Autoren
Datum

21. Februar 2024

Diesen Beitrag teilen

Der im Januar 2024 in Kraft getretene EU-Data Act etabliert mit Wirkung ab September 2025 einen Rechtsrahmen für die Verwendung von Daten, die bei der Nutzung von vernetzten Produkten und verbundenen Diensten entstehen. Der Data Act zielt darauf ab, den Austausch und die Nutzung von Daten innerhalb des Europäischen Wirtschaftsraums zu erleichtern und zu fördern.

Neben typischen IoT-Produkten sind vom Data Act sehr viele Industrieprodukte mit elektronischer Steuerung und Datenzugang erfasst – von Wasch- über Werkzeugmaschinen bis hin zu Robotern. Eingeführt werden insbesondere ein Recht der Nutzer auf Datenzugang und Datenweitergabe sowie Vorgaben für die Vertragsgestaltung und Information der Nutzer. Darüber hinaus erhält der Data Act Regelungen zu weiteren Themen wie dem erleichterten Wechsel zwischen (Cloud-)Datenverarbeitungsdiensten und Vorgaben für Interoperabilität. Mit seinem weiten Anwendungsbereich bringt der Data Act für zahlreiche Unternehmen sowohl wichtige Compliance-Anforderungen wie auch neue Geschäftschancen mit sich.

I. Was sind die übergeordneten Ziele des Data Act?

Der Data Act soll einen europäischen Binnenmarkt für personenbezogene und nicht personenbezogene Daten schaffen und Datensilos aufbrechen. Er soll einen für den gesamten Europäischen Wirtschaftsraum geltenden Rechtsrahmen für das Nutzen und Teilen von Daten schaffen. So soll das Potenzial der aus Daten extrahierbaren Informationen freigesetzt werden, um wertvolles Wissen etwa in den Bereichen Gesundheit, Wissenschaft, Forschung und Klima zu gewinnen. Der europäische Gesetzgeber erkennt die vielfältigen Nutzungsmöglichkeiten von Daten an und strebt eine optimale Verteilung von Daten zum Nutzen der Gesellschaft an – zumindest soweit datenschutzrechtliche Regelungen nicht entgegenstehen (vgl. unten).

Hierzu sieht der Data Act zwei wesentliche Rechte zur Förderung der Datenökonomie vor. Zum einen erhält der Nutzer Zugang zu seinen Daten beim Dateninhaber, zum anderen kann der Nutzer die direkte Weitergabe der Daten an einen Dritten verlangen. Damit sollen insbesondere Folge- und Zusatzdienste gefördert werden. Der Dateninhaber unterliegt dabei bestimmten Pflichten und vorvertraglichen Informationspflichten gegenüber dem Nutzer.

II. Was regelt der Data Act und wieso ist der Data Act für die meisten (Industrie-)-Unternehmen relevant?

Der Data Act regelt in Kapitel II bis V die Verwendung personenbezogener und nicht personenbezogenen Daten, die im Zusammenhang mit der Nutzung von „vernetzten Produkten“ und damit „verbundenen Diensten“ entstehen, sowie damit im Zusammenhang stehende Punkte wie Informationspflichten und Vertragsgestaltung.

Die Begriffe „vernetztes Produkt“ und „verbundener Dienst“ sind sehr weit, sodass  der Data Act hohe Relevanz für die Mehrzahl der Unternehmen und insbesondere der Industrieunternehmen hat:

  • Ein vernetztes Produkt ist gemäß Art. 2 Nr. 5 Data Act „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer besteht“.

In a nutshell: Praktisch sind damit die allermeisten „Geräte“, die Daten über ihre Nutzung („Logfiles“) oder Umgebung erfassen und deren Daten online oder offline abrufbar sind, vom Anwendungsbereich des Data Acts erfasst. Als Faustregel kann man derzeit davon ausgehen, dass praktisch alle Geräte mit elektronischer Steuerung, gewisser Komplexität und Datenzugang erfasst sind, z.B.:
– Smarte Haushaltsgeräte wie Kühlschränke, Heizungen, Stromzähler usw.,
– Fitness Tracker, Navigationsgeräte
– Autos, Flugzeuge, Traktoren etc.,
– Medizingeräte mit elektronischer Steuerung und technischem Diagnosezugang,
– Industrieroboter,
– Werkzeugmaschinen mit elektronischer Steuerung, die Nutzungszustände erfasst,
– möglicherweise – entgegen dem ursprünglichen Entwurf der Europäischen Kommission (vgl. Erwägungsgrund 15) – auch PCs, Smartphones, etc.


  • Verbundene Dienste sind z.B. die Anwendungen, mit denen die vernetzten Produkte gesteuert oder ihre Funktionen erweitert werden (vgl. Art. 2 Nr. 6 Data Act).

Zwischenfazit: Den Data Act müssen nicht nur „Digitalunternehmen“ einhalten, sondern gerade auch Anbieter von klassischen Industrielösungen wie Hersteller von Werkzeugmaschinen mit elektronischer Steuerung und Datenschnittstellen.

Ein weiterer wesentlicher Regelungsbereich des Data Acts sind Datenverarbeitungsdienste. Hierbei handelt es sich insbesondere um Cloud-Lösungen und Dienste. Der Data Act enthält für deren Anbieter und Entwickler wesentliche Neuerungen hinsichtlich der Erleichterung von Wechseln zwischen Anbietern, Interoperabilität und Vertragsgestaltung.

Der räumliche Anwendungsbereich des Data Acts richtet sich – wie von der DSGVO bekannt – nach dem sog. Marktortprinzip. Erfasst sind damit nicht nur Unternehmen mit Sitz oder einer Niederlassung in der EU / dem EWR, sondern auch Hersteller aus Drittländern, soweit ihre vernetzten Produkte in der Union in den Verkehr gebracht werden.

III. Welche zentralen Verpflichtungen ergeben sich aus dem Data Act für Hersteller, Anbieter und Dateninhaber von vernetzten Produkten und verbundenen Diensten?

Zentrales Anliegen des Data Acts ist es, Daten (personenbezogene und nicht personenbezogene), die bei der Nutzung vernetzter Produkte anfallen, den Nutzern oder Dritten zur Verfügung zu stellen. Daten in diesem Sinne sind z.B. aufgezeichnete Nutzeraktionen und -befehle, Informationen über aufgetretene Fehler oder die bei der Nutzung herrschenden Umgebungsbedingungen wie Standort oder Temperatur. Ein Personenbezug ist – anders als im Datenschutzrecht – nicht erforderlich.

Dies bedeutet z.B. für die folgenden Adressaten:

  • Hersteller vernetzter Produkte / verbundener Dienste:
    • Produkt- / Dienstdesign: Vernetzte Produkte und verbundene Dienste müssen so gestaltet werden, dass der Nutzer und ggf. Dritte auf die Daten leicht zugreifen können („Datenzugang bei design“).
      Der Data Act verlangt, dass vernetzte Produkte und damit verbundene Dienste so gestaltet sein müssen, dass die relevanten Daten für den Nutzer standardmäßig einfach, sicher und unentgeltlich zugänglich sind (vgl. Art. 3 Abs. 1 Data Act). Erfasst werden beispielsweise Daten von Sensoren, Kameras oder GPS-Trackern. Dateninhaber müssen diese Anforderungen innerhalb bestimmter Übergangsfristen erfüllen, so greift . diese Regelung erst 32 Monate nach dem Inkrafttreten der Verordnung, d.h. ab dem 13. September 2026. Für Dateninhaber mit mehrjährigen Entwicklungszyklen besteht aber schon jetzt Handlungsbedarf.
    • Interoperabilität/Kompatibilität: Geräte verschiedener Hersteller müssen stärker als bisher miteinander kompatibel sein. Zudem gibt es Vorgaben für die Gestaltung von Datenräumen.
  • Verkäufer / Anbieter vernetzter Produkte / verbundener Dienste:
    • Transparenz: Der Nutzer muss vor Erwerb des Produktes / Bezug des Dienstes insb. über generierte Daten und ihre Verfügbarkeit informiert werden (vgl. z.B. Art. 3 Abs. 2 und 3 Data Act).
    • Datenverträge: Unternehmen müssen transparente und faire Datenverträge mit ihren Kunden abschließen.
  • Dateninhaber (z.B. Anbieter):
    • Recht des Nutzers auf Zugang und Nutzung: Nutzer von IoT-Produkten haben das Recht, auf die von ihren Geräten generierten Daten zuzugreifen und diese zu nutzen.
    • Recht auf Weitergabe von Daten an Dritte: Nutzer können verlangen, dass die generierten Daten auch an Dritte weitergegeben werden. Damit sollen insbesondere Folge- und Zusatzdienste gefördert werden.
    • Einschränkung der (eigenständigen) Datennutzung durch den Dateninhaber: Der Data Act regelt in Art. 4 Abs. 12 Data Act, dass nicht personenbezogene Daten grundsätzlich nur auf Grundlage eines Vertrages mit dem Nutzer und nicht für bestimmte Zwecke (z.B. um Einblicke in die Vermögenslage des Nutzers zu erlangen) verwendet werden dürfen.
    • Vorgaben für die Vertragsgestaltung bei Datenweitergabe: Der Data Act reguliert zudem, wie die vertraglichen Beziehungen bei einer Datenweitergabe zwischen Unternehmen gestaltet sein müssen (vgl. insb. Art. 8 ff. Data Act). Dies gilt sowohl, wenn die Datenweitergabe auf Verlangen des Nutzers erfolgt, wie auch, wenn sie vom Dateninhaber eigenständig erfolgt (vgl. Art. 4 Abs. 13 Data Act). Zudem ist die eigenständige Weitergabe von bestimmten Daten an Dritte nur zur Erfüllung des Vertrages mit dem Nutzer zulässig (vgl. Art. 4 Abs. 14 Data Act). Es ist daher wesentlich, in den Verträgen mit den Nutzern entsprechende „Datennutzungs- und -weitergabeklauseln“ aufzunehmen.
    • Verbot missbräuchlicher Vertragsklauseln: Missbräuchliche Vertragsklauseln in Bezug auf Datenzugang und -nutzung zwischen Unternehmen werden ausgeschlossen. Diese Regelungen finden für Neuverträge ab dem 13. September 2025 und für Altverträge ab dem 12. September 2027 unmittelbare Anwendung (Kapitel IV des Data Acts).
    • Vorgaben für Interoperabilität: Vorgaben für Interoperabilität werden etwa für Teilnehmer an Datenräumen gemacht (vgl. Art. 33 ff. Data Act).
  • Öffentliche Stellen: Die Art. 14 bis 22 Data Act regeln Datenzugangsansprüche für öffentliche Stellen. In Notfällen soll die öffentliche Hand in begrenztem Umfang Zugang zu Daten von Dateninhabern erhalten. Dies soll ihnen ermöglichen, auf öffentliche Ausnahmezustände zu reagieren.

Zwischenfazit: Insbesondere die zahlreichen Verpflichtungen für Dateninhaber sind für viele Unternehmen relevant. Insofern müssen nicht nur (wo noch nicht vorhanden) die technischen Möglichkeiten für die Erfüllung der Rechte auf Datenzugang und -weitergabe geschaffen werden, sondern auch Informationspflichten erfüllt und vertragliche Grundlagen zur Datennutzung geschaffen werden. Spiegelbildlich zu den Verpflichtungen bringt der Data Act für Unternehmen Potentiale, insbesondere Folge- und Zusatzdienste werden von den regulatorischen Vorgaben profitieren.

IV. Was sind wesentliche Neuerungen für Datenverarbeitungsdienste und Anbieter von Cloud-Diensten?

Ein weiterer Regelungsbereich sind Datenverarbeitungsdienste. Hierbei handelt es sich insbesondere um Cloud-Lösungen.

  • Die Regelungen in den Art. 23 bis 31 sowie Art. 33 bis 36 Data Act zielen darauf ab, den Lock-In-Effekt zu reduzieren, der durch den Wechsel zwischen Datenverarbeitungsdiensten (insbesondere Cloud-Anbieter wie Amazon Web Services) entstehen kann.
  • Datenverarbeitungsdienste sollen den Kunden künftig ermöglichen, ihre Daten einfach und kostengünstig von einem Anbieter zu einem anderen zu übertragen. Dies soll Kunden die Wahlfreiheit bei ihren Datenverarbeitungsdiensten erleichtern und den Wettbewerb fördern. Der Gesetzgeber strebt kürzere Kündigungsfristen, technische Unterstützung und die schrittweise Abschaffung von Wechselentgelten an.
  • Interoperabilität wird ebenfalls adressiert, um die Zusammenarbeit verschiedener Datenräume und -netzwerke zu fördern. Datenverarbeitungsdienste sollen ihre Systeme so gestalten, dass sie besser miteinander zusammenarbeiten können. Dies soll den Austausch von Daten erleichtern und die Entwicklung neuer Datenprodukte und -dienste ermöglichen.

V. In welchem Verhältnis steht der Data Act zur DSGVO?

Der Data Act umfasst sowohl nicht personenbezogene als auch personenbezogene Daten und bezieht sich damit vom Anwendungsbereich insgesamt auf die Regulierung von Daten. Insofern tritt der Data Act für personenbezogene Daten neben die DSGVO. Das ist nicht selbstverständlich, weil der Grundsatz der “Datenteilung”, dem der Data Act folgt, mit dem in der DSGVO enthaltenen Grundsatz der Datenminimierung in einem Spannungsverhältnis steht.

Zwar regelt der Data Act einen potenziellen Konflikt im Grundsatz dadurch, dass er der DSGVO Vorrang einräumt. Es wird jedoch in der Anwendung oft schwierig sein, festzustellen, ob tatsächlich ein Konflikt vorliegt. So wird sich etwa die Frage stellen, ob eine Datenverwendung nach dem Data Act auch zu einer Rechtfertigung für die Datenverarbeitung nach der DSGVO führt. Der Data Act stellt allerdings auch klar, dass die Regelungen des Data Acts selbst keine Rechtsgrundlage im Sinne der DSGVO darstellen (vgl. Erwägungsgrund 7 Data Act).

VI. Wie erfolgt die Durchsetzung des Data Acts? Welche Sanktionen drohen?

Vergleichbar der DSGVO sieht der Data Act vor, dass seine Einhaltung durch Aufsichtsbehörden der Mitgliedstaaten überwacht wird (Art. 37 Data Act). Diese erhalten eine Reihe von Eingriffsrechten (z.B. Untersuchungsbefugnisse). Auf europäischer Ebene unterstützt das European Data Innovation Board (EDIB) die einheitliche Anwendung des Data Act. Darüber hinaus müssen die Mitgliedsstaaten wirksame und abschreckende Sanktionen wie z.B. Bußgelder vorsehen. Es bleibt abzuwarten, ob die Mitgliedsstaaten hier etwa an die Vorgaben der DSGVO anknüpfen.

Ferner haben die jeweils betroffenen Akteure selbstverständlich Rechte auf Beschwerde bei den Aufsichtsbehörden und auf gerichtlichen Rechtsbehelf. Der Data Act hat damit eine stark wettbewerbsrechtliche Komponente.

VII. Welche Geschäftschancen und -risiken bietet der Data Act?

Für Unternehmen, deren Angebote unter den Data Act fallen, ist die Anpassung der eigenen Angebote und Prozesse entscheidend, um die bisherige Datennutzung für das eigene Geschäftsmodell abzusichern und die zu erwartenden empfindlichen Sanktionen für Verstöße gegen den Data Act zu vermeiden. Dies bedeutet insbesondere:

  • Der Data Act sollte bereits bei Produkt- und Dienstdesign berücksichtigt werden.
  • Er erfordert zudem eine Anpassung der Prozesse für den Vertrieb von Produkten und verbundenen Diensten, um etwa Transparenzanforderungen zu genügen, sowie eine Anpassung vieler Verträge, insbesondere die Aufnahme von (dem Data Act entsprechenden) „Datennutzungsklauseln“.
  • Zudem müssen in vielen Fällen Prozesse – insbesondere zur Erfüllung der Nutzerrechte – etabliert werden.

Zugleich bietet der Data Act viele neue Geschäftschancen:

  • Für Hersteller und Anbieter von vernetzten Produkten und verbundenen Diensten ist die Integration von Lösungen zur Einhaltung des Data Acts ein Verkaufsargument.
  • Die Erleichterung des Wechsels von Datenverarbeitungsdiensten erleichtert die Gewinnung von Kunden, insbesondere für noch nicht am Markt etablierte bzw. kleinere Anbieter.
  • Unternehmen erhalten leichter Daten, um neue Geschäftsmodelle zu entwickeln. Der Zugang zu Daten vernetzter Produkte durch neue Anbieter hat das Potential neue Märkte zu schaffen (z.B. Nutzung von Daten vernetzter Autos für Verkehrsvorhersagen, Nutzung von Daten von Medizingeräten für die Entwicklung neuer Therapieansätze).
  • Durch die gesteigerte Fungibilität von Daten können bestehende Datenbestände kommerziell besser verwertet werden – und die Schaffung eigener Datensammlungen durch geschickte Datennutzungsverträgen mit Nutzern Wert schaffen.

VIII. Was sind unmittelbare Umsetzungsschritte für Ihr Unternehmen?

Next step: Angesichts des bereits erfolgten Inkrafttretens des Data Acts sollte frühzeitig analysiert werden, inwiefern ihre bisherigen geschäftlichen Aktivitäten vom Data Act betroffen sind und/oder sich Chancen ergeben. Hierzu ist es wichtig, sich bereits jetzt aktiv frühzeitig mit den neuen Regelungen auseinanderzusetzen. Ausgehend hiervon kann eine Betroffenheits- und Chancenanalyse („Mapping“) erfolgen, die Grundlage für die weiteren Schritte ist.

Diese weiteren Schritte umfassen typischerweise:

  1. Berücksichtigung bei der Produktentwicklung
    Insbesondere im Hinblick auf den „Datenzugang by design“ sollten Anbieter von vernetzten Produkten oder verbundenen Diensten frühzeitig Aspekte des Data Acts beachten.
  2. Prüfung und Anpassung von bestehenden Verträgen und AGB
    Da der Data Act auch das „Daten-AGB-Recht“ regelt, ist es ratsam, bestehende Verträge und Allgemeine Geschäftsbedingungen daraufhin zu überprüfen, ob sie im Einklang mit den neuen Bestimmungen stehen. Eine frühzeitige Anpassung und eventuelle Neuverhandlung können rechtliche Unsicherheiten vermeiden.
  3. Anpassung von Prozessen
    Wesentlich ist regelmäßig die Anpassung bzw. Schaffung von Prozessen, etwa um Nutzerrechte zu erfüllen.
  4. Monitoring und Compliance-Management
    Die betroffenen Akteure sollten effektive Monitoring- und Compliance-Management-Systeme implementieren, um fortlaufend sicherzustellen, dass die Anforderungen des Data Acts erfüllt werden. Dies ermöglicht eine schnelle Reaktion auf etwaige Lücken in der eigenen Compliance sowie auf Veränderungen oder Anpassungen der gesetzlichen Rahmenbedingungen.
  5. Entwicklung neuer Geschäftsmodelle
    Die betroffenen Akteure sollten die sich durch den Data Act ergebenden Geschäftschancen nutzen.

EU Data Act: Neues „Datenrecht“ mit hoher Relevanz für alle Industrieunternehmen

Der im Januar 2024 in Kraft getretene EU-Data Act etabliert mit Wirkung ab September 2025 einen Rechtsrahmen für die Verwendung von Daten, die bei der Nutzung von vernetzten Produkten und verbundenen Diensten entstehen. Der Data Act zielt darauf ab, den Austausch und die Nutzung von Daten innerhalb des Europäischen Wirtschaftsraums zu erleichtern und zu fördern.

Neben typischen IoT-Produkten sind vom Data Act sehr viele Industrieprodukte mit elektronischer Steuerung und Datenzugang erfasst – von Wasch- über Werkzeugmaschinen bis hin zu Robotern. Eingeführt werden insbesondere ein Recht der Nutzer auf Datenzugang und Datenweitergabe sowie Vorgaben für die Vertragsgestaltung und Information der Nutzer. Darüber hinaus erhält der Data Act Regelungen zu weiteren Themen wie dem erleichterten Wechsel zwischen (Cloud-)Datenverarbeitungsdiensten und Vorgaben für Interoperabilität. Mit seinem weiten Anwendungsbereich bringt der Data Act für zahlreiche Unternehmen sowohl wichtige Compliance-Anforderungen wie auch neue Geschäftschancen mit sich.

I. Was sind die übergeordneten Ziele des Data Act?

Der Data Act soll einen europäischen Binnenmarkt für personenbezogene und nicht personenbezogene Daten schaffen und Datensilos aufbrechen. Er soll einen für den gesamten Europäischen Wirtschaftsraum geltenden Rechtsrahmen für das Nutzen und Teilen von Daten schaffen. So soll das Potenzial der aus Daten extrahierbaren Informationen freigesetzt werden, um wertvolles Wissen etwa in den Bereichen Gesundheit, Wissenschaft, Forschung und Klima zu gewinnen. Der europäische Gesetzgeber erkennt die vielfältigen Nutzungsmöglichkeiten von Daten an und strebt eine optimale Verteilung von Daten zum Nutzen der Gesellschaft an – zumindest soweit datenschutzrechtliche Regelungen nicht entgegenstehen (vgl. unten).

Hierzu sieht der Data Act zwei wesentliche Rechte zur Förderung der Datenökonomie vor. Zum einen erhält der Nutzer Zugang zu seinen Daten beim Dateninhaber, zum anderen kann der Nutzer die direkte Weitergabe der Daten an einen Dritten verlangen. Damit sollen insbesondere Folge- und Zusatzdienste gefördert werden. Der Dateninhaber unterliegt dabei bestimmten Pflichten und vorvertraglichen Informationspflichten gegenüber dem Nutzer.

II. Was regelt der Data Act und wieso ist der Data Act für die meisten (Industrie-)-Unternehmen relevant?

Der Data Act regelt in Kapitel II bis V die Verwendung personenbezogener und nicht personenbezogenen Daten, die im Zusammenhang mit der Nutzung von „vernetzten Produkten“ und damit „verbundenen Diensten“ entstehen, sowie damit im Zusammenhang stehende Punkte wie Informationspflichten und Vertragsgestaltung.

Die Begriffe „vernetztes Produkt“ und „verbundener Dienst“ sind sehr weit, sodass  der Data Act hohe Relevanz für die Mehrzahl der Unternehmen und insbesondere der Industrieunternehmen hat:

  • Ein vernetztes Produkt ist gemäß Art. 2 Nr. 5 Data Act „ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer besteht“.

In a nutshell: Praktisch sind damit die allermeisten „Geräte“, die Daten über ihre Nutzung („Logfiles“) oder Umgebung erfassen und deren Daten online oder offline abrufbar sind, vom Anwendungsbereich des Data Acts erfasst. Als Faustregel kann man derzeit davon ausgehen, dass praktisch alle Geräte mit elektronischer Steuerung, gewisser Komplexität und Datenzugang erfasst sind, z.B.:
– Smarte Haushaltsgeräte wie Kühlschränke, Heizungen, Stromzähler usw.,
– Fitness Tracker, Navigationsgeräte
– Autos, Flugzeuge, Traktoren etc.,
– Medizingeräte mit elektronischer Steuerung und technischem Diagnosezugang,
– Industrieroboter,
– Werkzeugmaschinen mit elektronischer Steuerung, die Nutzungszustände erfasst,
– möglicherweise – entgegen dem ursprünglichen Entwurf der Europäischen Kommission (vgl. Erwägungsgrund 15) – auch PCs, Smartphones, etc.


  • Verbundene Dienste sind z.B. die Anwendungen, mit denen die vernetzten Produkte gesteuert oder ihre Funktionen erweitert werden (vgl. Art. 2 Nr. 6 Data Act).

Zwischenfazit: Den Data Act müssen nicht nur „Digitalunternehmen“ einhalten, sondern gerade auch Anbieter von klassischen Industrielösungen wie Hersteller von Werkzeugmaschinen mit elektronischer Steuerung und Datenschnittstellen.

Ein weiterer wesentlicher Regelungsbereich des Data Acts sind Datenverarbeitungsdienste. Hierbei handelt es sich insbesondere um Cloud-Lösungen und Dienste. Der Data Act enthält für deren Anbieter und Entwickler wesentliche Neuerungen hinsichtlich der Erleichterung von Wechseln zwischen Anbietern, Interoperabilität und Vertragsgestaltung.

Der räumliche Anwendungsbereich des Data Acts richtet sich – wie von der DSGVO bekannt – nach dem sog. Marktortprinzip. Erfasst sind damit nicht nur Unternehmen mit Sitz oder einer Niederlassung in der EU / dem EWR, sondern auch Hersteller aus Drittländern, soweit ihre vernetzten Produkte in der Union in den Verkehr gebracht werden.

III. Welche zentralen Verpflichtungen ergeben sich aus dem Data Act für Hersteller, Anbieter und Dateninhaber von vernetzten Produkten und verbundenen Diensten?

Zentrales Anliegen des Data Acts ist es, Daten (personenbezogene und nicht personenbezogene), die bei der Nutzung vernetzter Produkte anfallen, den Nutzern oder Dritten zur Verfügung zu stellen. Daten in diesem Sinne sind z.B. aufgezeichnete Nutzeraktionen und -befehle, Informationen über aufgetretene Fehler oder die bei der Nutzung herrschenden Umgebungsbedingungen wie Standort oder Temperatur. Ein Personenbezug ist – anders als im Datenschutzrecht – nicht erforderlich.

Dies bedeutet z.B. für die folgenden Adressaten:

  • Hersteller vernetzter Produkte / verbundener Dienste:
    • Produkt- / Dienstdesign: Vernetzte Produkte und verbundene Dienste müssen so gestaltet werden, dass der Nutzer und ggf. Dritte auf die Daten leicht zugreifen können („Datenzugang bei design“).
      Der Data Act verlangt, dass vernetzte Produkte und damit verbundene Dienste so gestaltet sein müssen, dass die relevanten Daten für den Nutzer standardmäßig einfach, sicher und unentgeltlich zugänglich sind (vgl. Art. 3 Abs. 1 Data Act). Erfasst werden beispielsweise Daten von Sensoren, Kameras oder GPS-Trackern. Dateninhaber müssen diese Anforderungen innerhalb bestimmter Übergangsfristen erfüllen, so greift . diese Regelung erst 32 Monate nach dem Inkrafttreten der Verordnung, d.h. ab dem 13. September 2026. Für Dateninhaber mit mehrjährigen Entwicklungszyklen besteht aber schon jetzt Handlungsbedarf.
    • Interoperabilität/Kompatibilität: Geräte verschiedener Hersteller müssen stärker als bisher miteinander kompatibel sein. Zudem gibt es Vorgaben für die Gestaltung von Datenräumen.
  • Verkäufer / Anbieter vernetzter Produkte / verbundener Dienste:
    • Transparenz: Der Nutzer muss vor Erwerb des Produktes / Bezug des Dienstes insb. über generierte Daten und ihre Verfügbarkeit informiert werden (vgl. z.B. Art. 3 Abs. 2 und 3 Data Act).
    • Datenverträge: Unternehmen müssen transparente und faire Datenverträge mit ihren Kunden abschließen.
  • Dateninhaber (z.B. Anbieter):
    • Recht des Nutzers auf Zugang und Nutzung: Nutzer von IoT-Produkten haben das Recht, auf die von ihren Geräten generierten Daten zuzugreifen und diese zu nutzen.
    • Recht auf Weitergabe von Daten an Dritte: Nutzer können verlangen, dass die generierten Daten auch an Dritte weitergegeben werden. Damit sollen insbesondere Folge- und Zusatzdienste gefördert werden.
    • Einschränkung der (eigenständigen) Datennutzung durch den Dateninhaber: Der Data Act regelt in Art. 4 Abs. 12 Data Act, dass nicht personenbezogene Daten grundsätzlich nur auf Grundlage eines Vertrages mit dem Nutzer und nicht für bestimmte Zwecke (z.B. um Einblicke in die Vermögenslage des Nutzers zu erlangen) verwendet werden dürfen.
    • Vorgaben für die Vertragsgestaltung bei Datenweitergabe: Der Data Act reguliert zudem, wie die vertraglichen Beziehungen bei einer Datenweitergabe zwischen Unternehmen gestaltet sein müssen (vgl. insb. Art. 8 ff. Data Act). Dies gilt sowohl, wenn die Datenweitergabe auf Verlangen des Nutzers erfolgt, wie auch, wenn sie vom Dateninhaber eigenständig erfolgt (vgl. Art. 4 Abs. 13 Data Act). Zudem ist die eigenständige Weitergabe von bestimmten Daten an Dritte nur zur Erfüllung des Vertrages mit dem Nutzer zulässig (vgl. Art. 4 Abs. 14 Data Act). Es ist daher wesentlich, in den Verträgen mit den Nutzern entsprechende „Datennutzungs- und -weitergabeklauseln“ aufzunehmen.
    • Verbot missbräuchlicher Vertragsklauseln: Missbräuchliche Vertragsklauseln in Bezug auf Datenzugang und -nutzung zwischen Unternehmen werden ausgeschlossen. Diese Regelungen finden für Neuverträge ab dem 13. September 2025 und für Altverträge ab dem 12. September 2027 unmittelbare Anwendung (Kapitel IV des Data Acts).
    • Vorgaben für Interoperabilität: Vorgaben für Interoperabilität werden etwa für Teilnehmer an Datenräumen gemacht (vgl. Art. 33 ff. Data Act).
  • Öffentliche Stellen: Die Art. 14 bis 22 Data Act regeln Datenzugangsansprüche für öffentliche Stellen. In Notfällen soll die öffentliche Hand in begrenztem Umfang Zugang zu Daten von Dateninhabern erhalten. Dies soll ihnen ermöglichen, auf öffentliche Ausnahmezustände zu reagieren.

Zwischenfazit: Insbesondere die zahlreichen Verpflichtungen für Dateninhaber sind für viele Unternehmen relevant. Insofern müssen nicht nur (wo noch nicht vorhanden) die technischen Möglichkeiten für die Erfüllung der Rechte auf Datenzugang und -weitergabe geschaffen werden, sondern auch Informationspflichten erfüllt und vertragliche Grundlagen zur Datennutzung geschaffen werden. Spiegelbildlich zu den Verpflichtungen bringt der Data Act für Unternehmen Potentiale, insbesondere Folge- und Zusatzdienste werden von den regulatorischen Vorgaben profitieren.

IV. Was sind wesentliche Neuerungen für Datenverarbeitungsdienste und Anbieter von Cloud-Diensten?

Ein weiterer Regelungsbereich sind Datenverarbeitungsdienste. Hierbei handelt es sich insbesondere um Cloud-Lösungen.

  • Die Regelungen in den Art. 23 bis 31 sowie Art. 33 bis 36 Data Act zielen darauf ab, den Lock-In-Effekt zu reduzieren, der durch den Wechsel zwischen Datenverarbeitungsdiensten (insbesondere Cloud-Anbieter wie Amazon Web Services) entstehen kann.
  • Datenverarbeitungsdienste sollen den Kunden künftig ermöglichen, ihre Daten einfach und kostengünstig von einem Anbieter zu einem anderen zu übertragen. Dies soll Kunden die Wahlfreiheit bei ihren Datenverarbeitungsdiensten erleichtern und den Wettbewerb fördern. Der Gesetzgeber strebt kürzere Kündigungsfristen, technische Unterstützung und die schrittweise Abschaffung von Wechselentgelten an.
  • Interoperabilität wird ebenfalls adressiert, um die Zusammenarbeit verschiedener Datenräume und -netzwerke zu fördern. Datenverarbeitungsdienste sollen ihre Systeme so gestalten, dass sie besser miteinander zusammenarbeiten können. Dies soll den Austausch von Daten erleichtern und die Entwicklung neuer Datenprodukte und -dienste ermöglichen.

V. In welchem Verhältnis steht der Data Act zur DSGVO?

Der Data Act umfasst sowohl nicht personenbezogene als auch personenbezogene Daten und bezieht sich damit vom Anwendungsbereich insgesamt auf die Regulierung von Daten. Insofern tritt der Data Act für personenbezogene Daten neben die DSGVO. Das ist nicht selbstverständlich, weil der Grundsatz der “Datenteilung”, dem der Data Act folgt, mit dem in der DSGVO enthaltenen Grundsatz der Datenminimierung in einem Spannungsverhältnis steht.

Zwar regelt der Data Act einen potenziellen Konflikt im Grundsatz dadurch, dass er der DSGVO Vorrang einräumt. Es wird jedoch in der Anwendung oft schwierig sein, festzustellen, ob tatsächlich ein Konflikt vorliegt. So wird sich etwa die Frage stellen, ob eine Datenverwendung nach dem Data Act auch zu einer Rechtfertigung für die Datenverarbeitung nach der DSGVO führt. Der Data Act stellt allerdings auch klar, dass die Regelungen des Data Acts selbst keine Rechtsgrundlage im Sinne der DSGVO darstellen (vgl. Erwägungsgrund 7 Data Act).

VI. Wie erfolgt die Durchsetzung des Data Acts? Welche Sanktionen drohen?

Vergleichbar der DSGVO sieht der Data Act vor, dass seine Einhaltung durch Aufsichtsbehörden der Mitgliedstaaten überwacht wird (Art. 37 Data Act). Diese erhalten eine Reihe von Eingriffsrechten (z.B. Untersuchungsbefugnisse). Auf europäischer Ebene unterstützt das European Data Innovation Board (EDIB) die einheitliche Anwendung des Data Act. Darüber hinaus müssen die Mitgliedsstaaten wirksame und abschreckende Sanktionen wie z.B. Bußgelder vorsehen. Es bleibt abzuwarten, ob die Mitgliedsstaaten hier etwa an die Vorgaben der DSGVO anknüpfen.

Ferner haben die jeweils betroffenen Akteure selbstverständlich Rechte auf Beschwerde bei den Aufsichtsbehörden und auf gerichtlichen Rechtsbehelf. Der Data Act hat damit eine stark wettbewerbsrechtliche Komponente.

VII. Welche Geschäftschancen und -risiken bietet der Data Act?

Für Unternehmen, deren Angebote unter den Data Act fallen, ist die Anpassung der eigenen Angebote und Prozesse entscheidend, um die bisherige Datennutzung für das eigene Geschäftsmodell abzusichern und die zu erwartenden empfindlichen Sanktionen für Verstöße gegen den Data Act zu vermeiden. Dies bedeutet insbesondere:

  • Der Data Act sollte bereits bei Produkt- und Dienstdesign berücksichtigt werden.
  • Er erfordert zudem eine Anpassung der Prozesse für den Vertrieb von Produkten und verbundenen Diensten, um etwa Transparenzanforderungen zu genügen, sowie eine Anpassung vieler Verträge, insbesondere die Aufnahme von (dem Data Act entsprechenden) „Datennutzungsklauseln“.
  • Zudem müssen in vielen Fällen Prozesse – insbesondere zur Erfüllung der Nutzerrechte – etabliert werden.

Zugleich bietet der Data Act viele neue Geschäftschancen:

  • Für Hersteller und Anbieter von vernetzten Produkten und verbundenen Diensten ist die Integration von Lösungen zur Einhaltung des Data Acts ein Verkaufsargument.
  • Die Erleichterung des Wechsels von Datenverarbeitungsdiensten erleichtert die Gewinnung von Kunden, insbesondere für noch nicht am Markt etablierte bzw. kleinere Anbieter.
  • Unternehmen erhalten leichter Daten, um neue Geschäftsmodelle zu entwickeln. Der Zugang zu Daten vernetzter Produkte durch neue Anbieter hat das Potential neue Märkte zu schaffen (z.B. Nutzung von Daten vernetzter Autos für Verkehrsvorhersagen, Nutzung von Daten von Medizingeräten für die Entwicklung neuer Therapieansätze).
  • Durch die gesteigerte Fungibilität von Daten können bestehende Datenbestände kommerziell besser verwertet werden – und die Schaffung eigener Datensammlungen durch geschickte Datennutzungsverträgen mit Nutzern Wert schaffen.

VIII. Was sind unmittelbare Umsetzungsschritte für Ihr Unternehmen?

Next step: Angesichts des bereits erfolgten Inkrafttretens des Data Acts sollte frühzeitig analysiert werden, inwiefern ihre bisherigen geschäftlichen Aktivitäten vom Data Act betroffen sind und/oder sich Chancen ergeben. Hierzu ist es wichtig, sich bereits jetzt aktiv frühzeitig mit den neuen Regelungen auseinanderzusetzen. Ausgehend hiervon kann eine Betroffenheits- und Chancenanalyse („Mapping“) erfolgen, die Grundlage für die weiteren Schritte ist.

Diese weiteren Schritte umfassen typischerweise:

  1. Berücksichtigung bei der Produktentwicklung
    Insbesondere im Hinblick auf den „Datenzugang by design“ sollten Anbieter von vernetzten Produkten oder verbundenen Diensten frühzeitig Aspekte des Data Acts beachten.
  2. Prüfung und Anpassung von bestehenden Verträgen und AGB
    Da der Data Act auch das „Daten-AGB-Recht“ regelt, ist es ratsam, bestehende Verträge und Allgemeine Geschäftsbedingungen daraufhin zu überprüfen, ob sie im Einklang mit den neuen Bestimmungen stehen. Eine frühzeitige Anpassung und eventuelle Neuverhandlung können rechtliche Unsicherheiten vermeiden.
  3. Anpassung von Prozessen
    Wesentlich ist regelmäßig die Anpassung bzw. Schaffung von Prozessen, etwa um Nutzerrechte zu erfüllen.
  4. Monitoring und Compliance-Management
    Die betroffenen Akteure sollten effektive Monitoring- und Compliance-Management-Systeme implementieren, um fortlaufend sicherzustellen, dass die Anforderungen des Data Acts erfüllt werden. Dies ermöglicht eine schnelle Reaktion auf etwaige Lücken in der eigenen Compliance sowie auf Veränderungen oder Anpassungen der gesetzlichen Rahmenbedingungen.
  5. Entwicklung neuer Geschäftsmodelle
    Die betroffenen Akteure sollten die sich durch den Data Act ergebenden Geschäftschancen nutzen.
Footer Mood

Bitte warten...