Datenschutzmerkblatt für Interessenten, Kunden und Geschäftspartner der MAMS Consulting GmbH

im nachfolgenden: “MAMS” oder “wir” genannt

Präambel

Mit diesem Datenschutzmerkblatt ermöglichen wir unseren

  • Interessenten
  • Kunden und
  • Lieferanten bzw. Geschäftspartnern

die Möglichkeit, sich über unsere Verarbeitungstätigkeiten mit Ihren personenbezogenen Daten aufgrund unserer (anbahnenden) Geschäftsbeziehung und die Ihnen hierdurch zustehenden Rechte nach den Datenschutzgesetzen zu informieren. Diese Hinweise besitzen keinen Regelungscharakter und dienen Ihnen als Information. Sollten Sie als unser Kunde oder Geschäftspartner unsere Dienstleistungen anderen Personen zur Nutzung überlassen, verarbeiten wir auch deren Daten. Informieren Sie bitte diese Personen über den Inhalt dieses Datenschutzmerkblattes.

I. Namen und die Kontaktdaten des Verantwortlichen

MAMS Consulting GmbH, Landsberger Str. 155, 80687 München, Deutschland, Kontakt: info@pri-com.de

II. Kontaktdaten für Datenschutzfragen

Datenschutzfragen können Sie entweder an die o. g. Kontaktmöglichkeiten oder per E-Mail an dsb@pri-com.de senden.

III. Ihre Rechte als betroffene Person

Da im Zusammenhang mit der Nutzung dieser Webseite Ihre personenbezogenen Daten verarbeitet werden, stehen Ihnen gemäß der DSGVO als betroffene Person grundsätzlich folgende Rechte zu:

  • Sie haben das Recht, Auskunft über von Ihnen verarbeitete Daten zu erhalten (Art. 15 DSGVO)
  • Sie verfügen über das Recht, unrichtige personenbezogene Daten berichtigen bzw. unvollständige Daten vervollständigen zu lassen (Art. 16 DSGVO).
  • Sie verfügen über ein Recht auf Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO).
  • Sie verfügen über das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
  • Sie verfügen über das Recht auf Übertragung Ihrer personenbezogenen Daten (Art. 20 DSGVO).
  • Sie verfügen über das Recht, Ihre abgegebenen Einwilligungen in die Verarbeitung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt dabei vom Widerruf unberührt.

Sie verfügen über das Recht auf Widerspruch der Datenverarbeitung (Art. 21 DSGVO). Hierbei verfügen Sie über das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr für diese Zwecke, es sei denn, es liegen zwingende schutzwürdige Gründe für die weitere Verarbeitung vor, die Ihre Interessen, Rechten und Freiheiten überwiegen, oder die Verarbeitung dient d er Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Sollten wir Ihre personenbezogenen Daten verarbeiten, um Direktwerbemaßnahmen zu betreiben, verfügen Sie über das Recht, jederzeit Widerspruch gegen die Verarbeitung dieser personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Wir verarbeiten dann Ihre personenbezogenen Daten nicht mehr für diesen Zweck.

  • Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Wenn Sie eines der o. g. Rechte geltend machen wollen, können Sie dies tun, indem Sie sich an die o. g. Kontaktinformationen wenden.

IV. Zwecke und Rechtsgrundlagen der Verarbeitung

Im Rahmen der bestehenden vertraglichen Beziehung verarbeiten wir folgende Daten zu Ihrer Person: 

  • Anschrift (geschäftlich)
  • Bankverbindungsdaten (geschäftlich)
  • Kundennummer 
  • Nachname 
  • Vorname 
  • Ihre E-Mail-Adresse (geschäftlich)
  • Ihre Mobilfunknummer (geschäftlich)
  • Ihre Festnetznummer (geschäftlich)

Wir verarbeiten diese personenbezogenen Daten im Rahmen der datenschutzrechtlichen Vorgaben wie Folgt:

  • Um Ihre Anfrage als Interessent zu bearbeiten.
  • Um vorvertragliche Maßnahmen vorzubereiten und durchzuführen – hierzu gehört z.B. die Erstellung und Übersendung eines individuellen Angebotes oder individuelle Vereinbarung und Übermittlung von Vertragskondiktionen mit dem Ziel des Vertragsschlusses.  
  • Um Sie in unsere Kundendatenbank aufzunehmen. 
  • Um unseren vertraglichen Pflichten aus unserem Vertrag nachzukommen.
  • Um Sie über unsere Produkte und Dienstleistungen optimal zu informieren. Dazu gehört auch der Versand von Direktwerbung per E-Mail oder per Post.
  • Um eine reibungslose Abrechnung der erbrachten Leistungen zu gewährleisten.
  • Um unseren rechtlichen Pflichten nachzukommen.
  • Um Sie als unseren Interessenten, Kunden oder Geschäftspartner optimal zu betreuen
  • Zum Zweck des Newsletterversands, soweit Sie sich für unseren Newsletter angemeldet haben 
  • Zur Erfüllung nachvertraglicher Maßnahmen
  • Zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Rechtsgrundlage für diese Zwecke sind:

– Verarbeitung auf Grundlage von Einwilligungen (Art. 6 Abs. 1 S.1 lit. a) DSGVO) 
Wir verarbeiten Ihre personenbezogenen Daten, wenn Sie uns hierzu eine Einwilligung gegeben haben z. B. für die Aufnahme in unseren Newsletter oder für die Verarbeitung von besonderen Kategorien personenbezogener Daten. Sie haben jederzeit die Möglichkeit, Ihre Einwilligung ganz oder teilweise mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Weitere Informationen, z. B. zu den Zwecken und Ihren Widerrufsmöglichkeiten, erhalten Sie bei Abgabe der Einwilligung. Vertragserfüllung/Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 S.1 lit. b) DSGVO) Um einen Vertrag abzuschließen, einen bereits abgeschlossenen Vertrag zu erfüllen oder zu beenden, verarbeiten wir Ihre personenbezogenen Daten.

– Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 S.1 lit. c) DSGVO)
Wir unterliegen verschiedenen rechtlichen Vorgaben, aus denen sich eine Verpflichtung zur Verarbeitung personenbezogener Daten ergeben kann: nach Handels-, Gesellschafts-, Wettbewerbs- und Steuergesetzen, Datenschutzgesetzen sowie weiteren allgemeinen gesetzlichen Verpflichtungen (z. B. Nachweispflichten) oder behördlichen Anordnungen.

– Wahrung berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO)  Wir verarbeiten Ihre personenbezogenen Daten, wenn dies zur Wahrung unserer Interessen oder Interessen Dritter erforderlich ist und Ihre Interessen nicht überwiegen. Wir verarbeiten hierbei personenbezogene Daten zu Wahrung folgender berechtigter Interessen:

  • Einziehung, Verkauf oder Rückkauf ausstehender Forderungen (z. B. Inkassoverfahren, Verbriefungen)
  • Vorbereitung und Durchführung von Kundenzufriedenheitsumfragen und Kontaktaufnahmen zur Absatzförderung (z.B. Auswertung einiger bestimmter Bestandsdaten zur Ableitung Ihres individuellen Bedarfs, Nachrichten zu Marketingzwecken)
  • Weiterentwicklung unserer Dienstleistungen und Produkte (z. B. durch Analyse von Zusammenhängen zwischen mehreren Verträgen oder unter Einbeziehung der Ergebnisse von Kundenzufriedenheitsumfragen)
  • Absatzförderung (z. B. Kontaktaufnahme zu Marketingzwecken)
  • Entscheidung über die Aufnahme oder Änderung von Kundenbeziehungen
  • Verhinderung und Aufklärung von Straftaten und Missbrauch
  • Abwendung von Schäden unserer IT-Systeme
  • Sicherung rechtlicher Ansprüche und Verteidigung bei Rechtstreitigkeiten

V. Direktwerbung

Auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 S.1 lit. f) DSGVO) verarbeiten wir grundsätzlich

  • Ihre E-Mailadresse, um Ihnen Text- und Bild-Nachrichten über unsere Produkte zuzusenden, die Ihren bei uns erworbenen Produkten ähneln;
  • Ihre Postadresse, um Ihnen aus unserem Portfolio weitere Services und Dienstleistungen per Brief anzubieten.

VI. Empfänger personenbezogener Daten

Soweit dies für die Erfüllung der oben genannten Zwecke erforderlich ist, haben folgende Empfänger im erforderlichen Umfang Zugriff auf Ihre personenbezogenen Daten:  Wir arbeiten mit Dienstleistern (Auftragsverarbeitung) zusammen, die uns bei der Verarbeitung von Daten helfen, zum Beispiel im IT-Bereich, bei der Postbearbeitung, bei der Vernichtung von Akten oder Datenträgern, im Druck, bei Bonitätsprüfungen, Betrugsvermeidung sowie bei Werbung und Marketing. Diese Dienstleister wurden sorgfältig ausgewählt und sind vertraglich dazu verpflichtet, strenge Regeln einzuhalten, zum Beispiel zur Geheimhaltung

  • Vertriebspartner und andere Unternehmen, die uns beim Vertrieb unserer Services unterstützen
  • Banken, z. B. zur Durchführung von Lastschriftverfahren
  • Inkassounternehmen, z. B. zur Einziehung ausstehender Forderungen
  • Steuerberater/Wirtschaftsprüfer, zur Gewährleistung und Überprüfung der Buchführung der gesetzlichen Vorgaben (z. B. steuerrechtliche Vorgaben)
  • Rechtsanwälte, zur Vertretung und Durchsetzung unserer rechtlichen Interessen
  • Logistikanbieter, die für die Postzustellung eingesetzt werden

VII. Datenverarbeitungen durch Unternehmen, die in Drittländern ansässig sind 

Wir verarbeiten Ihre personenbezogenen Daten grundsätzlich nur in Deutschland und in der Europäischen Union. Manchmal können Ihre Daten aber auch in Ländern außerhalb der EU (sogenannte Drittländer) verarbeitet werden. Dies geschieht nur, wenn eines der folgenden Kriterien erfüllt ist:

  • Die Europäische Kommission hat entschieden, dass der Datenschutz in diesem Land ausreichend ist (Angemessenheitsbeschluss nach Art. 45 DSGVO).
  • Es gibt besondere Sicherheitsvorkehrungen, wie Standardvertragsklauseln (Art. 46 DSGVO), oder
  • der Empfänger im Drittland hat interne Datenschutzregeln (“Binding Corporate Rules gem. Art. 47 DSGVO).

Falls nötig, werden wir zusätzliche Sicherheitsmaßnahmen mit dem Empfänger in diesem Land vereinbaren. Allgemeine Informationen dazu finden Sie unter https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection_en. Allgemeine Informationen zu den Angemessenheitsbeschlüssen können Sie unter https://commission.europa.eu/law/lawtopic/data-protection/international-dimension-data-protection/adequacy-decisions_en, zu den vorliegenden geeigneten Garantien unter https://commission.europa.eu/law/law-topic/dataprotection/international-dimension-data-protection/standard-contractual-clauses-scc_en und zu den internen Datenschutzvorschriften unter https://commission.europa.eu/law/law-topic/dataprotection/international-dimension-data-protection/binding-corporate-rules-bcr_en abrufen.  

Für weitere Fragen können Sie die oben genannten Kontaktinformationen nutzen. Ansonsten werden Ihre Daten nur dann in Drittländern verarbeitet, wenn dies für die Vertragserfüllung notwendig ist (z. B. für Gespräche oder Verhandlungen mit Anbietern aus diesen Ländern), Sie Ihre Zustimmung gegeben haben oder eine gesetzliche Verpflichtung besteht.

VIII. Herkunft Ihrer personenbezogenen Daten 

Wir verarbeiten personenbezogene Daten, die wir nicht direkt bei von Ihnen als betroffene Person erhalten haben. In diesen Fällen erhalten wir personenbezogene Daten von Dritten. Dies kann sein, bei:  

  • Bestandsdaten erhalten wir von unseren Geschäftspartnern oder mittels Empfehlung.

IX. “audatis Manager” Datenschutzmanagement-Software

Als Leistungsbestandteil erhalten unsere Mandanten/Kunden Zugriff auf die webbasierte “audatis Manager” Datenschutzmanagement – Plattform. Innerhalb dieser Plattform können Nutzerkonten für unsere Angebote anlegt werden, um bestimmte Inhalte und Leistungen unserer Angebote zu nutzen. Die im Rahmen der Registrierung eingegebenen Daten werden für die Zwecke der Erbringung unserer Leistungen und Nutzung der Plattform verwendet. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind; dies ist in der Regel nach Beendigung des Vertrages mit unseren Mandanten/Kunden und dem Ablauf von Aufbewahrungspflichten wie z.B.  aus handels- oder steuerrechtlichen Gründen.

Dient die Registrierung der Erfüllung eines Vertrages, dessen Vertragspartei Sie sind oder der Durchführung vorvertraglicher Maßnahmen, so ist Rechtsgrundlage für die Verarbeitung der Daten Art. 6 Abs. 1 lit. b DSGVO. Zusätzliche Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. c DSGVO.

Im Rahmen der Inanspruchnahme unserer Registrierungs- und Anmeldefunktionen sowie der Nutzung des Nutzerkontos wird die IP-Adresse und der Zeitpunkt der jeweiligen Nutzerhandlung gespeichert. Die Speicherung erfolgt auf Grundlage unserer berechtigten Interessen, und dient dem Schutz vor Missbrauch und sonstiger unbefugter Nutzung. Eine Weitergabe dieser Daten an Dritte erfolgt grundsätzlich nicht, außer sie ist zur Verfolgung unserer Ansprüche erforderlich oder es besteht eine gesetzliche Verpflichtung. 

X. Bereitstellung von Daten

Eine Bereitstellung Ihrer Daten kann in bestimmten Fällen zur Durchführung vertraglichen Beziehung erforderlich sein. Sie werden ausdrücklich nach diesen Daten gefragt. Ohne Bereitstellung dieser Daten ist ein Abschluss oder eine Durchführung des Vertrages nicht möglich. 

XI. Löschung Ihrer personenbezogenen Daten

Wir speichern Ihre personenbezogenen Daten nicht länger, als es für den Zweck, zu dem sie erfasst wurden, notwendig ist. Das bedeutet, dass Daten in unseren Systemen gelöscht werden, sobald sie nicht länger benötigt werden. Bestandsdaten löschen wir nach Vertragsbeendigung unverzüglich, soweit wir sie nicht für die nachvertragliche Betreuung benötigen und keine Aufbewahrungsfristen mehr vorliegen. Von uns werden angemessene Maßnahmen ergriffen, um sicherzustellen, dass Ihre personenbezogenen Daten nur unter den folgenden Voraussetzungen verarbeitet werden:

  • Für die Dauer, die die Daten verwendet werden, um Ihnen einen Dienst bereitzustellen
  • Wie laut geltendem Recht, Vertrag oder im Hinblick auf unsere gesetzlichen Verpflichtungen erforderlich
  • Nur so lange, wie es für den Zweck notwendig ist, zu dem die Daten erfasst wurden, oder länger, wenn dies aus Vertrag, geltendem Recht erforderlich ist, unter Anwendung angemessener Schutzmaßnahmen.

In Einzelfällen (z. B. bei ausstehenden Zahlungen oder Rechtsstreitigkeiten) kann eine längere Speicherung bis zur Erledigung erforderlich sein. Ein Erfordernis kann insbesondere dann bestehen, wenn die Daten noch benötigt werden, um vertragliche Leistungen zur erfüllen, Gewährleistungs- und ggf. Garantieansprüche prüfen und gewähren oder abwehren zu können. Darüber hinaus speichern wir Ihre Daten auf Grundlage gesetzlicher Vorgaben (z. B. handelsrechtliche oder steuerrechtliche Anforderungen). Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden auch diese Daten gelöscht, soweit nicht ihre – befristete – Aufbewahrung weiterhin notwendig ist, insbesondere zur Erfüllung gesetzlicher Aufbewahrungsfristen von bis zu zehn Jahren (u.a. aus dem Handelsgesetzbuch, der Abgabenordnung und dem Geldwäschegesetz). Im Falle von gesetzlichen Aufbewahrungspflichten kommt eine Löschung erst nach Ablauf der jeweiligen Aufbewahrungspflicht in Betracht. 

Wenn Sie Ihre Einwilligung zur Verarbeitung personenbezogener Daten gegeben haben, löschen wir Ihre personenbezogenen Daten, sobald Sie Ihre Einwilligung widerrufen und soweit es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. 

XII. Änderungen 

Gesetzesänderungen oder Änderungen unserer unternehmensinternen Prozesse können eine Anpassung dieses Datenschutzmerkblatts erforderlich machen. Ältere Versionen dieses Merkblatts können Sie bei den o. g. Kontaktwegen anfordern.

Version 1.0
Oktober 2024

EU Data Act Anwendbarkeitscheck

EU Data Act Anwendbarkeitscheck

Viele Pflichten des Data Act gelten bereits seit dem 12. September 2025 – andere treten am 12.09.2026 in Kraft – die Zeit zur Umsetzung drängt.
Data Act Compliance ist dabei keine isolierte IT-Aufgabe, sondern eine interdisziplinäre Herausforderung: Die Anforderungen greifen tief in technische Produkt- und Dienstgestaltung, Verträge, operative Prozesse und kommerzielle Aspekte ein – branchenübergreifend für Hersteller, Anbieter, Nutzer und Datenempfänger.

Mit diesem kompakten Selbstcheck prüfen Sie in wenigen Minuten, ob und in welchem Umfang der EU Data Act auf Ihr Unternehmen, Ihre Produkte und Ihre digitalen Dienste anwendbar ist.

Beantworten Sie die folgenden Fragen ehrlich und vollständig. Die Erklärungen unter jeder Frage helfen Ihnen bei der Beantwortung.
Sie erhalten direkt nach Ihren Eingaben eine Bewertung/Einschätzung angezeigt.

Die Ergebnisse basieren auf Ihren Angaben und stellen eine erste Orientierung dar – keine abschließende oder rechtsverbindliche Beurteilung.

Aufgrund der Komplexität des Data Act sind für eine verlässliche präzise Bewertung weitere Details zu Ihrem Unternehmen, Ihren Produkten, Diensten und Ihrer konkreten Situation erforderlich. Wir unterstützen Sie dabei – von der ersten Einschätzung über die strategische Planung bis zur pragmatischen und effizienten Umsetzung.
Sprechen Sie uns unverbindlich und vertraulich an: per E-Mail an info@pri-com.de oder über das Kontaktformular.

Ihr PRICOM Team.

Hinweis: Bei bestimmten Browsern (z.B. DuckDuckGo) kann es zu Problemen mit dem JavaScript kommen. Dann bitte Google Chrome oder Safari verwenden.

0% fertig
1 von 6
1. Mitarbeiteranzahl und Jahresumsatz: Wie viele Mitarbeiter beschäftigt Ihr Unternehmen (inkl. verbundener Partnerunternehmen) und wie hoch ist der globale Jahresumsatz?
2. Falls Sie ein mittleres Unternehmen sind (50-249 Mitarbeiter): Entsprechen Sie dieser Definition seit weniger als einem Jahr?
Erklärung: Neue mittlere Unternehmen (seit weniger als 1 Jahr) und ihre neu auf den Markt gebrachten Produkte (seit weniger als 1 Jahr) profitieren von Übergangsfristen.
Data Act Reifegrad Analyse

Data Act Reifegrad Analyse

Hat der Anwendbarkeitscheck ergeben, dass Ihr Unternehmen in den Anwendungsbereich des EU Data Act fällt, dient diese EU Data Act Reifegrad-Analyse der Bestimmung Ihres aktuellen Umsetzungsreifegrads.
Viele Pflichten des Data Act gelten bereits seit dem 12. September 2025 – die Zeit zur Umsetzung drängt.

Data Act Umsetzung ist keine isolierte IT-Aufgabe, sondern eine interdisziplinäre komplexe Herausforderung:
Die Umsetzung greift tief in technische Produkt- und Dienstgestaltung, Verträge, operative Prozesse und kommerzielle Aspekte ein – branchenübergreifend für Hersteller, Anbieter, Nutzer und Datenempfänger.

Ziel dieser nicht abschließenden Analyse ist es, kritische Lücken zu identifizieren und die wichtigsten pragmatischen Schritte für Anpassungen an Produkten, verbundenen Diensten, Verträgen, Geschäftsprozessen und Vergütungsmodellen aufzuzeigen.
Die Reifegrad-Analyse konzentriert sich auf die geschäftskritischen Anforderungen: technisch operative Umsetzung des Datenzugangs, Schutz von geistigem Eigentum und Geschäftsgeheimnissen, Vertragsgestaltung, Datenstrategien und kommerzielle Aspekte, Cloud- und Switching-Rechte sowie interne Governance.

Bitte beantworten Sie die folgenden Fragen ehrlich und vollständig. Die Erläuterungen helfen bei der Einordnung. Je präziser Ihre Antworten, desto gezielter können wir helfen Ihre nächsten Schritte richtig zu priorisieren.

Am Ende erhalten Sie ein Kurzergebnis angezeigt und per E-Mail eine detaillierte Reifegrad-Bewertung mit konkreten pragmatischen Prioritäts-Maßnahmen.

Weitere Hilfe bietet unser Praxisleitfaden zum EU Data Act – mit konkreten Praxistipps zu Datenzugangspflichten, Datennutzungsverträgen, Vertragsklauseln und dem Wechsel von Datenverarbeitungsdiensten.

Von der Strategie bis zur Umsetzung: Wir begleiten Sie bei der Data-Act-Transformation:

Sprechen Sie uns unverbindlich und vertraulich an: per E-Mail an info@pri-com.de oder über das Kontaktformular.
Ihr PRICOM Team.

1. Dateninventar und Dokumentation der Datenflüsse: Haben Sie eine Übersicht (Inventar) Ihrer Produkte und Dienste sowie eine Dokumentation der zugehörigen Datenflüsse erstellt?
2. Abgrenzung von Rohdaten vs. abgeleiteten Daten: Haben Sie eine klare Definition und Dokumentation darüber erstellt, welche Daten "Rohdaten" sind und bei welchen Daten es sich um durch (hohe) Investments abgeleitete/veredelte Informationen handelt?
Erklärung: Der Data Act verpflichtet zur Herausgabe von Daten der Stufe 1 (Rohdaten) und Stufe 2 (aufbereitete Daten). Er soll jedoch nicht dazu dienen, Ihre geistigen Investitionen in komplexe Daten (Stufe 3) gratis preiszugeben. Eine rechtssichere Verteidigungsstrategie erfordert eine präzise Trennung: Herausgabepflicht: Was ist ein "generiertes Signal" oder eine "einfache Aufbereitung" zur Lesbarkeit? Schutzbereich: Was ist ein "proprietäres Ergebnis" (Inferences), das durch komplexe Algorithmen und erhebliche Investitionen (KI-Training, Know-how) erst geschaffen wurde? Ohne diese Dokumentation riskieren Sie, bei Anfragen auch wertvolles geistiges Eigentum offenlegen zu müssen.
3. Design-Pflichten und technische Umsetzung: Haben Sie bei der Entwicklung Ihrer vernetzten Produkte/Dienste bereits berücksichtigt, dass Nutzer Zugang zu den generierten Daten haben müssen (Access by Design)? 3. Enthalten Ihre Produkte Sensoren, Software oder andere digitale Technologien, die Daten über Nutzung oder Umgebung generieren?
Erklärung: "Access by Design" bedeutet, dass der Datenzugang von Anfang an in die Produktentwicklung integriert wird - ähnlich wie "Privacy by Design" beim Datenschutz. Für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden, ist dies verpflichtend. Der Datenzugang muss standardmäßig aktiviert sein (by default).
4. Ist der Datenzugang für Nutzer einfach, sicher und kostenlos möglich?
Erklärung: Der Data Act verlangt: Einfach: Ohne unverhältnismäßigen Aufwand, keine besonderen technischen Kenntnisse erforderlich Sicher: Authentifizierung, Verschlüsselung, Zugriffskontrolle implementiert Kostenlos: Nutzer dürfen für Zugang zu "ihren" Daten nicht zur Kasse gebeten werden.
5. Können Nutzer direkt am Produkt auf Daten zugreifen oder haben Sie APIs/Schnittstellen implementiert?
Erklärung: Der Datenzugang kann erfolgen über: Direkter Zugriff am Gerät (Display, lokale Schnittstelle, USB, Bluetooth) APIs (Programmierschnittstellen) für automatisierten Zugriff Web-Portale oder Apps Download-Funktionen APIs sind besonders wichtig für B2B-Szenarien und Datenweitergabe an Dritte.
6. In welchem Format stellen Sie die Daten bereit?
Erklärung: Der Data Act verlangt strukturierte, gängige und maschinenlesbare Formate. Wichtig für die Weiterverarbeitung durch Nutzer oder Dritte.
7. Stellen Sie zusammen mit den Rohdaten auch relevante Metadaten bereit?
Erklärung: Metadaten sind für die Interpretation und Nutzung der Daten erforderlich: Zeitstempel (wann wurden Daten erfasst?); Kontextinformationen (Bedingungen der Erfassung); Datenstruktur und Einheiten (Format, Maßeinheiten); Qualitätsinformationen (Genauigkeit, Zuverlässigkeit); Geräteinformationen (Sensor, Modell).
8. Nutzerkonto-System: Haben Sie ein Nutzerkonto-System implementiert?
Erklärung: Ein Nutzerkonto ermöglicht die Identifizierung und Authentifizierung von Nutzern und ist typischerweise für die Verwaltung von Datenzugangsrechten erforderlich.
9. Können Nutzer ihre Konten und damit verbundene Daten löschen?
Erklärung: Dies ist besonders wichtig bei Eigentumswechsel oder wenn andere Personen das vernetzte Produkt nutzen sollen.
10. Bei Produkten mit mehreren Nutzern: Können separate Benutzerkonten eingerichtet werden?
Erklärung: Wenn vernetzte Produkte typischerweise von mehreren Personen genutzt werden (z.B gemeinsam genutztes Gerät), sollten Mechanismen vorhanden sein, um getrennte Konten oder gemeinsam genutzte Konten zu ermöglichen.
11. Prozess für Datenzugangsanfragen Haben Sie einen definierten Prozess für die Bearbeitung von Datenzugangsanfragen (von Nutzern oder Dritten) etabliert?
Erklärung: Der Data Act verpflichtet Unternehmen, Daten auf Anfrage "unverzüglich" bereitzustellen. Ohne einen standardisierten Workflow (Eingang, Prüfung der Berechtigung, Bereitstellung Daten, Beantwortung von Rückfragen, Eskalation bei Problemen*) riskieren Sie Verstöße gegen den Data Act.
12. Können Datenanfragen automatisiert bearbeitet werden?
Erklärung: Automatisierte Bearbeitung ohne manuelle Prüfung oder Genehmigung ist der Idealfall und vom Data Act vorgesehen, wo technisch möglich.
13. Prozesse Datenweitergabe an Dritte: Haben Sie Prozesse etabliert, wie Nutzer die Weitergabe von Daten an Dritte beantragen können?
Erklärung: Nutzer müssen in der Lage sein, zu verlangen, dass ihre Daten direkt an von ihnen ausgewählte Dritte weitergegeben werden.
14. Defensive Strategie bei Datenzugangsansprüchen & Schutz von Geschäftsgeheimnissen: Verfügt Ihr Unternehmen über ein definiertes Protokoll zur Identifizierung von Geschäftsgeheimnissen und zur Abwehr unberechtigter oder wettbewerbswidriger Datenzugangsansprüche?
Erklärung: Um Ihre Marktposition und Ihr Know-how zu schützen, muss vor jeder Datenfreigabe ein Prüfprozess erfolgen. Der Data Act erlaubt die Verweigerung oder Einschränkung der Herausgabe nur als letztes Mittel (Ultima Ratio), wenn der Schutz von Geschäftsgeheimnissen trotz technischer und organisatorischer Maßnahmen (z. B. NDAs) nachweislich nicht garantiert werden kann. Ein wirksames Konzept umfasst: - Identifikation und Dokumentation des "spezifischen Know-hows", das in der Datenstruktur oder den Metadaten steckt; -Identitätsprüfung des Anfragenden (Schutz vor unberechtigten Dritten); -Prüfung auf Wettbewerbswidrigkeit (Verbot für Dritte, die Daten zur Entwicklung eines Konkurrenzprodukts zu nutzen); -Festlegung angemessener Schutzmaßnahmen (z. B. vertragliche Nutzungsbeschränkungen, Verschlüsselung).
15. Offensive Nutzung des Data Act: Sind Sie Datenempfänger oder möchten Sie Datenempfänger werden? Haben Sie evaluiert, wie Sie als Datenempfänger den Anspruch auf Datenzugang nutzen können, um eigene Produkte oder Services auf Basis von Konkurrenzdaten zu entwickeln oder zu verbessern?
16. Schnittstelle zum Datenschutz (DSGVO): Ist die organisatorische Verzahnung zwischen Data Act-Anfragen und DSGVO-Betroffenenrechten (Art. 15, 20 DSGVO) geklärt?
Erklärung: Oft enthalten IoT-Daten auch personenbezogene Daten. Die Prozesse für den Data Act und die DSGVO müssen Hand in Hand gehen, um widersprüchliche Antworten oder Verstöße gegen beide oder eine der Verordnungen zu vermeiden.
17. Entgelte für die Datenbereitstellung (B2B): Haben Sie eine Strategie oder Preisliste für die Entschädigung bei der Datenbereitstellung an Dritte (B2B) erstellt?
Erklärung: Der Data Act erlaubt es Dateninhabern, von Dritten (nicht vom Nutzer!) eine angemessene Entschädigung zu verlangen. Diese muss für KMU auf die Kosten der Bereitstellung begrenzt sein, darf bei großen Unternehmen aber eine Gewinnmarge enthalten.
18. Überwachung von Gatekeepern (Digital Markets Act): Stellen Sie sicher, dass Daten nicht an Unternehmen weitergegeben werden, die nach dem DMA als "Gatekeeper" eingestuft sind, sofern dies gesetzlich untersagt ist?
Erklärung: Der Data Act verbietet es Gatekeepern (sehr große Tech-Konzerne), Empfänger von Daten über die neuen Nutzer-Zugangsrechte zu sein, um eine weitere Datenkonzentration zu verhindern.
19. Vertragliche Aspekte: Haben Sie Ihre Verträge (AGB, Nutzungsbedingungen) auf Konformität mit dem Data Act überprüft und angepasst?
Erklärung: Der Data Act verbietet einseitig benachteiligende Klauseln, insbesondere solche, die: • Datenzugangsrechte vollständig ausschließen • Unverhältnismäßig hohe Gebühren verlangen • Intransparent oder unklar formuliert sind • Nutzungsrechte unangemessen einschränken.
20. Sind Datenzugangsrechte und Nutzungsrechte in Ihren Verträgen transparent und verständlich geregelt?
Erklärung: Nutzer sollten klar verstehen können - Auf welche Daten sie Zugriff haben; - Wie sie Zugang erhalten; - Welche Rechte und Pflichten bestehen; - Ob und wie Daten mit Dritten geteilt werden können.
21. Prüfung auf missbräuchliche Vertragsklauseln (Art. 13): Haben Sie Ihre Standardverträge und AGB daraufhin geprüft, ob sie Klauseln enthalten, die den Datenzugang oder die Datennutzung für Vertragspartner einseitig und unangemessen einschränken?
Erklärung: Nach Art. 13 sind Vertragsklauseln unwirksam, wenn sie einem Partner einseitig auferlegt wurden und missbräuchlich sind. Dies gilt insbesondere, wenn: - Die Haftung für vorsätzliche Pflichtverletzungen ausgeschlossen wird. - Exklusive Nutzungsrechte eingeräumt werden, die den gesetzlichen Datenzugang faktisch verhindern. - Dem Vertragspartner unangemessene Kündigungsfristen oder Abnahmepflichten bezüglich der Daten auferlegt werden.
22. Falls Sie Daten an Dritte weitergeben: Erfolgt dies nur auf Verlangen (Request) des Nutzers und haben Sie konforme Vereinbarungen?
Erklärung: Wichtige Punkte bei Datenweitergabe sind a) die Weitergabe nur mit expliziter Zustimmung des Nutzers b) die klare Regelungen zu Nutzungszwecken c) keine Weitergabe an weitere Dritte ohne Zustimmung d) Sitz des Empfängers in der EU (für verpflichtende Weitergabe) und e) Pflichten des Datenempfängers klar definiert.
23. (Anbieterwechsel & Cloud-Interoperabilität) - Kommerzielle und operative Auswirkungen der Switching-Regelungen: Haben Sie evaluiert, wie sich die Verpflichtung zur Erleichterung des Anbieterwechsels (Switching) auf Ihre Kundenbindung und Ihre operativen Prozesse auswirkt?
Erklärung: Der Data Act verpflichtet Anbieter von Datenverarbeitungsdiensten, Hindernisse für einen Wechsel zu beseitigen (z.B. technischer Art oder Kündigungsfristen). Operativ müssen Schnittstellen für den Datenexport bereitstehen; kommerziell entfallen schrittweise die Wechselgebühren (Switching Charges). Dies erfordert eine Neubewertung der Customer Lifetime Value Strategie.
24. Management-Awareness: Ist das Management über die Pflichten, Risiken und Chancen des Data Act informiert?
Erklärung: Die Geschäftsführung sollte die strategischen Implikationen und potenziellen Haftungsrisiken verstehen, die mit dem neuen gesetzlichen Rahmenwerk für den Datenaustausch einhergehen.
25. Verantwortlichkeiten und Governance: Haben Sie klare Verantwortlichkeiten für die Data-Act-Compliance in Ihrem Unternehmen definiert?
Erklärung: Es sollte festgelegt sein, wer für die Umsetzung zuständig ist, z. B. Data Act Officer/Compliance Officer, Produktmanagement, IT-Abteilung oder die Rechtsabteilung.
26. Umsetzungsplan: Haben Sie bereits einen konkreten Umsetzungsplan für den Data Act entwickelt?
Erklärung: Ein Umsetzungsplan sollte einen Zeitplan mit Meilensteinen, Ressourcenplanung (Budget, Personal), die Priorisierung der Maßnahmen sowie eine Erfolgskontrolle umfassen inkl. Überwachung und Implementation der weiteren Konkretisierungen (z.B. EU-Standardvertragsklauseln oder Interoperabilitätsnormen) zum Data Act?
27. Schulung und Awareness: Wurden Ihre Mitarbeitenden über die Anforderungen des Data Act geschult?
Erklärung: Relevante Fachbereiche wie Produktentwicklung, IT, Kundensupport, Vertrieb, Marketing sowie Rechts- und Compliance-Abteilungen sollten für die neuen Anforderungen sensibilisiert werden.
28. Interne Leitlinien: Gibt es interne Leitlinien oder Richtlinien zur Umsetzung des Data Act?
Erklärung: Interne Dokumente helfen den Mitarbeitenden, die Anforderungen (z. B. den Umgang mit Datenanfragen) im Tagesgeschäft sicher und einheitlich umzusetzen.
29. Dokumentation der technischen Schnittstellen und Formate Ist Ihre technische Implementierung (APIs, Schnittstellen, Datenformate) so dokumentiert, dass ein reibungsloser Datenzugriff für Nutzer und Dritte möglich ist?
Erklärung: Eine präzise technische Dokumentation ist nach dem Data Act essenziell für: 1) Externe Nutzer/Empfänger: Um den Zugang zu Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu ermöglichen. 2) Interoperabilität: Sicherstellung, dass Schnittstellen (APIs) für Dritte funktionsfähig und verständlich sind. 3) Aufsichtsbehörden: Nachweis der Compliance bei Prüfungen.
Wir verarbeiten Ihre hier eingegebenen personenbezogenen Daten nur für die Reifegrad Analyse und Zusendung der Bewertung. Weitere Informationen finden Sie in unserer Datenschutzerklärung.