HmbBfDI veröffentlicht Handreichung zum Data Act – mit To-do-Liste
Geschrieben von Miriam Harringer, veröffentlicht am 26.06.2025Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat eine praxisorientierte Handreichung zum EU‑Data‑Act veröffentlicht, die ab dem 12. September 2025 gilt. Für Unternehmen liefert sie konkrete To‑dos und erläutert zugleich das Spannungsverhältnis zum bestehenden Datenschutzrecht. Besonders gut dargestellt im Handout: die Beispiele aus der Praxis.
Hinweise für Unternehmen: Das müssen Sie wissen
Unternehmen von vernetzten Geräten sollten zunächst klar definieren, ob sie dem Anwendungsbereich des Data Act unterliegen – als Hersteller, Dateninhaber, -nutzer oder Cloud‑Anbieter. Als zentraler Schritt gilt die Erstellung einer umfassenden Datenübersicht: Welche Daten liegen an – personenbezogen, oder nicht? Hier hilft zumindest in Teilen das Verzeichnis der Verarbeitungstätigkeiten gemäß DSGVO als Ausgangspunkt.
Im nächsten Schritt ist sorgfältig zu prüfen, ob Daten personenbeziehbar sind. Der Data Act erlaubt zwar grundsätzlich Datenzugang, jedoch nur unter Berücksichtigung der DSGVO ‑ bei Widersprüchen hat letztere Vorrang. Besonders bei Mischdatensätzen sollten Unternehmen personenbezogene Daten von nicht‑personenbezogenen trennen.
Zudem gibt es technische Anforderungen: Wo „relevant und technisch durchführbar“, sollte eine Schnittstelle bereitstehen, und der Zugang gegen unbefugten Zugriff muss gesichert sein. Auch Lizenzverträge für anonymisierte Datenzugriffe müssen früh vorbereitet und rechtlich abgesichert werden.
Darüber hinaus empfiehlt der HmbBfDI, Geschäftsgeheimnisinteressen zu dokumentieren, um berechtigten Schutz vor Herausgabeansprüchen zu behalten. Ebenso sollten Informationspflichten umgesetzt werden, analog zu Art. 13 DSGVO, also klare Hinweise an Käufer und Nutzerinnen der Geräte.
Datenschutz vor Datenteilung
Die Handreichung des HmbBfDI liefert Unternehmen eine To‑do‑Liste:
- Anwendungsbereich prüfen,
- Dateninventar anlegen,
- Personenbezug klären,
- Schnittstellen aufbauen,
- Lizenz‑ und Informationspflichten regeln
- sowie Geschäftsgeheimnisse schützen.
Entscheidend bleibt dabei die Balance zwischen dem neuen Zugangsrecht und der bestehenden DSGVO‑Compliance – denn bei Konflikten gilt: Datenschutz vor Datenteilung. Wer diese Hausaufgaben jetzt angeht, stellt sich rechtssicher und strategisch auf den Start im September 2025 ein.
Sprechen Sie uns gerne an, bei Fragen zu HmbBfDI veröffentlicht Handreichung zum Data Act – mit To-do-Liste
Miriam Harringer,
Medien- und Kulturmanagerin sowie Redakteurin.
Auf unserem Blog schreibt sie Artikel für die Themenbereiche Datenschutz, Informationssicherheit und Künstliche Intelligenz.
Weitere Artikel
- Datenschützer prüfen DeepSeek
- Ab wann muss ich eine Datenschutzpanne der Aufsichtsbehörde melden?
- Welche Daten sammeln VR-Brillen für welche Zwecke?
- Google Chrome: So prüfen Sie die Version und schließen Sicherheitslücken
- Palantir: 5 Fragen und Antworten zur umstrittenen US-Analysesoftware
- WhatsApp-Communitys im Unternehmen nutzen: Vorsicht vor datenschutzrechtlichen Risiken
Verwandte Artikel
- Darum zahlen Behörden keine Bußgelder
- Europäische Datenanalyse-Software anstatt US-Firma Palantir
- Das Daten-Governance-Gesetz (DGG) ist in Kraft: Neue Aufgaben für die Bundesnetzagentur
- Microsofts neue Datenschutz-Hilfen: Wie dokumentieren Verantwortliche den KI-Einsatz rechtssicher?
- Welche Daten sammeln VR-Brillen für welche Zwecke?
- Dashcams im Auto: Welche Bußgelder drohen bei DSGVO-Verstößen?