Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris |London | Amsterdam
Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Attorneys
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Wiki»Legal Lexikon»IT Recht»Data Act

Data Act

Begriff und Zielsetzung des Data Act

Der Data Act ist eine europäische Verordnung, die die Nutzung, Zugänglichkeit und gemeinsame Nutzung von Daten in der Europäischen Union umfassend regelt. Er soll den fairen Zugang zu Daten aus vernetzten Produkten und damit verbundenen Diensten sichern, den Wechsel zwischen Datenverarbeitungsdiensten (zum Beispiel Cloud- und Edge-Diensten) erleichtern, die Interoperabilität stärken sowie den Schutz von Geschäftsgeheimnissen und die Wahrung von Grundrechten gewährleisten. Der Data Act ergänzt bestehende Regelwerke, ohne sie zu ersetzen, und richtet sich an Hersteller, Diensteanbieter, Nutzerinnen und Nutzer sowie öffentliche Stellen.

Einordnung und Geltungsbereich

Die Verordnung gilt in der gesamten EU und entfaltet grundsätzlich unmittelbare Wirkung. Sie betrifft insbesondere:

  • Hersteller und Anbieter vernetzter Produkte und dazugehöriger Dienste (z. B. Internet-of-Things-Geräte und ihre digitalen Services),
  • Datenverarbeitungsdienste (z. B. Cloud-, Edge- oder Plattformdienste),
  • Unternehmen und Personen, die solche Produkte und Dienste nutzen,
  • öffentliche Stellen, die unter engen Voraussetzungen Zugriff auf Daten verlangen können.

Die Verordnung hat auch eine Ausstrahlungswirkung auf Anbieter außerhalb der EU, wenn sie ihre Produkte oder Dienste in der EU bereitstellen oder sich Datenzugriffe auf die EU beziehen.

Abgrenzung zu anderen Rechtsakten

Der Data Act steht in einem systematischen Zusammenhang mit weiteren EU-Regelungen:

  • Datenschutzgrundverordnung: Für personenbezogene Daten gilt vorrangig das Datenschutzrecht. Der Data Act ändert dieses nicht, sondern ergänzt es für Konstellationen, in denen neben personenbezogenen Daten auch nicht-personenbezogene Daten verarbeitet werden.
  • Data Governance Act: Regelt insbesondere die vertrauensvolle Bereitstellung von Daten und Datenvermittlungsdienste; der Data Act baut darauf auf und konkretisiert Datenzugangs- und Datennutzungsrechte.
  • Regelungen zur Datenbankherstellung und zum Schutz nicht-personenbezogener Daten: Der Data Act verhindert, dass Rechte an Datenbanken dazu genutzt werden, den gesetzlich gewährten Datenzugang zu sperren.

Zentrale Begriffe

Daten

Der Begriff umfasst personenbezogene und nicht-personenbezogene Daten. Er erstreckt sich insbesondere auf Daten, die durch die Nutzung eines vernetzten Produkts oder eines damit verbundenen Dienstes erzeugt werden, einschließlich Protokollen, Sensordaten, Nutzungs- und Statusinformationen.

Produkt und verbundener Dienst

Ein Produkt ist ein vernetztes Gerät, das Daten erzeugt, sammelt oder überträgt (z. B. Maschinen, Fahrzeuge, Haushaltsgeräte). Ein verbundener Dienst ist eine digitale Dienstleistung, die mit dem Produkt zusammenwirkt, um dessen Funktionen zu ermöglichen, zu verbessern oder zu unterstützen.

Nutzer, Dateninhaber, Datenempfänger

  • Nutzer: Die Person oder das Unternehmen, die bzw. das ein Produkt oder einen Dienst rechtmäßig verwendet.
  • Dateninhaber: Die Person oder das Unternehmen, die bzw. das über den Zugriff auf die durch die Nutzung generierten Daten faktisch verfügt und sie kontrolliert (z. B. der Hersteller oder der Dienstanbieter).
  • Datenempfänger: Dritte, an die Daten auf Wunsch des Nutzers oder in gesetzlich vorgesehenen Fällen bereitgestellt werden.

Datenverarbeitungsdienste

Dienstleistungen, die die Verarbeitung von Daten ermöglichen, etwa Speicherung, Rechenkapazität, Plattformen oder Anwendungen in Cloud- oder Edge-Umgebungen.

Rechte und Pflichten rund um Daten aus vernetzten Produkten

Zugangs- und Nutzungsrechte der Nutzer

Nutzer erhalten einen Anspruch, die bei der Verwendung eines Produkts oder verbundenen Dienstes entstehenden Daten in strukturierter, maschinenlesbarer Form zu erhalten. Sie dürfen diese Daten auch an einen selbst gewählten Datenempfänger weitergeben lassen. Der Zugang für Nutzer erfolgt grundsätzlich ohne Entgelt.

Pflichten der Hersteller und Anbieter

  • Produkte und Dienste sind so zu gestalten, dass die entstehenden Nutzungsdaten leicht zugänglich sind („by design“).
  • Auf Verlangen des Nutzers sind Daten zeitnah, sicher und in gängigen Formaten bereitzustellen oder direkt an einen benannten Datenempfänger zu übermitteln.
  • Transparenz über Art, Umfang und Herkunft der Daten ist sicherzustellen, ebenso über etwaige Einschränkungen.

Sharing mit Dritten (B2B/B2C)

Auf Wunsch des Nutzers hat der Dateninhaber die Daten an Dritte zu übermitteln. Für die Bereitstellung an Dritte kann eine angemessene Vergütung verlangt werden. Der Datenempfänger ist in der Nutzung der Daten zweckgebunden und hat strenge Vertraulichkeits- und Sicherheitsanforderungen einzuhalten.

Schutz von Geschäftsgeheimnissen und geistigem Eigentum

  • Geschäftsgeheimnisse sind zu schützen; die Datenbereitstellung erfolgt unter geeigneten technischen und organisatorischen Schutzmaßnahmen.
  • Die Berufung auf Geheimnisschutz darf den Zugang nicht pauschal vereiteln. Nur wenn ein ernsthafter wirtschaftlicher Schaden droht und Schutzmaßnahmen nicht ausreichen, kann der Zugang eingeschränkt werden.
  • Rechte an Datenbanken dürfen nicht genutzt werden, um den gesetzlich vorgesehenen Zugang zu Nutzungsdaten zu blockieren.

Vergütung und Kosten

Nutzer erhalten den Zugang zu ihren Daten unentgeltlich. Bei Bereitstellung an Dritte kann eine angemessene, nichtdiskriminierende Vergütung verlangt werden, die den Aufwand für die Bereitstellung und den Wert der Daten berücksichtigt. Für Kleinst- und Kleinunternehmen gelten Erleichterungen.

Faire Vertragsbedingungen für Datennutzung

Schutz kleiner und mittlerer Unternehmen

Der Data Act schützt kleinere Unternehmen vor einseitig vorgegebenen, unangemessenen Vertragsbedingungen zur Datennutzung. Bestimmte Klauseln gelten als unzulässig, wenn sie ohne echte Verhandlungsmöglichkeit auferlegt werden.

Unzulässige Klauseln (Beispiele)

  • Klauseln, die eine Haftung des stärkeren Vertragspartners vollständig ausschließen oder übermäßig beschränken,
  • Regelungen, die den Zugang zu gesetzlich vorgesehenen Daten pauschal verweigern,
  • Bestimmungen, die einseitig und unangekündigt den Leistungsumfang wesentlich ändern.

Transparenzanforderungen

Verträge über Datennutzung und Datenzugang müssen klar und verständlich sein. Wesentliche Informationen über Datenumfang, Nutzungszwecke, Sicherheitsmaßnahmen, Dauer und Beendigung sind offen zu legen.

Interoperabilität und Portabilität bei Datenverarbeitungsdiensten

Anbieterwechsel und Datenportabilität

Kundinnen und Kunden von Datenverarbeitungsdiensten erhalten stärkere Rechte, den Anbieter zu wechseln. Anbieter müssen die Mitnahme von Daten, digitalen Vermögenswerten und funktionalen Abhängigkeiten ermöglichen und technische Hindernisse für den Wechsel abbauen.

Technische Schnittstellen und Formate

Interoperabilität ist zu fördern, etwa durch standardisierte Schnittstellen, Formate und Dokumentation. Anbieter haben transparente Informationen zur Migration und zum Rückbau bereitzustellen.

Beschränkung von Ausstiegsentgelten

Entgelte und sonstige Hindernisse für den Wechsel oder die Datenrückführung sind schrittweise zu reduzieren und dürfen den Anbieterwechsel nicht faktisch verhindern. Übergangsfristen sorgen für eine gestaffelte Umsetzung.

Sicherheits- und Schutzanforderungen

Auch beim Wechsel sind Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu gewährleisten. Zugriffskontrollen, Protokollierung und sichere Löschkonzepte sind vorzusehen.

Zugriff der öffentlichen Hand in Ausnahmesituationen

Voraussetzungen und Verfahren

Öffentliche Stellen dürfen unter engen, klar definierten Voraussetzungen Daten von Dateninhabern anfordern, etwa bei öffentlichen Notlagen oder zur Erfüllung einer gesetzlichen Aufgabe, wenn der Datenzugang anders nicht rechtzeitig möglich ist. Die Anforderungen müssen erforderlich, verhältnismäßig und zweckgebunden sein.

Vergütung und Vertraulichkeit

Außer in akuten Notlagen ist eine angemessene Vergütung vorgesehen. Vertraulichkeit und Schutz sensitiver Informationen sind durch geeignete Maßnahmen sicherzustellen.

Missbrauchsschutz

Es bestehen Informations-, Dokumentations- und Kontrollpflichten, um missbräuchliche oder unverhältnismäßige Datenanforderungen zu verhindern.

Internationale Datenzugriffe und Datenübermittlungen

Drittlandszugriffe auf nicht-personenbezogene Daten

Anbieter und Dateninhaber haben Schutzmechanismen gegen unrechtmäßige Zugriffe von Behörden außerhalb der EU vorzusehen. Auskünfte dürfen nur unter strengen Voraussetzungen erfolgen; die Betroffenen sind, soweit zulässig, zu informieren.

Verhältnis zur DSGVO bei Personendaten

Bei personenbezogenen Daten gelten die Vorgaben der Datenschutzgrundverordnung vorrangig. Der Data Act schafft zusätzliche Regeln für gemischte Datensätze und adressiert Situationen, in denen sowohl personenbezogene als auch nicht-personenbezogene Daten verarbeitet werden.

Anforderungen an vertragliche Zusicherungen

Verträge mit Datenverarbeitungsdiensten sollen klare Zusicherungen enthalten, wie internationale Zugriffsrisiken adressiert, angefochten und kontrolliert werden, einschließlich Transparenz-, Sicherheits- und Benachrichtigungspflichten.

Smart Contracts für den Datenaustausch

Grundanforderungen

Wer Smart-Contract-Funktionalitäten für den Datenaustausch bereitstellt, hat Vorkehrungen für sichere Beendigung und Unterbrechung, Zugriffskontrollen, Protokollierung und Robustheit zu treffen. Ziel ist die verlässliche Durchsetzung vereinbarter Nutzungsregeln ohne Lock-in- oder Sicherheitsrisiken.

Durchsetzung und Aufsicht

Zuständige Stellen

Die Mitgliedstaaten benennen Aufsichts- und Anlaufstellen für den Data Act. Diese koordinieren die Durchsetzung, arbeiten grenzüberschreitend zusammen und dienen als Ansprechpartner für betroffene Unternehmen und Personen.

Private Streitbeilegung und Schlichtung

Zur außergerichtlichen Beilegung von Konflikten über Datenzugang, Vergütung und Vertragsklauseln können Streitschlichtungsstellen vorgesehen werden. Sie fördern schnelle, sachgerechte Lösungen.

Sanktionen

Verstöße können mit wirksamen, verhältnismäßigen und abschreckenden Maßnahmen geahndet werden. Die konkrete Ausgestaltung liegt bei den Mitgliedstaaten und umfasst Geldbußen und Anordnungen zur Herstellung rechtmäßiger Zustände.

Übergangs- und Anwendungsfristen

Die Verordnung ist in Kraft und gilt nach einer allgemeinen Übergangszeit ab dem Jahr 2025. Für einzelne Bereiche, insbesondere den Wechsel von Datenverarbeitungsdiensten, bestehen abgestufte Übergangsregelungen. Bestehende Verträge können Übergangsregelungen unterliegen.

Praktische Auswirkungen für Marktteilnehmer

Für Hersteller vernetzter Produkte

Relevanz von datenfreundlicher Produktgestaltung, transparente Information über Datenerhebung und -bereitstellung sowie die Implementierung sicherer Schnittstellen für den Nutzerzugang.

Für Nutzer und Unternehmen

Stärkeres Recht auf Datenzugang und -weitergabe, bessere Wahlmöglichkeiten zwischen Diensten und mehr Transparenz über Datenflüsse und Vertragsbedingungen.

Für Anbieter von Cloud- und Edge-Diensten

Verpflichtung zur Unterstützung von Migration, Interoperabilität und zur Reduktion von Wechselhindernissen, einschließlich klarer Informations- und Sicherheitsanforderungen.

Häufig gestellte Fragen

Was regelt der Data Act in Bezug auf Daten aus vernetzten Produkten?

Er gewährt Nutzern einen Anspruch auf Zugang zu den bei der Verwendung entstehenden Daten und ermöglicht die Weitergabe an Dritte. Hersteller und Dienstanbieter müssen den Zugang technisch und organisatorisch unterstützen und Transparenz über die Datenverarbeitung schaffen.

Gilt der Data Act auch für Anbieter außerhalb der EU?

Ja, wenn Produkte oder Dienste in der EU bereitgestellt werden oder Datenzugriffe die EU betreffen. Die Pflichten greifen somit auch bei grenzüberschreitenden Konstellationen mit EU-Bezug.

Wie verhält sich der Data Act zur Datenschutzgrundverordnung?

Für personenbezogene Daten gilt die Datenschutzgrundverordnung vorrangig. Der Data Act ergänzt diese, indem er insbesondere den Zugang zu Nutzungsdaten und deren Weitergabe regelt, ohne den Datenschutz zu schwächen.

Kann der Zugang zu Daten wegen Geschäftsgeheimnissen verweigert werden?

Der Geheimnisschutz ist zu wahren, rechtfertigt aber keine pauschale Verweigerung. Ist ein ernsthafter wirtschaftlicher Schaden zu befürchten und reichen Schutzmaßnahmen nicht aus, kann der Zugang eingeschränkt werden. Diese Entscheidung muss begründet und überprüfbar sein.

Müssen Datenverarbeitungsdienste die Mitnahme von Daten beim Anbieterwechsel ermöglichen?

Ja. Es bestehen Pflichten zur Unterstützung von Migration und Interoperabilität. Gebühren und technische Hindernisse dürfen den Wechsel nicht vereiteln und sind schrittweise zu reduzieren.

Darf die öffentliche Hand Daten von Unternehmen anfordern?

Unter engen gesetzlichen Voraussetzungen und nur, wenn dies erforderlich und verhältnismäßig ist, etwa bei öffentlichen Notlagen. Vertraulichkeit und eine angemessene Vergütung sind grundsätzlich vorgesehen.

Welche Rolle spielen Verträge und Standardklauseln?

Verträge müssen fair und transparent sein. Einseitig auferlegte, unangemessene Bedingungen sind gegenüber kleineren Unternehmen unzulässig. Standardisierte Elemente können Klarheit und Interoperabilität fördern.

Ab wann gilt der Data Act?

Die Verordnung ist in Kraft und gilt nach einer Übergangsfrist ab 2025. Für bestimmte Pflichten, insbesondere beim Anbieterwechsel, bestehen zusätzliche Übergangs- und Anpassungsfristen.

Auf dieser Seite

Tags dieses Rechtsbegriffs

Weitere Begriffserklärungen