EU Data Act
Daten sind eine zentrale Grundlage moderner Unternehmen. Sie entstehen in digitalen Diensten, Software, Dokumenten, Prozessen, Kommunikationssystemen und KI-Anwendungen. Damit Unternehmen diese Daten sinnvoll nutzen können, braucht es klare Regeln: Wer darf welche Daten verwenden? Wie können Daten bereitgestellt werden? Wie werden sie geschützt? Und wie kann ein Wechsel zwischen digitalen Diensten fair gestaltet werden?
Genau hier setzt der EU Data Act an.
Die genaue Bezeichnung lautet:
Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung).
Die Verordnung gilt grundsätzlich seit dem 12. September 2025, wobei einzelne Regelungen abweichende Anwendungszeitpunkte haben können.
Was ist der EU Data Act?
Der EU Data Act ist eine europäische Verordnung für einen faireren, transparenteren und besser geregelten Umgang mit Daten. Er soll den Zugang zu bestimmten Daten erleichtern, faire Bedingungen für Datennutzung schaffen und verhindern, dass Unternehmen unnötig von einzelnen Anbietern oder Systemen abhängig werden.
Dabei geht es nicht um eine unkontrollierte Offenlegung von Daten. Der Data Act berücksichtigt ausdrücklich Schutzinteressen, etwa Datenschutz, Geschäftsgeheimnisse, Sicherheitsanforderungen und Rechte Dritter. Personenbezogene Daten bleiben weiterhin durch die DSGVO geschützt.
Die Europäische Kommission beschreibt den Data Act als Regelwerk für Datenzugang und Datennutzung, das Datenverfügbarkeit, Innovation und Fairness in der Datenwirtschaft fördern soll.
Wozu ist der EU Data Act gut?
Der EU Data Act soll Unternehmen, Nutzerinnen und Nutzern sowie öffentlichen Stellen mehr Klarheit im Umgang mit Daten geben. Besonders wichtig sind dabei:
- fairer Zugang zu bestimmten Daten,
- transparente Regeln für Datennutzung,
- bessere Wechselmöglichkeiten zwischen digitalen Diensten,
- Schutz vor unangemessenen Vertragsbedingungen,
- Förderung von Wettbewerb und Innovation,
- Schutz nicht-personenbezogener Daten vor unrechtmäßigem Zugriff,
- bessere Datenportabilität und Interoperabilität.
Gerade für Cloud-, Software- und Datenverarbeitungsdienste ist das relevant. Anbieter sollen Wechsel und Datenübertragungen nicht unnötig erschweren. Die Europäische Kommission beschreibt ausdrücklich, dass Kunden zwischen Datenverarbeitungsdiensten wechseln können sollen, ohne Daten oder zentrale Funktionen zu verlieren; Daten sollen dabei zumindest in einem gängigen und maschinenlesbaren Format exportierbar sein.
Warum ist das für KI wichtig?
KI-Systeme arbeiten mit Daten. Dazu gehören zum Beispiel Dokumente, Eingaben, Wissensdatenbanken, Chatverläufe, Projektinformationen, Konfigurationen, Analyseergebnisse oder erzeugte Ausgaben.
Für Unternehmen ist deshalb entscheidend, dass KI nicht zu einem Kontrollverlust über eigene Daten führt. Ein gutes KI-System muss nachvollziehbar, steuerbar und sicher sein. Unternehmen sollen ihr Wissen besser nutzen können, ohne die Hoheit über ihre eigenen Informationen zu verlieren.
Der Grundsatz von Vimmera lautet daher:
KI soll Unternehmenswissen nutzbar machen, nicht entziehen.
Wie berücksichtigt Vimmera den EU Data Act?
Vimmera entwickelt und betreibt KI-Lösungen für Unternehmen. Dabei können je nach Kundenlösung unterschiedliche Daten verarbeitet werden, zum Beispiel Dokumente, Prozessinformationen, Gesprächsinhalte, Wissensdatenbanken, Projektdateien, Nutzerinformationen, technische Einstellungen oder Eingaben und Ausgaben aus KI-Systemen.
Die konkrete Anwendung des EU Data Act hängt immer vom jeweiligen System, Einsatzzweck, Vertrag und Datenbestand ab. Vimmera berücksichtigt die Anforderungen des Data Act deshalb im Rahmen der jeweiligen Kundenlösung, der technischen Möglichkeiten und der rechtlichen Zulässigkeit.
Transparenz über Daten und Systeme
Vimmera legt Wert darauf, dass Kunden nachvollziehen können, wie eine KI-Lösung aufgebaut ist, welche Daten verwendet werden und welchem Zweck die Verarbeitung dient.
KI-Systeme werden nicht als unkontrollierte Blackbox verstanden, sondern als klar definierte Werkzeuge innerhalb eines konkreten Unternehmensprozesses. Dazu gehören klare Rollen, Berechtigungen, Datenquellen, Funktionen und Systemgrenzen.
Zweckgebundene Verarbeitung
Daten werden bei Vimmera nicht beliebig verwendet. Die Verarbeitung erfolgt im Rahmen des vereinbarten Zwecks und der jeweiligen Kundenlösung.
Ein System wird also für eine konkrete Aufgabe eingerichtet, zum Beispiel für interne Wissenssuche, Assistenzfunktionen, Dokumentenanalyse, Protokollerstellung, Support, Übersetzung oder Prozessunterstützung.
Eine Nutzung von Kundendaten zu anderen Zwecken erfolgt nicht ohne entsprechende Grundlage.
Schutz von Unternehmenswissen
Unternehmenswissen ist besonders schützenswert. Dazu gehören interne Dokumente, Abläufe, Gesprächsinhalte, technische Informationen, Projektunterlagen, Verträge, Wissensdatenbanken und organisatorisches Know-how.
Vimmera schützt solche Informationen durch technische und organisatorische Maßnahmen wie Zugriffsbeschränkungen, Berechtigungskonzepte, getrennte Datenbereiche, Verschlüsselung, Protokollierung und kontrollierte Systemzugänge.
Der Grundsatz lautet:
Zugriff nur dort, wo er für den jeweiligen Zweck erforderlich ist.
Herausgabe, Export und Wechselmöglichkeiten
Kundendaten gehören den Kunden. Vimmera wird kein Hindernis dafür sein, dass Kunden ihre eigenen Daten erhalten, sichern oder in andere Systeme überführen können.
Nach Maßgabe der jeweiligen vertraglichen Vereinbarungen, der technischen Möglichkeiten und der rechtlichen Zulässigkeit stellt Vimmera seinen Kunden auf Anforderung, insbesondere bei Vertragsbeendigung oder berechtigter Herausgabeaufforderung, die vom jeweiligen Kunden erhaltenen, bereitgestellten oder selbst hochgeladenen Daten in einem technisch handhabbaren und geeigneten Format zur Verfügung.
Dazu können insbesondere gehören:
- vom Kunden bereitgestellte Dokumente und Dateien,
- Inhalte aus Vimmera Cortex,
- Daten aus Projektordnern, Tools oder Agenten,
- strukturierte Kundendaten und Wissensgrundlagen,
- Listen mit Nutzerkonten,
- Rollen- und Zugriffsregelungen,
- relevante Einstellungen und Konfigurationen,
- im Rahmen der vertraglichen Vereinbarungen bereitgestellte Dokumentationen zu Softwarefunktionen.
Ziel ist maximale Transparenz und Fairness im Umgang mit Kundendaten. Kunden sollen nachvollziehen können, welche Daten eingebracht wurden und welche Informationen für eine interne Weiterverarbeitung oder einen geordneten Wechsel erforderlich sind.
Dabei werden Datenschutzanforderungen, Rechte Dritter, Geschäftsgeheimnisse, Sicherheitsanforderungen und technische Schutzmaßnahmen berücksichtigt.
Nicht umfasst von der Herausgabe sind eigene Schutzrechte, interne Systembestandteile und geistiges Eigentum von Vimmera. Dazu gehören insbesondere Systemprompts, interne Speicher- und Verarbeitungslogiken, Embeddings, proprietäre Konfigurationen, interne Methoden, technische Architekturentscheidungen, Quellcode, Betriebslogiken sowie sonstiges Know-how von Vimmera.
Kurz gesagt:
Kundendaten bleiben Kundendaten. Vimmera-Daten und Vimmera-Know-how bleiben Eigentum von Vimmera.
Klare vertragliche Regelungen
Vimmera arbeitet mit transparenten vertraglichen Grundlagen. Je nach Projekt gehören dazu Leistungsbeschreibungen, Datenschutzregelungen, Vereinbarungen zur Auftragsverarbeitung, technische und organisatorische Maßnahmen, Vertraulichkeitsregelungen sowie Regelungen zu Zugriff, Export, Löschung und Nutzung von Daten.
So wird nachvollziehbar geregelt, welche Daten verarbeitet werden, welchem Zweck dies dient und welche Rechte und Pflichten bestehen.
Datenschutz und Data Act gemeinsam denken
Der EU Data Act ersetzt nicht die DSGVO. Sobald personenbezogene Daten verarbeitet werden, gelten die Anforderungen der DSGVO weiterhin uneingeschränkt.
Vimmera betrachtet Data-Act-Anforderungen deshalb gemeinsam mit Datenschutz, IT-Sicherheit, Vertraulichkeit, Rollen- und Rechtekonzepten sowie weiteren Anforderungen an verantwortungsvolle KI.
Unser Verständnis
Der EU Data Act passt zu unserem Verständnis von verantwortungsvoller KI.
KI soll Unternehmen nicht abhängig, sondern sie handlungsfähiger machen. Unternehmen sollen ihr Wissen besser nutzen können, ohne die Kontrolle über ihre Daten zu verlieren.
Deshalb entwickelt Vimmera KI-Lösungen mit klaren Zwecken, sicheren Strukturen und nachvollziehbaren Regeln.
Unser Ziel ist nicht, Daten möglichst umfangreich zu verwenden. Unser Ziel ist, Daten dort sinnvoll, sicher und kontrolliert nutzbar zu machen, wo sie einen echten Mehrwert schaffen.
US CLOUD Act
Unternehmensdaten sind nicht einfach nur technische Informationen. Sie enthalten Wissen, Prozesse, Kundeninformationen, Verträge, interne Abläufe, Projektstände, Gesprächsinhalte, Entscheidungen und oft auch Geschäftsgeheimnisse. Gerade beim Einsatz von KI ist deshalb entscheidend, wo Daten verarbeitet werden, wer technisch Zugriff haben kann und welchem Rechtsraum ein eingesetzter Dienstleister unterliegt. Ein wichtiges Thema in diesem Zusammenhang ist der US […]
EU Data Act
Daten sind eine zentrale Grundlage moderner Unternehmen. Sie entstehen in digitalen Diensten, Software, Dokumenten, Prozessen, Kommunikationssystemen und KI-Anwendungen. Damit Unternehmen diese Daten sinnvoll nutzen können, braucht es klare Regeln: Wer darf welche Daten verwenden? Wie können Daten bereitgestellt werden? Wie werden sie geschützt? Und wie kann ein Wechsel zwischen digitalen Diensten fair gestaltet werden? Genau […]
Bundesdatenschutzgesetz (BDSG)
Der nationale Rechtsrahmen für Datenschutz in Deutschland Das Bundesdatenschutzgesetz, kurz BDSG, ergänzt die Datenschutz-Grundverordnung in Deutschland. Während die DSGVO den europaweit einheitlichen Rahmen für den Schutz personenbezogener Daten vorgibt, regelt das BDSG bestimmte nationale Besonderheiten und Konkretisierungen. Beide Regelwerke bilden zusammen die zentrale Grundlage für den Datenschutz in deutschen Unternehmen. Für Unternehmen bedeutet das: Datenschutz […]
NIS2
Der neue rechtliche Rahmen für Cybersicherheit in Europa Die NIS2-Richtlinie ist der neue europäische Rechtsrahmen für Cybersicherheit. Mit ihr schafft die Europäische Union verbindliche Vorgaben dafür, wie Unternehmen und öffentliche Einrichtungen ihre IT-Systeme, Netzwerke, Daten und digitalen Prozesse gegen Cyberangriffe, Ausfälle und Sicherheitsvorfälle schützen müssen. Ziel von NIS2 ist es, die Cyberresilienz in Europa deutlich […]
NDAs bei Vimmera AI
Vertraulichkeit ist für Vimmera AI genauso selbstverständlich wie Datenschutz und Datensicherheit. Immer dann, wenn sensible, geschäftskritische oder personenbezogene Informationen ausgetauscht werden, muss klar geregelt sein, wie mit diesen Daten umgegangen wird. Deshalb arbeiten wir grundsätzlich auf Basis verbindlicher Vertraulichkeitsvereinbarungen, sogenannten NDAs (Non-Disclosure Agreements). Sobald im Rahmen von Gesprächen, Analysen, Projekten oder Angeboten sensible Inhalte eine […]
Die Datenschutz-Grundverordnung (DSGVO)
Vimmera AI entwickelt seine KI-Systeme von Anfang an DSGVO-konform. Unsere Architektur mit kontrollierten Datenflüssen, klaren Rollen, Verschlüsselung, Protokollierung und der Möglichkeit, Systeme vollständig lokal oder in abgeschotteten Umgebungen zu betreiben, ist genau darauf ausgelegt. Für unsere Kunden bedeutet das: Sie können KI nutzen, ohne den Datenschutz zu gefährden. Sie behalten jederzeit die Kontrolle darüber, welche […]
Der EU AI Act
Der neue rechtliche Rahmen für den Einsatz von KI in Europa Der EU AI Act ist die erste umfassende gesetzliche Regelung für Künstliche Intelligenz weltweit. Mit ihm schafft die Europäische Union einen verbindlichen Rechtsrahmen dafür, wie KI-Systeme entwickelt, bereitgestellt und eingesetzt werden dürfen. Ziel ist es, Innovation zu ermöglichen – aber gleichzeitig Menschen, Unternehmen und […]