EU Data Act & Co: Neue gesetzliche Basis für Datenplattformen und digitale Services

Wer sich mit der praktischen Umsetzung von Data Analytics-Konzepten und dem Aufbau von Datenplattformen befasst, sollte die zukünftigen rechtlichen Rahmenbedingungen von Anfang an in seiner Datenstrategie mitberücksichtigen. Wir geben einen Überblick über neue Gesetzgebungen, die als Teil der EU-Digitalstrategie schon heute wichtig sind. Relevant sind da vor allem der Cyber Resilience Act, der EU Data Act und der Artificial Intelligence Act.

EU Fahne bestehend aus Binärcode-Listen

Wenn Sie eine Datenplattform basierend auf dem Data Lakehouse-Konzept in Erwägung ziehen, sollten Sie deren Auswirkungen kennen und in der Planung berücksichtigen. Grundsätzlich machen diese Gesetze klar, wie wichtig ein ganzheitlicher und proaktiver Ansatz für eine moderne Datenstrategie ist. Ihre Einhaltung ist für ein Unternehmen aus mehreren Gründen entscheidend. Zum Beispiel für ein effizientes Risikomanagement, um rechtliche und finanzielle Konsequenzen zu vermeiden oder die Reputation zu schützen. Der Aufbau einer Datenstrategie, die mit den neuen Gesetzen in Einklang steht, fördert zudem verantwortungsvolle Innovationen. In einem Markt, in dem Partner und Verbraucher immer mehr Wert auf Datenschutz und ethische KI legen, bedeutet das einen klaren Wettbewerbsvorteil.

Relevant sind vor allem die drei EU-Verordnungen Cyber Resilience Act, Data Act und der Artificial Intelligence Act. Zusammen bilden sie einen umfassenden Rahmen mit dem Ziel, die rechtlichen Herausforderungen zu bewältigen, die sich unter anderem aus den rasanten Entwicklungen des Internet of Things ergeben. Hier ein Überblick:

Der EU Cyber Resilience Act:

Dieses Gesetz konzentriert sich auf die Verbesserung der allgemeinen Cybersicherheitslage von Geräten und Systemen. Es tritt nach aktuellem Stand 2024 in Kraft und betrifft damit auch alle Produkte, die sich heute in einer frühen Konzeptphase befinden oder bereits entwickelt werden. Die Auswirkungen umfassen:

  • Sicherheit durch Design und Standard: Unternehmen müssen die Sicherheit ihrer Datenplattform von Anfang an in ihre Strategie integrieren. Dies beinhaltet die Verwendung von Verschlüsselung, sicherer Authentifizierung und regelmäßigen Software-Updates, um Schwachstellen zu beseitigen.
  • Meldung von Vorfällen: Das Gesetz schreibt die Meldung von Cybersicherheitsvorfällen vor. Unternehmen benötigen zudem Pläne zur Reaktion auf Vorfälle und müssen Probleme umgehend beheben.
  • Zertifizierungsregelungen: Das Gesetz führt Zertifizierungssysteme für IoT-Geräte ein, um deren Einhaltung definierter Sicherheitsstandards zu bescheinigen. Ziehen Sie solche Zertifizierungen in Erwägung, um ihr Engagement für bewährte Verfahren der Cybersicherheit zu demonstrieren.

Der EU Data Act:

Mit dem EU-Datenschutzgesetz, das Anfang 2024 in Kraft trat und ab dem 12. September 2025 EU-weit direkt anwendbares Recht wird, sollen die Datenschutzgesetze innerhalb der Europäischen Union modernisiert und harmonisiert werden. Es baut auf der Allgemeinen Datenschutz-Grundverordnung (DSGVO/GDPR) auf und soll den Nutzern Kontrolle über ihre persönlichen Daten geben und ihnen ermöglichen, besser zu verstehen, wie ihre Daten genutzt werden. Zudem sollen klare Regeln für den internationalen Datenfluss und die Interoperabilität zwischen verschiedenen Datenplattformen und -formaten das Wachstum des Datenhandels in der EU fördern. Es regelt:

  • Datenschutz und Einwilligung: Das Gesetz unterstreicht die Notwendigkeit einer eindeutigen Zustimmung der Nutzer, bevor Daten übermittelt, gesammelt und verarbeitet werden. Als Unternehmen müssen Sie für Transparenz bei der Datennutzung sorgen und den Nutzern Optionen zur Kontrolle ihrer Daten bieten.
  • Datenminimierung: Das Gesetz fördert die Grundidee der Datenminimierung und verlangt, dass nur so viele personenbezogene Daten gesammelt und gespeichert werden, wie für die jeweilige Anwendung unbedingt notwendig sind.
  • Datenübertragbarkeit und -löschung: Nutzer haben das Recht, ihre IoT-generierten Daten anzufordern, um sie zum Beispiel an einen anderen Dienstanbieter zu übertragen, oder sie löschen zu lassen. Das verpflichtet Sie dazu, für eine einfache Datenübertragbarkeit zu sorgen und auf Wunsch des Nutzers, eine sichere Löschung der Daten zu gewährleisten.

Der EU Artificial Intelligence Act:

Der AI Act, der voraussichtlich 2026 in Kraft tritt, hat die Regulierung von KI-Systemen zum Ziel, einschließlich solcher, die in IoT-Geräte und entsprechende Plattformen eingebettet sind. Die wichtigsten Auswirkungen auf Daten und Sicherheit sind:

  • Hochriskante KI-Systeme: Das Gesetz identifiziert „hochriskante“ KI-Systeme, die besondere Sicherheitsvorkehrungen rechtfertigen. Anwendungen wie autonome Fahrzeuge oder das Management kritischer Infrastrukturen können unter diese Kategorie fallen. Unternehmen müssen für solche KI-gestützten Anwendungen Risikobewertungen durchführen, für Transparenz sorgen und eine menschliche Aufsicht aufrechterhalten.
  • Transparenz und Rechenschaftspflicht: Wenn KI-Systeme in Ihrer Datenplattform verwendet werden, müssen Sie sicherstellen, dass die Entscheidungen dieser Systeme transparent und erklärbar sind, um den Anforderungen des AI Act gerecht zu werden.
  • Sicherheit und Robustheit: Das Gesetz verlangt, dass KI-Systeme sicher und widerstandsfähig gegen Angriffe sein müssen. IoT-Geräte sind oft Teil miteinander verbundener Systeme, die für Cyber-Bedrohungen anfällig sind. Unternehmen müssen daher Sicherheitsmaßnahmen einführen, um sowohl die KI-Algorithmen als auch die von ihnen verwendeten Daten zu schützen.

Fazit: Klare Vorteile einer Lakehouse-Architektur

Die drei vorgestellten Gesetze werden die Nutzung und Sicherheit von Daten unter unterschiedlichen Gesichtspunkten prägen. Auch wenn sie erst in den kommenden Jahren in Kraft treten, müssen ihre Auswirkungen und ihre Einhaltung bereits jetzt bei der Planung digitaler Prozesse mitgedacht werden. Zusammengefasst zielen die Gesetze auf die Datenverwaltung, Sicherheit und Transparenz ab und sollten am besten schon heute mit bestehenden Architekturen und Produkten abgeglichen werden. Klar ist: Je einheitlicher, sicherer und einfacher Datensysteme organisiert sind, desto weniger komplex und aufwändig ist die praktische Umsetzung der neuen Anforderungen.

Eine Lakehouse-Architektur, wie die von Databricks, kann dabei wesentlich unterstützen. Sie ermöglicht es Unternehmen, Daten auf einheitliche Weise zu speichern, zu verwalten und zu analysieren, indem sie Data Engineering und Analytik zusammenführt. Zudem bietet sie Tools für Data Governance, Qualitätsprüfung oder erhöhte Cybersicherheit einer Datenplattform. 

Für Sie empfohlen

Image
2024/10/30
Case Studies

Gerolsteiner: So gelingt der Weg zur Data-Driven Factory

Wie Gerolsteiner durch eine Data Intelligence Plattform schneller, effizienter und flexibler wird.
Image
2024/10/17
News

NIS-2, AI Act und Co.: Wie die EU-Digitalstrategie die datengesteuerte Wirtschaft vorantreibt

Ein Überblick über die wichtigsten Digitalgesetze und ihre Auswirkungen auf die Unternehmen.
Image
2023/12/19
News

Digitalisierung: mit IoT-Beratung die Datenstrategie voranbringen

Wie lassen sich IoT und Data Use Cases erfolgreich umsetzen?