Am 12.09.2025 treten die meisten Regelungen des Data Acts in Kraft. Die EU-Verordnung betrifft zahlreiche Akteure – von Herstellern vernetzter Produkte über Datenverarbeitungsdienste bis hin zu öffentlichen Stellen. In diesem Beitrag erklären wir die wichtigsten Vorschriften.
Rechtsanwalt Niklas Plutte
Fachanwalt für gewerblichen Rechtsschutz
Rechtsanwalt Oliver Wolf, LL.M.
Fachanwalt für Urheber- und Medienrecht
Benötigen Sie rechtliche Beratung zum Data Act? Wir sind erfahrene Rechtsanwälte für IT-Recht. Nutzen Sie unsere kostenfreie Ersteinschätzung.
Inhaltsübersicht
1. Was ist der Data Act?
2. Was ist das Data Act-Durchführungsgesetz?
3. Ab wann gilt der Data Act?
4. Für welche Arten von Daten gilt der Data Act?
5. Wer ist vom Data Act betroffen?
6. Was sind vernetzte Produkte?
7. Was sind verbundene Dienste?
8. Wie müssen Daten den Nutzern zugänglich gemacht werden?
9. Was müssen Dateninhaber bei der Datennutzung beachten?
10. Was gilt bei einer Verpflichtung zur Weitergabe von Daten?
11. Was sind missbräuchliche Vertragsbedingungen in B2B-Verträgen?
12. Wie ist das Verhältnis zwischen Data Act und AGB-Recht?
13. Dürfen öffentliche Stellen die Bereitstellung von Daten verlangen?
14. Was gilt beim Wechsel zwischen Datenverarbeitungsdiensten?
15. Was ist ein Datenverarbeitungsdienst?
16. Was sind Pflichtregelungen in Verträgen bei einem Anbieterwechsel?
17. Was gilt bei Datenübermittlungsanfragen ausländischer Behörden?
18. Was gilt in Bezug auf Interoperabilität?
19. Welche Beschwerderechte und Sanktionen gibt es?
20. Wie ist das Verhältnis von Data Acts und DSGVO?
1. Was ist der Data Act?
Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (EU) 2023/2854 (kurz: Data Act) regelt den Zugang zu und die Nutzung von Daten in der Europäischen Union. Ihr Ziel ist es, einen fairen, sicheren und innovationsfreundlichen europäischen Datenbinnenmarkt zu schaffen.
Der Data Act ist Teil der umfassenden EU-Datenstrategie, mit der die Europäische Union ihre rechtlichen Rahmenbedingungen für die digitale Wirtschaft neu ordnet. Zusammen mit dem Data Governance Act (DGA), der den Datenaustausch zwischen öffentlichen und privaten Akteuren fördert, dem Digital Markets Act (DMA) und dem Digital Services Act (DSA) zur Regulierung von Plattformen sowie dem AI Act für Künstliche Intelligenz bildet er das Fundament für ein interoperables europäisches Datenökosystem. Unternehmen sollen befähigt werden, Daten besser auszutauschen und zu nutzen – ohne den Schutz personenbezogener Daten oder Geschäftsgeheimnisse zu gefährden.
Die EU-Datenstrategie im Überblick
- Datenschutz-Grundverordnung (DSGVO): Regelt die Verarbeitung personenbezogener Daten.
- Data Governance Act (DGA): Schafft Rahmenbedingungen für den sicheren und vertrauenswürdigen Austausch von Daten zwischen öffentlichen und privaten Akteuren.
- Data Act: Regelt fairen Zugang zu und die Nutzung von Daten, um Datenportabilität und Innovation zu fördern.
- Digital Markets Act (DMA): Verhindert wettbewerbswidriges Verhalten großer Plattformen („Gatekeeper“) und soll deren Marktmacht begrenzen.
- Digital Services Act (DSA): Stärkt die Pflichten digitaler Plattformen für mehr Transparenz und Verantwortlichkeit im Online-Bereich.
- AI Act: Führt risikobasierte Regeln für die Entwicklung und Nutzung Künstlicher Intelligenz in der EU ein.
2. Was ist das Data Act-Durchführungsgesetz?
Beim Data Act handelt es sich um eine EU-Verordnung, das heißt in jedem Mitgliedsstaat direkt anwendbares Recht. Der Vollzug des Data Acts liegt jedoch in der Hand der einzelnen EU-Mitgliedsstaaten. Dafür bedarf es nationaler Durchführungsgesetze. Deutschland hat bislang noch kein Data Act-Durchführungsgesetz beschlossen. Es liegt aber ein Referentenentwurf des Data Act-Durchführungsgesetz (DA-DG) vor, aus dem sich ergibt, wie Deutschland die Umsetzung und Überwachung des Data Acts plant. Das DA-DG wird auch die Details zu Zuständigkeiten der Aufsichtsbehörden und den Sanktionen bei Verstößen regeln.
3. Ab wann gilt der Data Act?
Der Data Act wurde am 27.11.2023 vom Rat der Europäischen Union verabschiedet. Er trat bereits am 11.01.2024 in Kraft. Die meisten Bestimmungen werden aber erst ab dem 12.09.2025 anwendbar sein.
4. Für welche Arten von Daten gilt der Data Act?
Der Data Act gilt für personenbezogene Daten und nicht-personenbezogene Daten. Die DSGVO ist neben dem Data Act anwendbar.
5. Wer ist vom Data Act betroffen?
Adressaten des Data Acts sind:
- Hersteller vernetzter Produkte
- Anbieter verbundener Dienste
- Nutzer von vernetzten Produkten und verbundenen Diensten
- Dateninhaber
- Datenempfänger
- Öffentliche Stellen
- Anbieter von Datenverarbeitungsdiensten
- Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge verwenden, und Personen, deren gewerbliche, geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für andere im Zusammenhang mit der Durchführung einer Vereinbarung umfasst.
Für m Kleinstunternehmen und Kleinunternehmen gelten bestimmte Ausnahmen (Art. 7 Data Act).
6. Was sind vernetzte Produkte?
Ein vernetztes Produkt, (auch Internet of Things-Produkt oder IoT-Produkt genannt), ist ein Gegenstand,
„der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist“ (Art. 2 Nr. 5 Data Act).
Es handelt sich um Produkte, die in der Regel mit Sensoren ausgestattet sind, um Umgebungs- oder Nutzungsdaten aufzunehmen.
Beispiele für vernetzte Produkte: Vernetzte Autos, Smart-Home-Geräte wie smarte Kühlschränke oder Waschmaschinen, Industriemaschinen oder Flugzeuge. Es kann sich sowohl um Produkte handeln, die für den privaten als auch den gewerblichen Gebrauch bestimmt sind.
7. Was sind verbundene Dienste?
Diese Umgebungs- und Nutzungsdaten werden mithilfe sogenannter verbundener Dienste dazu genutzt, das vernetzte Produkt zu betreiben und zu optimieren. Ein verbundener Dienst ist ein
„digitale[r] Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“ (Art. 2 Nr. 6 Data Act).
Beispiel für verbundene Dienste: Apps, mit denen sich die vernetzten Produkte steuern lassen und anhand derer Einstellungen an den Geräten vorgenommen werden können.
8. Wie müssen Daten den Nutzern zugänglich gemacht werden?
Vernetzte Produkte und verbundene Dienste müssen so konzipiert und hergestellt bzw. erbracht werden, dass die durch ihre Nutzung entstehenden Daten dem Nutzer des Geräts bzw. des verbundenen Dienstes durch den Dateninhaber zugänglich gemacht werden (Art. 4 Data Act).
Daten, die vom Dateninhaber aufbereitet wurden, müssen nicht bereitgestellt werden. Hierbei handelt es sich beispielsweise um Daten, die das Ergebnis zusätzlicher Investitionen sind, insbesondere mittels komplexer proprietärer Algorithmen oder durch Sensorfusion oder Analyse gewonnene Daten (vgl. Erwägungsgrund 15 Data Act). Das Zugangsrecht gilt nur für von dem Dateninhaber gespeicherte Daten. Eine gesonderte Speicherungspflicht aller Daten, die durch die Nutzung entstanden sind, folgt daraus nicht.
Technische Systeme sollten angepasst werden, damit der Dateninhaber in der Lage ist, die Pflicht zum Datenzugang zu gewährleisten. Um ihre Pflichten nach dem Data Act erfüllen zu können, sollten sich Dateninhaber bewusst sein, welche Daten ihre Produkte überhaupt erheben (insbesondere, welche Sensoren Daten erheben) und wie diese Daten dem Nutzer zugänglich gemacht werden können.
Beispiel: Ein Landwirt nutzt einen vernetzten Traktor mit zahlreichen Sensoren (z.B. Bodenfeuchtigkeit, Treibstoffverbrauch). Nach dem Data Act kann der Landwirt vom Hersteller verlangen, dass ihm diese Daten in einem maschinenlesbaren Format bereitgestellt werden, um sie in eine eigene Farmmanagement-Software einzuspeisen oder einem Drittanbieter zur Optimierung der Ernteplanung zu überlassen. Der Hersteller darf die Herausgabe der Daten nicht mit dem Hinweis verweigern, dass sie in seiner Cloud gespeichert sind oder Betriebsgeheimnisse enthalten – es sei denn, es liegt ein schwerer wirtschaftlicher Schaden durch die Offenlegung vor (Art. 4 Nr. 6 Data Act).
Die Daten müssen nach Art. 3 Abs. 1 Data Act unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitgestellt werden. Bei der Bestimmung der Gängigkeit ist darauf zu achten, keine kartellrechtswidrige Absprache im Sinne von Art. 101 AEUV zu treffen.
Der Dateninhaber ist eine natürliche oder juristische Person, die nach dem Data Act, geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (Art. 2 Nr. 13 Data Act). Der Dateninhaber hat die Daten auf Verlangen des Nutzers herauszugeben.
Beispiele: Betroffene Daten sind beispielsweise Daten, die über die Sensoren des vernetzten Produkts generiert wurden, wie Temperatur-, Geschwindigkeits-, Positions- oder Audiodaten. Auch betroffen sind Daten über das Nutzerverhalten im Zusammenhang mit dem vernetzten Produkt. Das können Daten darüber sein, wie häufig oder wie lange bzw. mit welchen Einstellungen der Nutzer das vernetzte Produkt verwendet.
Die Pflicht der Zugänglichmachung kann eingeschränkt werden. Das ist der Fall, wenn die Sicherheitsanforderungen an das Produkt durch die Weitergabe der Daten beeinträchtigt werden (Art. 4 Nr. 2 Data Act) oder die Vertraulichkeit von Geschäftsgeheimnissen gefährdet wird und dem Inhaber des Geschäftsgeheimnisses dadurch ein schwerer wirtschaftlicher Schaden droht (Art. 4 Nr. 6 Data Act). Die reine Offenbarung von Geschäftsgeheimnissen stellt dagegen keinen Einschränkungsgrund dar, wenn nicht zusätzlich ein mit hoher Wahrscheinlichkeit drohender schwerer wirtschaftlicher Schaden hinzukommt. Die Einschränkung in Art. 4 Abs. 8 Data Act ist allerdings so unbestimmt gefasst, dass sie ein Einfallstor für eine überproportionale Nutzung durch Unternehmen bieten könnte.
Kein Ausschluss wegen geistiger Eigentumsrechte: Nach Art. 35 Data Act dürfen Dateninhaber den Zugang zu Daten nicht mit dem Hinweis verweigern, dass sie über geistige Eigentumsrechte wie z.B. das sui generis-Datenbankherstellerrecht verfügen. Dieses Recht kann nicht als Vorwand genutzt werden, um die Datenportabilität zu blockieren.
Beispiel: Hat ein Hersteller eine Datenbank mit Sensordaten eines vernetzten Produkts aufgebaut, kann er sich nicht allein auf das Datenbankrecht berufen, um die Herausgabe an den Nutzer oder einen von diesem benannten Dritten zu verhindern.
Sonstige geistige Eigentumsrechte (z. B. Urheberrechte) bleiben grundsätzlich unberührt, dürfen aber nicht in einer Weise geltend gemacht werden, die den Zweck des Data Act unterläuft.
Handelt es sich um personenbezogene Daten, sind die Einschränkungen der Verarbeitung durch die DSGVO zu beachten.
Zum Schutz der Vertraulichkeit von Geschäftsgeheimnissen und dem Schutz personenbezogener Daten können die Parteien technische und organisatorische Maßnahmen vereinbaren (Art. 4 Abs. 6 Data Act).
Beispiele: Pseudonymisierung oder Verschlüsselung von Daten oder der Einsatz von Techniken, bei denen die Daten dezentral am Ort der Datengenerierung verarbeitet werden, ohne dass die Daten übertragen bzw. unnötig kopiert werden.
Der Nutzer kann vom Dateninhaber auch verlangen, dass die betroffenen Daten von ihm benannten Dritten zugänglich gemacht werden (Art. 5 Data Act). Wie der Dritte mit den Daten umgehen soll, regelt Art. 6 Data Act. Insbesondere ist hier zu beachten, dass der Dritte die bereitgestellten Daten nicht dazu verwenden darf, um ein Produkt zu entwickeln, das mit dem vernetzten Produkt des Dateninhabers im Wettbewerb steht. Auch darf er die Daten einem Dritten zu diesem Zweck nicht zur Verfügung stellen. Dem Nutzer muss der Dateninhaber die Daten kostenlos zur Verfügung stellen. Von dem Dritten kann er jedoch eine Vergütung verlangen, die sich an den Kosten der Bereitstellung orientiert.
Beispiel: Bei Benutzung eines vernetzten Autos werden die generierten Daten, beispielsweise zum Wartungszustand des Kfz, an den Hersteller weitergegeben. Der Nutzer des Autos kann sich nun entscheiden, diese Daten Dritten zur Verfügung zu stellen, die von diesen Daten ebenfalls profitieren. Das können beispielsweise Kfz-Werkstätten sein, die in keinem Vertragsverhältnis zum Hersteller stehen und über den Hersteller unter Umständen nicht an diese Daten gelangen würden.
9. Was müssen Dateninhaber bei der Datennutzung beachten??
Dateninhaber dürfen ohne weiteres verfügbare nicht-personenbezogene Daten nicht uneingeschränkt benutzen und mit Dritten teilen. Eine Nutzung ist nur auf Grundlage einer vertraglichen Vereinbarung mit dem jeweiligen Nutzer zulässig (Art. 4 Abs. 13 Data Act). „Ohne weiteres verfügbare Daten“ sind Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird (Art. 2 Nr. 17 Data Act). Dateninhaber sollten sich vor diesem Hintergrund bemühen, entsprechende Verträge mit ihren Nutzern zu schließen und gleichzeitig sicherstellen, dass solche Daten nicht unbefugt an weitere Personen übermittelt werden.
Hier müssen sich die Unternehmen umstellen. Bislang war Regelfall, dass der Dateninhaber die Daten uneingeschränkt verwenden konnte. Der Data Act überträgt die Entscheidungsmacht auf die Nutzer.
Beispiel: Einem Hersteller von Industriemaschinen werden die bei der Benutzung der Maschinen generierte Daten übermittelt, z.B. zu Produktionsabläufen oder Funktionsstörungen. Diese Daten verwendet der Hersteller, um sein Produkt zu verbessern. Um die vorstehenden nicht-personenbezogenen Daten nutzen zu dürfen, benötigt der Hersteller unter Geltung des Data Acts eine vertragliche Erlaubnis vom jeweiligen Unternehmen, das die Industriemaschinen einsetzt. Personenbezogene Daten dürfen ohnehin nur nach Maßgabe der DSGVO verarbeitet werden, d.h. wenn eine taugliche Rechtsgrundlage nach der DSGVO vorliegt (z.B. eine Einwilligung oder ein berechtigtes Interesse, vgl. Art. 6 Abs. 1 DSGVO).
10. Was gilt bei einer Verpflichtung zur Weitergabe von Daten?
Sind Dateninhaber aufgrund eines Gesetzes zur Weitergabe von Daten verpflichtet (etwa aufgrund von Art. 5 Data Act), ist Art. 8 Data Act zu beachten. Dieser stellt Anforderungen an die Vereinbarung und Modalitäten der Weitergabe zwischen den Parteien auf. Das betrifft den Inhalt der Verträge, die zur Abwicklung der Datenweitergabe zwischen den Parteien geschlossen werden.
Die Vereinbarungen, die Grundlage für die Weitergabe von Daten sind, müssen fair, angemessen, diskriminierungsfrei und transparent sein. Insbesondere darf der Dateninhaber Partnerunternehmen oder verbundene Unternehmen keine bevorzugten Bedingungen bei der Weitergabe von Daten einräumen (Art. 8 Abs. 3 Data Act).
Beispiel: Ein Energieversorger betreibt smarte Stromzähler („Smart Meter“) und erhält von einem Drittanbieter (z.B. einem Startup für Energiespar-Apps) eine Anfrage zur Datenweitergabe. Hier muss der Energieversorger prüfen, ob die Anfrage den Anforderungen des Data Act entspricht und darf dem Startup keine ungerechtfertigt schlechteren Bedingungen stellen als einem mit ihm verbundenen Unternehmen.
Zum Anreiz für Dateninhaber, ihre Daten zu teilen, können die Dateninhaber eine Gegenleistung für die Bereitstellung der Daten verlangen. Die Gegenleistung für die Weitergabe der Daten muss diskriminierungsfrei und angemessen sein. Handelt es sich bei dem Datenempfänger um ein kleines oder mittelständisches Unternehmen (KMU) oder eine gemeinnützige Forschungseinrichtung, ist die Gegenleistung begrenzt auf die für die Bereitstellung der Daten angefallenen Kosten (Art. 9 Abs. 4 Data Act).
Legt der Datenempfänger die Daten unbefugt offen oder nutzt er sie in einer unbefugten Weise, kann der Dateninhaber ihn zu Maßnahmen verpflichten, zum Beispiel die Daten und alle Kopien davon zu löschen oder eine Entschädigung für den Verstoß zu zahlen (Art. 11 Abs. 2 Data Act).
11. Was sind missbräuchliche Vertragsbedingungen in B2B-Verträgen?
Der Data Act möchte verhindern, dass Machtgefälle zwischen Unternehmen zu unfairen Vertragsgestaltungen führen. Unternehmen sollen ihre wirtschaftliche Überlegenheit und Verhandlungsmacht nicht ausnutzen können, um Verträge über den Datenzugang oder die Datennutzung vorzugeben, die für die andere Partei besonders nachteilig sind. Der europäische Gesetzgeber begegnet diesem Risiko im B2B-Bereich durch das Verbot missbräuchlicher Vertragsbedingungen.
Art. 13 Data Act enthält eine Auflistung von Beispielen missbräuchlicher Vertragsbedingungen. Es handelt sich um Klauseln, die diejenige Partei, welche die Klausel einseitig vorgibt, unbillig besserstellen. Eine Klausel gilt als von einer Partei einseitig vorgegeben, wenn die andere Partei keine realistische Möglichkeit hat, auf den Inhalt der Vertragsklausel Einfluss zu nehmen. Stets missbräuchlich sind Vertragsbestimmungen, die die Haftung der einseitig vorgebenden Vertragspartei auf Vorsatz und grobe Fahrlässigkeit begrenzen oder gar ausschließen. Das gilt auch für Klauseln, die der vorgebenden Partei einseitig das Recht einräumen, zu entscheiden, ob die gelieferten Daten vertragsgemäß sind. Eine Generalklausel (Art. 13 Abs. 3 Data Act) gilt für weitere nicht benannte Fälle, in denen eine Vertragsbedingung zu einem unzumutbaren Ungleichgewicht zwischen den Parteien führt.
Probleme mit der Unbestimmtheit dieser Klausel werden dadurch verschärft, dass das kumulative Verhältnis im englischen Originalgesetzestext in der deutschen Übersetzung zu einem alternativen Verhältnis gemacht wurde. Konkret sind die zu einem Ungleichgewicht führenden Optionen in der englischen Fassung mit dem Wort „and“ verbunden, was in der deutschen Fassung zu einer groben Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung „oder“ einem Verstoß gegen das Gebot von Treu und Glauben wurde. Ob diese Abweichung rechtserhebliche Folgen hat, wird sich zeigen.
Ein Verstoß gegen Art. 13 Abs. 1 Data Act führt jedenfalls dazu, dass die missbräuchliche Vertragsklausel für die benachteiligte Partei nicht bindend ist. Ist die Klausel vom restlichen Vertragstext abtrennbar, bleibt der nicht-missbräuchliche Teil erhalten (Art. 13 Abs. 7 Data Act).
Muster-Vertragsklauseln (Model Contractual Terms, MCTs) für Datenzugang und Datennutzung sowie Standard-Vertragsklauseln
Zur praktischen Konkretisierung des vertraglichen Rahmens hat die Europäische Kommission am 19.11.2025 Entwürfe für nicht verbindliche Muster-Vertragsklauseln (Model Contractual Terms, MCTs) nach Art. 41 Data Act veröffentlicht. Art. 41 Data Act verpflichtet die Kommission insbesondere dazu, Orientierungshilfen zu fairen Regelungen über Vergütung, Geheimnisschutz und den Umgang mit gemeinsam genutzten Daten bereitzustellen.
Die MCTs richten sich an sämtliche Konstellationen des verpflichtenden wie freiwilligen Datenteilens – also an Verträge zwischen Datenhaltern und Nutzern, zwischen Nutzern und ihren ausgewählten Datenempfängern sowie zwischen Datenhaltern und Datenempfängern. Ergänzend hat die Kommission auch Standardvertragsklauseln für Cloud-Computing-Verträge publiziert, die insbesondere Datenportabilität, Switching-Prozesse und Vorgaben zu angemessener Vergütung im Cloud-Umfeld strukturieren.
Hier finden Sie weitere Information der EU Kommission sowie Downloads.
Beide Klauselwerke enthalten modular aufgebaute Vorgaben zu Zugriffsrechten, zulässigem Nutzungsumfang, technischen und organisatorischen Maßnahmen, Geheimnisschutz, Haftung, Audit-Rechten sowie zur Abgrenzung personenbezogener und nicht-personenbezogener Daten. Auch wenn sie rechtlich unverbindlich sind, ist zu erwarten, dass die Muster aufgrund ihrer Detailtiefe und Nähe zu den Vorgaben des Data Act zügig zu einem De-facto-Industriestandard werden. Sie zielen darauf ab, typische Risikobereiche zu entschärfen, z.B. Informationsasymmetrien, missbräuchliche Vertragskonditionen oder datenschutzrechtliche Schnittstellen.
Unternehmen sollten prüfen, inwieweit sich die MCTs und Cloud-SCCs in bestehende Daten-Sharing- und Cloud-Verträge integrieren lassen und interne Prozesse an die modulare Struktur der Kommissionsvorgaben anpassen. Die Veröffentlichung stellt einen weiteren Schritt zur Harmonisierung datenbezogener Vertragspraktiken in der EU dar und schafft ein konsistentes Referenzmodell für die praktische Umsetzung des Data Acts.
12. Wie ist das Verhältnis zwischen Data Act und AGB-Recht?
Obwohl sich Kapitel IV des Data Acts mit Art. 13 Data Act ausdrücklich auf Vertragsklauseln zwischen Unternehmen bezieht, sind Auswirkungen auf Verträge zwischen Unternehmen und Verbrauchern nicht auszuschließen. Ein mögliches Einfallstor sind die nationalen AGB-Regelungen der §§ 307 ff. BGB. Denkbar ist etwa eine Anwendung des Gewährleistungsrechts, wenn Daten gar nicht, nicht in Echtzeit oder in nicht lesbarer Form vom Hersteller bereitgestellt werden. Unabhängig von diesen Fragen besteht die Herausforderung einer gespaltenen Inhaltskontrolle in datenbezogene – und sonstige Regelungen. Erstere unterfallen dem Data Act, während Letztere am nationalen AGB-Recht zu messen sind.
13. Dürfen öffentliche Stellen die Bereitstellung von Daten verlangen?
Öffentliche Stellen können von Unternehmen unter bestimmten Bedingungen die Bereitstellung von Daten verlangen (Art. 14 Data Act). Das ist möglich, wenn für die öffentliche Stelle eine außergewöhnliche Notwendigkeit besteht, bestimmte Daten zu erhalten, um eine Aufgabe im öffentlichen Interesse zu erfüllen. Es kann sich hierbei um Fälle des öffentlichen Notstands handeln wie beispielsweise Naturkatastrophen, Pandemien oder Cybersecurity-Vorfälle. Gegenwärtig ist allerdings noch offen, wie die Erforderlichkeit und fehlende alternative Beschaffungsmöglichkeit der Daten auszulegen ist (Art. 15 Abs. 1 a) Data Act).
Bezüglich der Adressaten von Art. 14 Data Act könnte eine Gesetzeslücke entstehen, wenn sich die Daten bei einem Auftragsverarbeiter im Sinne von Art. 28 DSGVO befinden. Ein solcher ist gemäß Erwägungsgrund 22 des Data Acts gerade nicht als Dateninhaber zu behandeln. In der Folge ist theoretisch eine Umgehung der Pflichten aus Kapitel V des Data Acts über eine Ausgliederung der Datenspeicherung an einen Auftragsverarbeiter denkbar, was wohl durch die Rechtsprechung über eine Zurechnung oder Analogie eingehegt werden würde.
Für das Zurverfügungstellen der Daten können Dateninhaber, bei denen es sich um KMU handelt, eine Vergütung erhalten.
Auch in Nicht-Notfallsituationen können öffentliche Stellen Daten anfragen – allerdings nur von Unternehmen, die keine KMU sind und nur dann, wenn die öffentliche Stelle nachweisen kann, dass sie die Daten nicht auf dem Markt erhalten konnte. Schwierigkeiten könnte bereiten, dass die vorrangige Ausschöpfung aller anderen zur Verfügung stehenden Mittel im Sinne von Art. 15 Abs. 1 b) ii) Data Act gemäß Erwägungsgrund 65 am Maßstab des aktuellen Marktkurses zu beurteilen ist. Die entsprechende Prüfung wäre regelmäßig komplex und stünde zugleich unter Zeitdruck.
In Nicht-Notfallsituationen können die öffentlichen Stellen nur nicht-personenbezogene Daten verlangen. Offen ist, ob Art. 15 b) Data Act die zuständigen Stellen indirekt doch zu Herausgabeverlangen für alle möglichen Daten berechtigen kann, sofern sie den Dateninhaber zugleich zur Anonymisierung verpflichten.
Die Unternehmen können eine Vergütung erhalten.
Die Nutzung der Daten durch die öffentliche Stelle ist zeitlich befristet.
14. Was gilt beim Wechsel zwischen Datenverarbeitungsdiensten?
Nutzer sollen ohne Aufwand zwischen verschiedenen Datenverarbeitungsdiensten wechseln können (sog. Cloud-Switching). Lock-In-Effekte sollen abgebaut werden. Aktuell bestehen häufig Hindernisse wie hohe Wechselkosten oder fehlende Interoperabilität, die zu einem Datenverlust beim Wechselprozess führen können.
Viele Unternehmen stehen vor dem Problem, dass ein Anbieterwechsel mit hohen Kosten verbunden ist oder technisch scheitert (vendor lock-in). Der Data Act soll diese Hürden abbauen und Cloud-Portabilität fördern. Anbieter von Datenverarbeitungsdiensten müssen künftig gewährleisten, dass Nutzer ihre Daten und digitalen Vermögenswerte (z.B. Anwendungen, virtuelle Maschinen) ohne Unterbrechung und ohne Datenverlust zu einem anderen Anbieter migrieren können.
Beispiel: Ein mittelständisches Unternehmen betreibt seine Buchhaltung bei einem Cloud-Anbieter. Das Unternehmen möchte zu einem anderen Anbieter wechseln. Der bisherige Cloud-Anbieter verpflichtet, innerhalb von 30 Tagen nach Kündigung alle exportierbaren Daten bereitzustellen, damit der Wechsel reibungslos funktioniert. Nach dem 12.01.2027 darf Cloud-Anbieter dafür keine Wechselentgelte mehr verlangen, außer es handelt sich um Standardgebühren oder Sanktionen bei vorzeitiger Kündigung.
15. Was ist ein Datenverarbeitungsdienst?
Ein Datenverarbeitungsdienst im Sinne des Data Acts ist
„eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können“ (Art. 2 Nr. 8 Data Act).
Beispiele: Gängige Modelle wie Infrastructure as a Service, Platform as a Service und Software as a Service, z.B. Cloud- oder Edge-Anbieter. Auch KMU können unter diese Definition fallen. Aus dem weiten Anwendungsbereich der Definition herausgenommen sind lediglich hochpersonalisierte Dienste (Art. 31 Data Act).
16. Was sind Pflichtregelungen in Verträgen bei einem Anbieterwechsel?
Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf einen Anbieterwechsel müssen vertraglich festgehalten werden. Art. 25 Data Act enthält Pflichtanforderungen an den Vertragsinhalt:
- Der Anbieterwechsel soll dem Kunden so unkompliziert wie möglich gemacht werden.
- Der Anbieter ist verpflichtet, einen Anbieterwechsel zu ermöglichen und den Kunden dabei zu unterstützen. Dabei sollen die Daten unverzüglich, spätestens 30 Tage nach Ablauf der Kündigungsfrist, übertragen werden.
- Die maximale Kündigungsfrist für den Wechsel darf zwei Monate nicht überschreiten.
- Der Anbieter ist verpflichtet, die exportierbaren Daten und digitalen Vermögenswerte des Kunden nach erfolgreich vollzogenem Wechsel zu löschen.
- Ab dem 12.01.2027 dürfen Anbieter von Datenverarbeitungsdiensten keine Wechselentgelte mehr von ihren Kunden verlangen (Art. 29 Abs. 1 Data Act). Keine Entgelte in diesem Sinne sind Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung. Bis zum 12.01.2027 dürfen die Anbieter nur ermäßigte Entgelte erheben. Die ermäßigten Wechselentgelte dürfen die Kosten, die dem Anbieter durch den Wechsel entstanden sind, nicht übersteigen (Art. 29 Abs. 2, 3 Data Act).
- In technischer Hinsicht müssen Anbieter von Infrastructure-as-a-Service (IaaS) sicherstellen, dass die migrierten Systeme funktionsäquivalent sind (Art. 30 Data Act). Nach dem Wechsel müssen die Anbieter einen Mindestfunktionsumfang in Bezug auf die exportierbaren Daten und Vermögenswerte gewährleisten. Von altem und neuem Anbieter gemeinsam genutzte Funktionen müssen vergleichbare Ergebnisse liefern. Anbieter von Plattformen und Software-as-a-Service (PaaS, SaaS) sind verpflichtet, offene Schnittstellen (APIs) bereitzustellen, die einen einfachen Export der Daten ermöglichen.
17. Was gilt bei Datenübermittlungsanfragen ausländischer Behörden?
Sensible Daten, die in der EU verarbeitet werden, sollen nach dem Willen des europäischen Gesetzgebers vor unkontrolliertem oder ungerechtfertigtem Zugriff durch Drittstaaten geschützt werden. Nach Art. 32 Data Act dürfen nicht-personenbezogene Daten, die in der EU gespeichert und verarbeitet werden, daher nur dann auf Anfrage einer ausländischen Behörde offengelegt oder übermittelt werden, wenn:
- dies nicht gegen EU-Recht oder nationales Recht eines Mitgliedstaates verstößt und
- die Offenlegung mit den Grundrechten natürlicher Personen, der öffentlichen Sicherheit, dem Schutz von Geschäftsgeheimnissen oder geistigem Eigentum vereinbar ist.
Dienstanbieter, die solche Daten verarbeiten (z. B. Cloud-Anbieter), müssen:
- prüfen, ob die Drittstaatsanfrage rechtmäßig ist,
- gegen unrechtmäßige oder unverhältnismäßige Anfragen rechtlich vorgehen, sofern möglich,
- und den betroffenen Kunden über das Ersuchen informieren, es sei denn, sie sind gesetzlich zur Verschwiegenheit verpflichtet.
18. Was gilt in Bezug auf Interoperabilität?
Der Data Act beschäftigt sich auch mit Anforderungen an Interoperabilität. Interoperabilität ist
„die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen“ (Art. 2 Nr. 40 Data Act).
Interoperabilität fördert die Datenübertragbarkeit aus verschiedenen Datenquellen und die parallele Nutzung verschiedener Dienste. Die Bestimmungen zur Interoperabilität richten sich an Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten und bei denen es sich um Stellen handelt, die die Weitergabe von Daten innerhalb gemeinsamer Datenräume erleichtern, Anbieter von Datenverarbeitungsdiensten und Anbieter von Smart Contracts.
Die Europäische Kommission erarbeitet zur Herstellung gemeinsamer Standards sogenannte delegierte Rechtsakte, in denen sie die Anforderungen des Data Acts präzisiert. Normierungsorganisationen entwickeln zu diesem Zweck einheitliche Normen. Art. 36 Data Act beschäftigt sich mit den Anforderungen an intelligente Verträge für die Ausführungen von Datenweitergabevereinbarungen. Das betrifft beispielsweise die Robustheit, Möglichkeiten der sicheren Beendigung oder Unterbrechung des Vertrags und Zugangskontrolle zu Daten. Der Anbieter von Smart Contracts hat hinsichtlich dieser Anforderungen eine Konformitätsbewertung durchzuführen.
19. Welche Beschwerderechte und Sanktionen gibt es?
Natürlichen und juristische Personen steht bei Verstößen gegen den Data Act (z. B. unrechtmäßige Verweigerung des Datenzugangs, Verstoß gegen Interoperabilitätsvorgaben oder missbräuchliche Vertragsklauseln) ein Beschwerderecht zu (Art. 38 Data Act).
Die Beschwerde ist bei der jeweils zuständigen Behörde einzulegen. In Deutschland wird die Bundesnetzagentur die Rolle der zentralen Durchsetzungsbehörde übernehmen. Zu den weiteren Aufgaben, die der Data Act der Bundesnetzagentur überträgt, gehören die Prüfung von Datenverlangen von öffentlichen Stellen, die Gewährleistung der Abschaffung von Wechselentgelten und die Förderung der Datenkompetenz der Adressaten des Data Acts.
Der erste deutsche Entwurf für ein Umsetzungsgesetz vom 05.02.2025 zur Aufsichtsstruktur hat für erhebliche Kritik gesorgt, weil er eine Aufspaltung bzw. Zuständigkeitszersplitterung vorsieht. Entgegen Art. 37 Abs. 3 Data Act soll danach die Zuständigkeit zum Schutz personenbezogener Daten beim Bundesbeauftragten für Datenschutz und Informationsfreiheit liegen, während die Bundesnetzagentur für den Bereich nicht-personenbezogener Daten zuständig sein soll. Dies wird als Widerspruch zu § 40 Abs. 1 Bundesdatenschutzgesetz i. V. m. den jeweiligen Landesdatenschutzgesetzen gesehen, wonach die Landesdatenschutzbehörden für die DSGVO zuständig sind. Mangels einheitlicher Anlaufstelle entstehe außerdem ein Risiko für widersprüchliche Auslegungen. Solange ein wirksames Umsetzungsgesetz fehlt, fehlt es an einer Aufsicht für nicht-personenbezogene Daten, während für personenbezogene Daten die Landesbehörden zuständig bleiben.
Die Mitgliedstaaten haben Gesetze auf den Weg zu bringen, die Sanktionen für Verstöße gegen den Data Act anordnen. Bestimmungen hierzu werden im Data-Act-Durchführungsgesetz enthalten sein. Konkret verpflichtet Art. 33 Data Act die Mitgliedstaaten, wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße gegen den Data Act festzulegen. Unternehmen müssen insbesondere mit empfindlichen Geldbußen rechnen. Die Höhe dieser Bußgelder orientiert sich am Schweregrad des Verstoßes und kann sich – ähnlich wie bei der DSGVO – an einem prozentualen Anteil des weltweiten Jahresumsatzes bemessen.
Neben Bußgeldern sind auch Anordnungen der Aufsichtsbehörden und zivilrechtliche Schadensersatzansprüche denkbar, wenn Betroffene durch Verstöße einen materiellen oder immateriellen Schaden erleiden.
20. Wie ist das Verhältnis von Data Act und DSGVO?
Der Data Act führt Bereitstellungspflichten ein, die DSGVO regelt einen Datenminimierungsgrundsatz. Der Data Act lässt die Vorschriften der DSGVO unberührt. Soweit personenbezogene Daten verarbeitet werden, ist die DSGVO zu beachten. Im Kollisionsfall soll im Einklang mit Erwägungsgrund 7 des Data Acts das Schutzniveau der DSGVO nicht geschmälert werden, so dass die DSGVO Vorrang vor dem Data Act genießt. Insbesondere muss jede automatisierte Verarbeitung von personenbezogenen Daten auf einen gesetzlichen Erlaubnistatbestand gemäß Art. 6 DSGVO bzw. Art. 9 DSGVO gestützt werden können.
Der Data Act bietet selbst keine Rechtsgrundlage. So muss beispielsweise das Datenzugangsverlangen eines Datennutzers gemäß Art. 4 Data Act auf eine Rechtsgrundlage der DSGVO gestützt werden (Art. 4 Abs. 12 Data Act). Kommt keine Rechtsgrundlage nach der DSGVO in Betracht, hat der Dateninhaber die Daten zu anonymisieren oder kann nur personenbezogene Daten herausgeben, die den Nutzer betreffen. Die einzelfallabhängige Differenzierung zwischen personenbezogenen Daten und nicht-personenbezogenen Daten kann in der Praxis Schwierigkeiten bereiten.
Besonders praxisrelevant dürfte die Frage nach der Behandlung von untrennbar vermischten Daten und Daten mit unklarem Personenbezug werden. Erschwert wird die Abgrenzung durch Rechtsprechung, wonach der Personenbezug relativ unter Berücksichtigung des Zusammenwirkens mit den Mitteln des Empfängers beziehungsweise der jeweiligen Stelle hergestellt werden kann (EuGH, Urteil vom 09.11.2023, Az. C-319/22).
Handelt es sich um nicht-personenbezogene Daten, muss der Dateninhaber für die Benutzung der Daten einen Lizenzvertrag mit dem Nutzer schließen (Art. 4 Abs. 13 Data Act). Bei vermischten Daten oder für rein personenbezogene Daten bedarf es für die Nutzung des gesamten Datensatzes einer Rechtsgrundlage nach der DSGVO. Diese Struktur ermöglicht theoretisch eine Umgehung des Data Acts mitsamt seiner Lizenzverträge, indem Maschinendaten bewusst mit Personenbezug versehen werden. Nichtsdestotrotz ist es gerade für Hersteller empfehlenswert, eine sorgfältige Dateneinteilung vorzunehmen. Andernfalls entsteht das Risiko, entweder gegen die DSGVO oder gegen den Data Act zu verstoßen.
Sind Datennutzer und Betroffener dieselbe Person, kann die Datenverarbeitung der personenbezogenen Daten auf die Einwilligung des Betroffenen gestützt werden (Art. 6 Abs. 1 lit. a DSGVO). Unsicherheiten über die Rechtfertigungsmöglichkeit einer Datenverarbeitung bestehen dagegen vor allem, wenn die Trennung von Datennutzer und Betroffenem eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erforderlich macht. Bei Industriedaten, die keine personenbezogenen Daten sind, kommt es zu keiner Kollision mit der DSGVO.
Fraglich ist, inwieweit sich die praktische Ausgestaltung einer Datenlizenzvereinbarung am Ende von einer Einwilligung nach der DSGVO unterscheiden wird. Offen ist auch, welche Regelungen in Formularverträgen zulässig sind.
Wir sind eine Kanzlei für IT-Recht. Benötigen Sie Rechtsberatung zum Data Act? Nutzen Sie unsere kostenfreie Ersteinschätzung.
Hinweis: Dieser Beitrag wurde unter Mitwirkung unserer wissenschaftlichen Mitarbeiterin Laura Hellfeuer erstellt.