Zurück zur Übersicht
25.02.2025Fachbeitrag

Update Datenschutz Nr. 200

Der Data Act: Chancen und Herausforderungen für Unternehmen

Mit dem Data Act (VO (EU) 2023/2854) hat die EU einen neuen rechtlichen Rahmen geschaffen, um den Zugang zu und die Nutzung von Daten innerhalb der EU zu regeln. Der bereits Ende 2023 beschlossene Data Act (wir berichteten in Datenschutz Update Nr. 148, Nr. 158 und Nr. 187) ist am 11. Januar 2024 in Kraft getreten. Die Übergangfrist für die wesentlichen Inhalte der Verordnung läuft zum 12. September 2025 aus.

Der Data Act (DA) soll Verbraucherrechte stärken und kleinen und mittelständischen Unternehmen Datenzugriff ermöglichen. Hinzu kommen neue Anforderungen an Produktdesign, Vertragsgestaltung und Interoperabilität und dazu Datenzugangsverpflichtungen und -ansprüche insbesondere für Dateninhaber und -empfänger sowie Datenverarbeitungsdienste.

Im Folgenden soll ein Überblick über die wesentlichen, aus dem Data Act resultierenden Pflichten sowie die daraus ergebenden wirtschaftlichen Chancen und Risiken für die betroffenen Unternehmen gegeben werden.

I. Anwendungsbereich

Der sachliche Anwendungsbereich des Data Act wird in Art. 1 DA festgelegt und umfasst insbesondere vernetzte Produkte und verbundene Dienste, die während ihrer Nutzung digitale Daten erzeugen oder verarbeiten. Ein „vernetztes Produkt“ ist gem. Art. 2 Nr. 5 DA ein „Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist“. Dies sind etwa IoT-Geräte in Bereichen wie Consumer Electronics, Smart Home, Mobilität, Industrie oder Medizintechnik.

Art. 1 Abs. 2 DA beschreibt die erfassten Datenkategorien und stellt klar, dass sowohl personenbezogene als auch nicht-personenbezogene Daten erfasst sind. Für personenbezogene Daten bleibt das bereits geltende Datenschutzrecht, insbesondere die DSGVO, unberührt (vgl. Art. 1 Abs. 5 DA). Dies kann in der Praxis jedoch zu erheblichen Abgrenzungs- und Auslegungsproblemen führen, insbesondere bei der Bestimmung der anwendbaren Rechtsgrundlagen und der Vereinbarkeit der Datenzugangsansprüche des Data Act mit den Schutzvorgaben der DSGVO.

In Bezug auf den persönlichen Anwendungsbereich folgt der Data Act dem Marktortprinzip (Art. 1 Abs. 3 DA), was für Unternehmen außerhalb der EU bedeutet, dass sie den Regelungen unterliegen, sofern sie vernetzte Produkte oder Dienste in der EU anbieten. Erfasst sind Hersteller, Anbieter verbundener Dienste, Nutzer, Dateninhaber, Datenempfänger und Anbieter von Datenverarbeitungsdiensten. Auch öffentliche Stellen können unter bestimmten Bedingungen Daten anfordern (Artikel 14 ff. DA).

Hinzukommt die Einbeziehung virtueller Assistenten in den Anwendungsbereich (Art. 1 Abs. 4 DA). Diese Softwarelösungen – etwa Sprachassistenten oder KI-basierte Steuerungssysteme – verarbeiten Nutzereingaben und interagieren mit vernetzten Produkten oder verbundenen Diensten. Die genaue Abgrenzung zwischen virtuellen Assistenten und verbundenen Diensten bleibt jedoch offen, was zu Unsicherheiten in der rechtlichen Verantwortlichkeit führen kann.

II. Pflichten

Der Data Act normiert umfangreiche Pflichten für alle Akteure der datenbasierten Wirtschaft, insbesondere für Dateninhaber und Datenempfänger. Von den Anforderungen des Data Acts weitgehend ausgenommen, sind allerdings kleine und Kleinstunternehmen. Dazu zählen alle Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz bzw. einer Jahresbilanz von unter 10 Mio. EUR.

1. Pflichten der Dateninhaber und Datenempfänger gegenüber den Nutzern

a) Pflichten der Dateninhaber gegenüber Nutzern

Dateninhaber sind natürliche oder juristische Personen, die nach dem Data Act oder anderen rechtlichen Vorgaben berechtigt oder verpflichtet sind, Daten aus vernetzten Produkten oder verbundenen Diensten bereitzustellen (Art. 2 Nr. 13 DA). Sie unterliegen umfangreichen Pflichten hinsichtlich der Bereitstellung von Daten gegenüber den Nutzern dieser Produkte.

Zunächst müssen Dateninhaber weitreichenden Informationspflichten gegenüber den Nutzern vernetzter Produkte und verbundener Dienste nachkommen, bevor ein entsprechender Kauf-, Miet- oder sonstiger Nutzungsvertrag geschlossen wird. Sie müssen detailliert darüber aufklären, welche Daten durch das Produkt generiert und gespeichert werden, wie lange diese Daten aufbewahrt werden und auf welche Weise der Nutzer auf sie zugreifen kann. Darüber hinaus sind sie verpflichtet, den Nutzer über potenzielle Datenempfänger und die Bedingungen einer möglichen Weitergabe zu informieren (Art. 3 Abs. 2 und 3 DA).

Neben dieser Transparenzverpflichtung sichert der Data Act auch ein direktes Zugangsrecht des Nutzers zu den durch das vernetzte Produkt erzeugten und gespeicherten Daten.

Der Dateninhaber muss den Datenzugriff direkt vom vernetzen Produkt ermöglichen, soweit dies technisch möglich und angemessen ist. Ansonsten ist er verpflichtet die Daten unverzüglich, einfach, sicher, unentgeltlich, in einer umfassenden, gängigen und maschinenlesbaren Form und in Echtzeit bereitzustellen (Art. 4 Abs. 1 DA).

Darüber hinaus regelt der Data Act, unter welchen Bedingungen eine Weitergabe der Daten erfolgen darf. Der Dateninhaber darf die durch das Produkt generierten Daten nur dann für eigene Zwecke nutzen oder an Dritte weitergeben, wenn der Nutzer dem vertraglich zustimmt. Dies betrifft insbesondere nicht-personenbezogene Daten, während für personenbezogene Daten weiterhin die Regelungen der DSGVO gelten (Art. 4 Abs. 13 und 14 DA).

Zum Schutz sensibler Unternehmensinformationen kann der Dateninhaber den Zugriff auf bestimmte Daten verweigern, sofern deren Offenlegung erhebliche wirtschaftliche Schäden nach sich ziehen oder Geschäftsgeheimnisse gefährden würde. Allerdings dürfen diese Schutzmaßnahmen nicht missbräuchlich eingesetzt werden, um den gesetzlich garantierten Datenzugang des Nutzers in unzulässiger Weise zu beschränken (Art. 4 Abs. 6-9 DA).

Schließlich enthält der Data Act auch Einschränkungen für die Nutzung der erhaltenen Daten durch den Nutzer. Er darf diese nicht dazu verwenden, ein konkurrierendes vernetztes Produkt zu entwickeln oder um Rückschlüsse auf die wirtschaftlichen Geschäftsgeheimnisse des Dateninhabers zu ziehen. Dadurch soll verhindert werden, dass der durch den Data Act eröffnete Datenzugang zu Wettbewerbsnachteilen für den ursprünglichen Hersteller führt (Art. 4 Abs. 10 DA).

b) Pflichten der Datenempfänger gegenüber Nutzern

Datenempfänger sind Dritte, denen ein Nutzer den Zugang zu bestimmten Daten einräumt oder deren Weitergabe der Nutzer vom Dateninhaber verlangt (Art. 2 Abs. 14 DA). Ihre Pflichten sind insbesondere in Art. 5 und Art. 6 DA geregelt:

Der Data Act gewährt dem Nutzer nicht nur ein eigenes Zugangsrecht zu den durch sein vernetztes Produkt generierten Daten, sondern auch das Recht, deren Weitergabe an Dritte zu verlangen. Auf Wunsch des Nutzers ist der Dateninhaber verpflichtet, bestimmte Daten direkt an einen vom Nutzer bestimmten Dritten zu übermitteln. Dieser Zugang muss unverzüglich und, soweit technisch realisierbar, in Echtzeit erfolgen (Art. 5 Abs. 1 DA).

Die vertragliche Beziehung zwischen dem Datenempfänger und dem Nutzer unterliegt spezifischen Regelungen des Data Act (Art. 6 DA). Der Datenempfänger darf die erhaltenen Daten ausschließlich für die mit dem Nutzer vereinbarten Zwecke verwenden. Eine Weitergabe an weitere Dritte ist nur zulässig, wenn der Nutzer dem ausdrücklich zugestimmt hat. Zudem verpflichtet Art. 6 Abs. 2 lit. h DA Datenempfänger, Verbraucher nicht daran zu hindern, die ihnen bereitgestellten Daten mit anderen Parteien zu teilen – auch nicht durch vertragliche Einschränkungen. Dies soll verhindern, dass Unternehmen exklusive Kontrolle über Daten erlangen und Nutzer in ihrer Datenweitergabe unzulässig beschränken.

Besondere Sorgfalt ist schließlich beim Umgang mit personenbezogenen Daten geboten. Datenempfänger müssen gewährleisten, dass die Verarbeitung dieser Daten ausschließlich in Einklang mit der DSGVO erfolgt. Dies bedeutet insbesondere, dass eine rechtmäßige Grundlage für die Verarbeitung vorliegen muss. Die Vorschriften des Data Act entbinden Unternehmen nicht von ihren Verpflichtungen im Datenschutzrecht, sondern ergänzen und konkretisieren die Anforderungen im Kontext der Datenweitergabe (Art. 5 Abs. 7 DA).

2. Pflichten untereinander  

Neben den Verpflichtungen gegenüber den Nutzern der vernetzten Produkte regelt der Data Act auch die Pflichten der Dateninhaber und Datenempfänger untereinander.

Art. 8 DA verpflichtet Dateninhaber, den Datenzugang für Datenempfänger auf fairer, angemessener und nicht diskriminierender Grundlage („FRAND“-Prinzip) zu gewähren. Dies bedeutet, dass der Zugang zu den Daten zu transparenten Bedingungen erfolgen muss und keine übermäßigen oder unangemessenen Einschränkungen auferlegt werden dürfen. Insbesondere dürfen Unternehmen keine unfairen Geschäftsbedingungen oder überhöhten Preise verlangen, um den Zugang zu wirtschaftlich relevanten Daten zu erschweren oder bestimmte Marktakteure zu benachteiligen.

Die Preisgestaltung für den Zugang zu den Daten unterliegt Art. 9 DA. Dateninhaber dürfen für die Bereitstellung der Daten nur eine angemessene Entschädigung verlangen, die sich an den tatsächlichen Kosten der Bereitstellung orientieren muss. Unverhältnismäßige oder missbräuchliche Preisforderungen sind unzulässig. Kleinst-, kleine und mittlere Unternehmen (KMU) sind nach Art. 9 Abs. 3 DA in besonderem Maße geschützt, da für sie keine Gebühren für den Datenzugang erhoben werden dürfen.

Technische Schutzmaßnahmen und Sicherheitsvorkehrungen zur Wahrung der Integrität und Vertraulichkeit der Daten sind in Art. 11 DA geregelt. Dateninhaber dürfen (und müssen) technische Maßnahmen einsetzen, um den Zugriff auf die Daten zu schützen, allerdings nur insoweit, als diese Maßnahmen nicht darauf abzielen, den berechtigten Zugang durch Datenempfänger zu behindern oder zu verzögern. Ebenso sind Datenempfänger verpflichtet, die erhaltenen Daten unter Einhaltung der geltenden Sicherheitsstandards zu verarbeiten und vor unbefugtem Zugriff zu schützen.

3. Vertragsgestaltung

Eine weitere zentrale Anforderung des Data Act ist die Schaffung fairer und transparenter Vertragsbeziehungen zwischen Dateninhabern und Datenempfängern. Art. 13 DA enthält Regelungen zur Verhinderung missbräuchlicher Vertragsklauseln in Vereinbarungen über den Datenzugang im B2B-Bereich, die neben die geltenden Regelungen der §§ 305 ff. BGB treten. Ziel ist es, Ungleichgewichte zu vermeiden, die dazu führen könnten, dass kleinere Marktteilnehmer durch einseitig auferlegte Bedingungen benachteiligt werden.

Gemäß Art. 13 Abs. 1 DA sind Vertragsklauseln unwirksam, wenn sie ein erhebliches Ungleichgewicht zu Lasten einer Vertragspartei schaffen. Dies betrifft insbesondere Fälle, in denen ein wirtschaftlich stärkerer Vertragspartner einem kleineren oder mittleren Unternehmen einseitig nachteilige Bedingungen aufzwingt.

In Art. 13 Abs. 2 DA werden konkrete Beispiele für Vertragsbedingungen genannt. Dazu gehören insbesondere Regelungen, die es einem Vertragspartner ermöglichen, die Bedingungen einseitig zu ändern, ohne dass der andere Vertragspartner zustimmen muss, oder Klauseln, die eine übermäßige Haftung auferlegen, ohne eine entsprechende Gegenleistung vorzusehen. Auch Klauseln, die den Datenempfänger daran hindern, die erhaltenen Daten unter fairen Bedingungen weiterzuverwenden, können unter das Missbrauchsverbot fallen.

Die Regelungen in Art. 13 DA sind insbesondere für Unternehmen relevant, die im Rahmen von Datenlizenzverträgen oder Datenhandelsvereinbarungen tätig sind. Sie tragen dazu bei, faire Wettbewerbsbedingungen zu schaffen, indem sie verhindern, dass einzelne Marktteilnehmer ihre wirtschaftliche Macht durch intransparente oder einseitige Vertragsgestaltung missbrauchen.

4. Datenverarbeitungsdienste

Auch den Anbietern von Datenverarbeitungsdiensten legt der Data Act neue Pflichten auf. Kunden sollen die Freiheit haben, ihre Cloud- oder Datenverarbeitungsdienste ohne übermäßige Hürden zu wechseln. Art. 23 DA verpflichtet Anbieter, den Wechsel zwischen Diensten technisch zu erleichtern, indem sie Interoperabilität und standardisierte Schnittstellen sicherstellen. Zudem müssen sie in einem festgelegten Übergangszeitraum Unterstützung leisten, um einen reibungslosen Wechsel zu gewährleisten.

Außerdem sollen unangemessene Wechselentgelte zukünftig verboten werden. Während Kosten für die tatsächliche Dienstleistung oder notwendige technische Maßnahmen erlaubt sind, sollen überhöhte oder versteckte Gebühren, die Kunden faktisch an einen Anbieter binden, unterbunden werden. Ab spätestens 2027 (Art. 29 DA) sollen Wechsel für Nutzer vollständig kostenlos sein.

III. Sanktionen

Der Data Act sieht erhebliche Bußgelder für Verstöße vor. Die maximale Höhe der Sanktionen orientiert sich an der Datenschutz-Grundverordnung (DSGVO) und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.

Die genaue Festlegung der Bußgeldvorschriften obliegt den einzelnen EU-Mitgliedstaaten. Bei der Bestimmung der Bußgeldhöhe sollen laut Artikel 40 Absatz 3 des Data Act folgende Faktoren berücksichtigt werden:

  • Art, Schwere, Umfang und Dauer des Verstoßes,
  • ergriffene Maßnahmen zur Minderung oder Behebung des Schadens,
  • frühere Verstöße,
  • durch den Verstoß bedingte finanzielle Gewinne oder Verluste,
  • sonstige erschwerende oder mildernde Umstände des Einzelfalls.

Die vorgesehenen Sanktionen sollen wirksam, verhältnismäßig und abschreckend sein. Ziel ist es, einen starken Anreiz für Unternehmen zu schaffen, die Vorgaben des Data Act einzuhalten und einen fairen Datenmarkt in der EU zu gewährleisten.

IV. Wirtschaftliche Chancen für Unternehmen

Neben neuen Pflichten bietet der Data Act Unternehmen auch erhebliche wirtschaftliche Chancen. Indem er den Zugang zu industriellen und IoT-Daten erleichtert und neue datengetriebene Geschäftsmodelle ermöglicht, können besonders Unternehmen profitieren, die Daten als Handelsgut oder als Grundlage für innovative digitale Dienstleistungen nutzen.

Ein zentraler Vorteil des Data Act liegt in der Schaffung eines fairen und wettbewerbsfreundlichen Datenmarktes. Daten, die bislang in geschlossenen Systemen verblieben, werden nun zugänglich – das fördert datenbasierte Innovationen und neue Geschäftsmodelle. Datenintermediäre könnten sich als neue Marktakteure etablieren, indem sie Datenplattformen betreiben, Datenpools bündeln und Unternehmen einen strukturierten Zugang zu wertvollen Informationen bieten.

Jedoch bringt der Data Act auch Herausforderungen mit sich. So bleibt der wirtschaftliche Wert von Daten ein umstrittenes Thema. Der Data Act macht zwar klare Vorgaben zur Fairness und Verhältnismäßigkeit von Entgelten für den Datenzugang (Art. 9 DA), doch die Frage nach der tatsächlichen Monetarisierung von Daten bleibt komplex.

V. Handlungsempfehlungen für die betroffenen Akteure

Um den Anforderungen des Data Acts gerecht zu werden und die sich daraus ergebenden Chancen optimal zu nutzen, sollten Unternehmen frühzeitig Maßnahmen ergreifen. Die nachfolgende Zusammenfassung der Maßnahmen sollte eine erste Orientierung für die verschiedenen Akteure der datenbasierten Wirtschaft bieten.

Hersteller vernetzter Produkte sollten sicherstellen, dass sie ihre gesetzlichen Informationspflichten umfassend erfüllen, indem sie Nutzer vor dem Kauf klar darüber informieren, welche Daten das Produkt generiert und speichert. Zudem muss der direkte Datenzugang ermöglicht werden – entweder über das Produkt selbst oder, falls technisch nicht anders umsetzbar, durch eine zeitnahe, sichere und unentgeltliche Bereitstellung in einem maschinenlesbaren Format.

Anbieter von Datenverarbeitungsdiensten sind verpflichtet, die Interoperabilität ihrer Systeme zu gewährleisten, sodass ein Wechsel zwischen verschiedenen Diensten erleichtert wird. Dies erfordert auch die Implementierung standardisierter Schnittstellen. Ab dem Jahr 2027 müssen sie Nutzern den Wechsel zudem kostenfrei anbieten.

Dateninhaber müssen durch Informationsbereitstellung Transparenz über die von ihnen gespeicherten und verarbeiteten Daten schaffen und Nutzern einen direkten Zugang zu diesen gewähren. Die Nutzung und Weitergabe der Daten ist grundsätzlich nur mit der Zustimmung des Nutzers zulässig. Für den Schutz sensibler Informationen muss gewährleistet bleiben, dass der Zugriff verweigert werden kann, wenn die Offenlegung erhebliche wirtschaftliche Schäden verursachen könnte.

Datenempfänger dürfen Nutzerdaten ausschließlich für die vertraglich festgelegten Zwecke verwenden. Eine Weitergabe an weitere Dritte ist nur mit ausdrücklicher Zustimmung des Nutzers erlaubt. Gleichzeitig dürfen sie Nutzer nicht daran hindern, die erhaltenen Daten mit anderen Parteien zu teilen – auch nicht durch vertragliche Einschränkungen. Bei der Verarbeitung personenbezogener Daten müssen die Bestimmungen der DSGVO eingehalten werden.

Für die Zusammenarbeit zwischen Dateninhabern und Datenempfängern gilt das FRAND-Prinzip: Der Zugang zu den relevanten Daten muss auf faire, angemessene und nicht-diskriminierende Weise gewährt werden. Gleichzeitig sind technische Schutzmaßnahmen zulässig und erforderlich, um die Integrität und Vertraulichkeit der Daten zu sichern, sofern sie den rechtmäßigen Zugriff nicht unzulässig behindern.

Bei der Vertragsgestaltung sind missbräuchliche Klauseln, die ein erhebliches Ungleichgewicht zwischen den Vertragsparteien schaffen, unzulässig.

VI. Ausblick

Der Data Act ist ein wichtiger Schritt hin zu einem einheitlichen und fairen Datenmarkt in der EU. Unternehmen stehen nun vor der Herausforderung, ihre Prozesse an die neuen Regelungen anzupassen, insbesondere im Hinblick auf Datenzugangsverpflichtungen, Vertragsgestaltung und Interoperabilitätsanforderungen. Während die Verordnung den Zugang zu wertvollen IoT- und Industriedaten erleichtert und neue Geschäftsmöglichkeiten schafft, müssen Unternehmen zugleich sicherstellen, dass ihre Vertragsstrukturen, Preismodelle und technischen Infrastrukturen den neuen Anforderungen entsprechen.

Die Übergangsfrist bis September 2025 bietet die Gelegenheit, sich strategisch auf die kommenden Änderungen vorzubereiten und frühzeitig Compliance-Maßnahmen zu ergreifen. Besonders wichtig wird es sein, bestehende Datenstrukturen zu analysieren, interne Verantwortlichkeiten zu klären und Verträge mit Geschäftspartnern auf den Prüfstand zu stellen, um Risiken im Zusammenhang mit missbräuchlichen Vertragsklauseln oder unangemessenen Entgeltforderungen zu vermeiden.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dr. Thomas Jansen
München

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Dr. Thomas Jansen
München

Weitere Artikel

19.02.2025
EDSA-Leitlinien zur Pseudonymisierung: Ein Leitfaden für den datenschutzkonformen Umgang mit personenbezogenen Daten
13.02.2025
Verabschiedung fehlgeschlagen – Wie geht es weiter mit NIS2-Umsetzungsgesetz und KRITIS-Dachgesetz?
11.02.2025
Der Praxisleitfaden für KI-Modelle mit allgemeinem Verwendungszweck – Inhalte, Leitgedanken und Regelungsstrukturen der ersten beiden Entwürfe im Überblick
28.01.2025
Schadensersatz für unsichere Datentransfers
23.01.2025
Kopplungsangebote im Healthcare-Sektor – Rechtliche Fallstricke aus wettbewerbsrechtlicher Sicht
20.01.2025
Das Barrierefreiheitsstärkungsgesetz (BFSG) Teil 1: Folgen für Webseiten und Apps
16.01.2025
So coachen Sie rechtssicher im Verbraucherrecht: AGB und Widerrufsrecht im Fokus
03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
11.12.2024
Wonach haften Plattformbetreiber? – Das Verhältnis zwischen Art. 17 DSM-RL, UrhDaG und DSA
06.12.2024
Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.