autos – im Grunde also alle Produkte, die zum „Internet of Things“ (IoT) gezählt werden, solange ihre Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen jemand anders als dem Nutzer / der Nutzerin ist.
Vernetzte Produkte = Alle physische Geräte, die Produktdaten über ihre Leistung, Nutzung oder Umgebung generieren und diese übertragen können und die zum „Internet of Things“ (IoT) gezählt werden, solange ihre Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen jemand anders als dem Nutzer / der Nutzerin ist.
Sogenannte „verbundene Dienste“ sind mit einem vernetzten Produkt untrennbar verbunden, für dessen wesentliche Funktion notwendig und müssen bereits zum Zeitpunkt des Kaufs, der Miete oder des Leasings des vernetzten Produkts bereitgestellt werden.
Neue Zugangsrechte und Weitergaberechte für IoT-Nutzer:innen
Die Idee ist, dass Nutzer nicht mehr bloß passive Datenlieferanten sind, sondern aktive Kontrolle und Wahlfreiheit über ihre Daten erhalten. „Vernetzte Produkte“ und „verbundene Dienste“ müssen daher so konzipiert werden, dass die Produktdaten und verbundenen Dienstdaten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer / die Nutzerin einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.
Falls dieser direkte Zugriff auf die Daten vom vernetzten Produkt oder verbundenen Dienst nicht möglich ist, müssen Dateninhaber dem Nutzer/ der Nutzerin jene Produktdaten und verbundene Dienstdaten bereitstellen. Allerdings nur jene Daten, die der Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.
Diese Bereitstellung muss unverzüglich und wiederum einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit erfolgen. Zudem müssen die bereitgestellten Datensätze auch die zur Auslegung und Nutzung der Daten erforderlichen Metadaten enthalten. Möchte der Nutzer / die Nutzerin die Daten nicht selbst verwenden, kann er das neue Recht auf Weitergabe von Daten an Dritte ausüben.
Wichtig: Daten müssen standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt und in der gleichen Qualität wie für den Dateninhaber zur Verfügung gestellt werden.
So hätten Besitzer:innen eines „smarten“ Kühlschranks – der Daten über Temperatur, Stromverbrauch, Türöffnungen oder Lebensmittelbestand sammelt – das Recht, auf diese Daten zuzugreifen und sie weiterzugeben, z.B.: an Reparaturdienste, oder an Drittanbieter für smarte Haushaltsoptimierung, oder an Lebensmittelunternehmen, um automatisiert Nachbestellungen zu liefern. Dafür gibt es dann vielleicht Rabatte, aber reich werden sie davon wohl kaum.
Interessanter wäre es bei einem Unternehmen das vernetzte Kühlanlagen betreibt, dem der Dateninhaber alle Betriebsdaten (Temperaturverläufe, Energieverbrauch etc.) zugänglich oder bereitstellen muss. So kann das Unternehmen die Daten einem externen Energieberater zur Analyse übergeben. Darüber hinaus könnte das Unternehmen in derselben Form die Daten vom Dateninhaber auch direkt an den Energieberater weitergeben lassen.
Neben solchen Chancen wie der Effizienzsteigerung birgt der Zugang und die Weitergabe von Daten insbesondere in sensiblen Bereichen wie dem Gesundheits- und Versicherungswesen vor allem Risiken.
Neue Schnittstellen – neue Angriffsvektoren
Für Dateninhaber bedeutet der Data Act, dass technische Schnittstellen geschaffen werden müssen, damit Nutzer:innen oder berechtigte Dritte auf ihre Daten zugreifen können.
Im Hinblick auf die Informationssicherheit ist es von zentraler Bedeutung, hierbei für ausreichende Sicherheit zu sorgen. Insbesondere dürfen keine Sicherheitsanforderungen verletzt (Stichwort: Cyber Resilience Act) und keine Geschäftsgeheimnisse offenlegt werden. Gerade Schnittstellen stellen oftmals kritische Schwachstellen dar, da sie infolge von Programmierfehlern, Fehlkonfigurationen oder unzureichenden Sicherheitsvorkehrungen Einfallstore für Cyber-Angriffe sind. Unsichere Schnittstellen verschärfen die Cyber-Risiken der ohnehin anfälligen IoT-Geräte. Dann könnte einem der „smarte“ Kühlschrank schnell arm machen, wenn er aufgrund eingeschleuster falscher Daten kiloweise Lebensmittel bestellen würde.
Threat Modelling, Architecture Review und Penetration Tests sind bewährte Methoden, um Schnittstellen auf ihre Sicherheit zu überprüfen.
Zudem sollten Dateninhaber auch sicherstellen, dass Rollen und Verantwortlichkeiten im Datenmanagement klar definiert sind.
Wenn bestimmte Daten nicht freigegeben werden müssen, kann ihr Umfang im Vertrag zwischen Nutzer:in und Dateninhaber festgelegt werden. So wissen Nutzer:innen genau, welche Daten sie an Dritte weitergeben können. Darüber hinaus ist die Implementierung eines geeigneten und verhältnismäßigen Authentifizierungsverfahrens erforderlich, das nur die notwendigen Informationen vom Nutzer / der Nutzerin zur Identifikation als Berechtigten verlangt, und andererseits in der Lage sein sollte, diesen von anderen Nutzer:innen desselben Geräts unterscheiden zu können.
Denn auch hier spielt Datenschutz eine entscheidende Rolle: Wenn die Daten personenbezogene Daten mehrerer betroffener Personen enthalten, dürfen nur die personenbezogenen Daten des jeweiligen Nutzers übermittelt werden.
Schließlich haben die Datenschutzgrundverordnung und nationalen Datenschutzgesetze gegenüber der Datenverordnung Vorrang.
Hinsichtlich der Verpflichtung zur direkten Zugänglichmachung von Produktdaten und verbundenen Dienstdaten für Nutzer:innen bleibt den Herstellern und Betreibern noch ein Jahr Zeit, da diese Anforderung erst für jene vernetzte Produkte und verbundenen Dienste gilt, die nach dem 12. September 2026 in Verkehr gebracht wurden.
Genug Zeit, um sich noch ein Geschäftsmodell für die Daten eines smarten Kühlschranks zu überlegen…
Sie möchten wissen, wie Sie Ihr Unternehmen optimal auf die Anforderungen des Data Act aus technischer und organisatorischer Sicht der Informationssicherheit vorbereiten? Die Expert:innen von CERTAINITY unterstützen Sie gerne mit maßgeschneiderten Beratungs- und Umsetzungsleistungen rund um Data Governance und IoT-Sicherheit.