--- name: data-digitalregulierung-dora description: "Data: Dokumentenmatrix, Lückenliste und Nachforderung im Plugin dsa dma digitalregulierung im Dsa Dma Digitalregulierung." --- # Data: Dokumentenmatrix, Lückenliste und Nachforderung ## Arbeitsweg - Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht? - Fristen und Eilrisiken zuerst markieren: DSA Art. 16 Notice-and-Action unverzügliche Reaktion, Art. 24 jährlicher Transparenzbericht, Art. 34 Risikoassessment jährlich/bei Bedarf, DMA Art. 11 Compliance-Bericht 6 Monate nach Benennung. - Tragende Normen verifizieren: Digital Services Act (VO 2022/2065) Art. 4-15 (Haftung), 16-22 (Meldung), 24-32 (mittelgroße/VLOP), 33-43 (sehr große), 50-66 (Aufsicht), Digital Markets Act (VO 2022/1925) Art. 3 (Gatekeeper), 5-7 (Pflichten), DDG, TMG (außer Kraft), NetzDG (auslaufend) — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate. - Zuständige Stelle bestimmen und Adressaten richtig wählen: Anbieter Vermittlungsdienst / Hosting / Online-Plattform / sehr große Online-Plattform (VLOP) / Suchmaschine (VLOSE), BNetzA als DSC, EU-KOM (DMA-Vollzug), nationaler Koordinator, Beschwerdeführer. - Dokumente und Beweismittel sammeln und auf Lücken prüfen: AGB nach Art. 14 DSA, Transparenzbericht, Risikoassessment, Compliance-Officer-Konzept, Streitbeilegung Art. 21 DSA, DSC-Meldung, DMA-Compliance-Bericht — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis. ## Spezialwissen: Data: Dokumentenmatrix, Lückenliste und Nachforderung - **Normen-/Quellenanker:** EU, DSA, VO, DMA, DGA, AI, NIS, DORA, CRA, DDG, GWB, VLOP. ## Fallweichen Wenn Unterlagen vorhanden sind, arbeite zuerst aus den Unterlagen. Stelle nur Rückfragen, die die nächste Weiche verändern: 1. Welche Rolle hat die fragende Person und wer ist Gegenüber? 2. Welches konkrete Ziel soll erreicht oder verhindert werden? 3. Welche Frist, Zustellung, Schwelle, Zahlung, Sanktion oder Verfahrensstufe ist kritisch? 4. Welche Dokumente, Registerauszüge, Bescheide, Verträge, Tabellen, Screenshots oder Nachrichten belegen den Punkt? 5. Welcher Output wird gebraucht: Memo, Checkliste, Tabelle, Entwurf, Schriftsatzbaustein, Mandantenbrief oder Entscheidungsvorlage? ## Arbeitsworkflow 1. **Fallbild bilden:** Sachverhalt, Rollen, Zeitachse und Dokumente in eine kurze Matrix bringen. 2. **Rechtsrahmen setzen:** Normen, Zuständigkeiten, Fristen, Formfragen und Verfahrensstand zum Themenfeld **Data Act** prüfen. 3. **Prüfpunkte abarbeiten:** Tatbestandsmerkmale, Beweisfragen, typische Fehler, Gegenargumente und Ermessens- oder Wertungsfragen trennen. 4. **Risiko bewerten:** Grün/Gelb/Rot mit Begründung, Annahmen, fehlenden Belegen und möglichen Alternativwegen ausgeben. 5. **Anschluss bauen:** Passende weitere Skills desselben Plugins vorschlagen, wenn eine Vertiefung, ein Schreiben, eine Tabelle, ein Fristenblatt oder eine Verhandlungsstrategie sinnvoll ist. ## Data Act im Überblick (VO (EU) 2023/2854, gilt ab 12.09.2025) - **Zugang zu Daten von vernetzten Produkten** (Art. 3-7): Hersteller müssen Nutzern unmittelbaren, sicheren, unentgeltlichen Zugang zu mit dem Produkt erzeugten Daten gewähren. - **Datenweitergabe an Dritte** (Art. 5): auf Antrag des Nutzers an Dritte; Pflicht zur Bereitstellung "ohne unangemessene Verzögerung". - **Datenweitergabe an öffentliche Stellen** (Art. 14-22): bei "Ausnahmesituationen" (z. B. Notfall) auf Ersuchen. - **B2B-Vertragsbedingungen** (Art. 13): faire, vernünftige und nichtdiskriminierende Bedingungen für Datenweitergabe; missbräuchliche Klauseln nichtig. - **Cloud-Anbieterwechsel** (Art. 23-31): Wechselbarkeit-Pflichten, Datenportabilität, Datenresidenz, Wechselgebühren reduziert ab 12.09.2025, ab 12.01.2027 vollständig untersagt. - **Internationaler Zugriff** (Art. 32): Schutz vor unrechtmäßigem Zugriff Drittstaaten auf nicht-personenbezogene Daten. ## Dokumentenmatrix Data Act - **Produktinformationsblatt** (Art. 3 Abs. 2): vor Vertragsschluss Informationen zu Datenarten, Format, Zugang. - **Datenzugriffsvereinbarung**: Art. 8-12 — vertragliche Regelung der Datenbereitstellung an Dritte; faire, vernünftige, nichtdiskriminierende Bedingungen. - **Cloud-Wechselplan**: Art. 23 ff. — vertraglich und technisch sicherstellbar. - **Auswärtsverlagerungsschutz**: Art. 32 — TIA-äquivalentes Konzept gegen unrechtmäßigen Drittstaatszugriff. ## Lückenliste typisch - **Datenkategorien unklar**: Welche Daten sind "personenbezogen", "nicht-personenbezogen", "kommerziell sensibel"? Klare Klassifizierung fehlt oft. - **Schnittstellenbeschreibung fehlt**: API-Endpunkte, Authentifizierung, Datenformat. - **Zugriffsbenutzer-Rollenmodell unklar**: Wer erhält Zugang in welcher Rolle (Nutzer, Dritter, öffentliche Stelle)? - **Geschäftsgeheimnisschutz** (Art. 4 Abs. 6): Verfahren zur Wahrung von Geschäftsgeheimnissen bei Datenweitergabe; oft nicht implementiert. ## Nachforderungsstrategie - **Konkretisierungsanfrage** an Dateninhaber (Art. 3 Abs. 2): Welche Datenarten genau, in welchem Format, in welcher Frist? - **Stufenanforderung**: erst Information (Produktinformationsblatt), dann Vertrag, dann Zugang. - **Eskalation**: Bei Verweigerung an die zuständige Behörde nach Art. 37 Data Act (in Deutschland noch in Klärung), parallel Zivilrechtsweg möglich. ## Trade-off Frühe Anpassung der Cloud-Verträge erspart spätere Friktion (Wechselgebühren-Verbot); zugleich erhöht Datenzugang Sicherheitsanforderungen. Eine "Cloud-by-Design"-Architektur (Modularität, Portabilität) ist die langfristige Antwort.