Begriff und Zielsetzung des Data Act
Der Begriff „Data Act“ bezieht sich auf die Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates über harmonisierte Vorschriften für einen fairen Zugang zu Daten und deren Nutzung. Die Verordnung ist Teil der europäischen Datenstrategie, die einen einheitlichen europäischen Datenraum schaffen will. Ziel des Data Act ist es, den Zugang zu und die Nutzung von Daten in der Europäischen Union zu regulieren, den Wettbewerb zu fördern, Innovationspotenziale auszuschöpfen und Verbraucher- sowie Unternehmerschutz in der datengetriebenen Wirtschaft sicherzustellen.
Gesetzgeberischer Hintergrund
Der Data Act, formal gültig seit dem 11. Januar 2024 und anwendbar ab dem 12. September 2025, ergänzt bestehende Rechtsakte wie die Datenschutz-Grundverordnung (DSGVO), die Verordnung zur Daten-Governance (Data Governance Act, DGA) und den Digital Markets Act (DMA).
Rechtsgrundlagen
Der Data Act ist als Verordnung unmittelbar in allen Mitgliedstaaten der Europäischen Union anwendbar. Nationale Umsetzungsakte sind nicht erforderlich, jedoch können einzelne Bestimmungen zur nationalen Ausfüllung delegiert sein. Die Verordnung regelt sowohl private als auch öffentliche Datenzugriffe und beinhaltet zahlreiche Querverweise auf nationales Recht (z. B. im Bereich des Schutzes von Geschäftsgeheimnissen).
Anwendungsbereich und Geltung
Sachlicher Anwendungsbereich
Der Data Act findet Anwendung auf die Erhebung, Nutzung und Weitergabe von Daten, die von vernetzten Produkten („Internet of Things“, IoT) sowie den damit verbundenen Diensten generiert werden. Dazu gehören unter anderem industrielle Maschinen, Haushaltsgeräte, Fahrzeuge und digitale Plattformen. Der Begriff „Daten“ wird weit gefasst und umfasst sowohl personenbezogene als auch nicht-personenbezogene Informationen.
Persönlicher Anwendungsbereich
Die Regeln gelten für Dateninhaber, Datenempfänger, Nutzer von vernetzten Produkten und Datenvermittler – unabhängig davon, ob diese ihren Sitz innerhalb oder außerhalb der EU haben, sofern die Daten durch ein Produkt oder einen Dienst in der EU generiert werden.
Zentrale Regelungsinhalte des Data Act
Datenzugangs- und Nutzungsrechte
Der Data Act etabliert umfassende Rechte für Nutzer vernetzter Produkte, generierte Daten einzusehen, zu nutzen und an Dritte weiterzuleiten. Anbieter vernetzter Produkte sind verpflichtet, Zugang zu generierten Daten bereitzustellen, sofern die betroffenen Nutzer es wünschen. Datenweitergabe und der Wechsel von Cloud-Anbietern werden erleichtert und mit Fristen und Entgeltregelungen versehen.
Rechte der Nutzer
Nutzer erhalten das Recht, Zugang zu Daten über die Nutzung des produkts oder dienstes zu verlangen und diese Daten eigenständig oder durch einen von ihnen benannten Dritten zu verwenden.
Pflichten der Dateninhaber
Hersteller und Anbieter vernetzter Produkte oder Dienste müssen technische und organisatorische Maßnahmen vorhalten, um die Durchsetzung der Nutzerrechte zu gewährleisten.
Geschäftsmodelle und Vertragsbeziehungen
Der Data Act enthält Regelungen zu vertraglichen Vereinbarungen zwischen Dateninhabern und -nutzern. Insbesondere werden missbräuchliche Praktiken, wie die Benachteiligung von kleinen und mittleren Unternehmen (KMU) durch Standardvertragsklauseln, unterbunden.
Schutz von Geschäftsgeheimnissen und geistiges Eigentum
Die Verordnung verweist darauf, dass der Zugriff auf Daten keinen Eingriff in Geschäftsgeheimnisse oder den urheberrechtlichen Schutz rechtfertigt. Eine Entschlüsselung oder Offenlegung von geheimhaltungsbedürftigen Informationen wird untersagt, sofern nicht gesetzliche Ausnahmen greifen.
Interoperabilität und Wechsel von Cloud-Diensten
Der Data Act verpflichtet Anbieter digitaler Dienste, technische Schnittstellen bereitzustellen, die den Wechsel und die Portabilität von Daten angelegentlich des Wechsels von Cloud-Infrastrukturen ermöglichen. Sperrklauseln („Vendor Lock-in“) werden massiv beschränkt.
Besondere Vorschriften für die öffentliche Hand
Die Verordnung gestattet Behörden, Zugang zu bestimmten Daten im öffentlichen Interesse zu verlangen, etwa zur Bewältigung von Katastrophen, Epidemien oder im Rahmen von Umwelt- und Verbraucherschutz. Hierbei sind enge rechtliche Grenzen und Vergütungsregelungen zu beachten.
Internationale Datenübertragung
Für Übermittlungen in Drittstaaten außerhalb der EU definiert der Data Act besondere Anforderungen. Übermittlungen dürfen nur erfolgen, sofern angemessene Schutzmaßnahmen gewährleistet und Vorschriften zu Geschäftsgeheimnissen sowie Datenschutz eingehalten werden.
Verhältnis zu anderen Rechtsakten
Datenschutz-Grundverordnung (DSGVO)
Soweit personenbezogene Daten betroffen sind, gelten die Regelungen der DSGVO vorrangig. Der Data Act ergänzt die DSGVO, ohne deren Schutzniveau zu untergraben; beispielsweise bleiben Betroffenenrechte unberührt.
Urheberrecht und Datenbankschutz
Der Data Act stellt klar, dass Rechte aus Datenbank- oder Urheberrecht keine Grundlage bieten, um Datenzugänge im Rahmen der Verordnung zu verweigern, außer wenn hiervon zentrale Geschäftsgeheimnisse betroffen wären.
Verhältnis zu nationalen Gesetzen
Die Durchsetzung des Data Act erfolgt in jedem Mitgliedstaat durch benannte nationale Behörden, die sowohl Kontroll- als auch Sanktionsbefugnisse erhalten.
Durchsetzung und Sanktionen
Aufsicht und Kontrolle
Jeder Mitgliedstaat benennt eine oder mehrere Behörden zur Überwachung der Vorschriften und zur Durchsetzung der Verordnung. Diese Behörden können Anordnungen erlassen und bei wiederholten oder schweren Verstößen Sanktionen verhängen.
Sanktionen
Verstöße gegen den Data Act können mit erheblichen Bußgeldern geahndet werden. Die Höhe der Sanktionen bemisst sich anhand des Jahresumsatzes des betroffenen Unternehmens und an der Schwere des Verstoßes, analog zu anderen europäischen Digitalgesetzen.
Bedeutung und Auswirkungen
Mit dem Data Act definiert die Europäische Union einen kohärenten Rechtsrahmen für einen offenen, fairen und sicheren Zugang zu Daten sowie deren grenzüberschreitenden Austausch. Die Verordnung zielt darauf ab, die Entwicklung neuer Geschäftsmodelle und die digitale Souveränität europäischer Wirtschaft und Verwaltung maßgeblich zu stärken. Die umfassende Regulierung betrifft Unternehmen aller Größenordnungen, Verbraucher und die öffentliche Hand gleichermaßen und stellt eines der tragenden Elemente der europäischen Datenökonomie dar.
Siehe auch:
- [Datenschutz-Grundverordnung (DSGVO)]
- [Data Governance Act (DGA)]
- [Digital Markets Act (DMA)]
- [Digitale Strategie der Europäischen Union]
Literatur und Quellen:
- Verordnung (EU) 2023/2854 (Data Act)
- Europäische Kommission: Factsheets und Leitfäden zum Data Act
- Bundesministerium für Digitales und Verkehr (BMDV): Informationen zum Data Act
Dieser Artikel wurde für die Zielsetzung eines Rechtslexikons sachlich und umfassend unter Einbeziehung aktueller Rechtslage veröffentlicht.
Häufig gestellte Fragen
Welche rechtlichen Pflichten ergeben sich für Unternehmen im Rahmen des Data Act hinsichtlich der Bereitstellung von Daten?
Unternehmen, die unter die Regelungen des Data Act fallen, sind verpflichtet, bestimmten Nutzern und Dritten auf Anfrage Zugang zu den von ihnen generierten Daten zu gewähren. Diese Zugangsgewährung muss unverzüglich, in einem strukturierten, gängigen und maschinenlesbaren Format erfolgen, sofern keine legitimen Gründe für eine Ablehnung vorliegen. Unternehmen müssen außerdem sicherstellen, dass Datenübertragungen unter vollständiger Beachtung der Anforderungen an Datenschutz und Geschäftsgeheimnisse erfolgen. Sie haben ferner Maßnahmen zu implementieren, die einen rechtssicheren und nicht-diskriminierenden Zugang gewährleisten. Bei der Ausgestaltung technischer und organisatorischer Prozesse zur Datenausgabe müssen sie darauf achten, dass der Zugang nicht durch technische Barrieren, unangemessene Gebühren oder restriktive Vertragsbedingungen erschwert wird. Weiterhin sind Unternehmen verpflichtet, die Datenbereitstellung in nachvollziehbarer Weise zu dokumentieren und auszuweisen, sodass Aufsichtsbehörden die Einhaltung ihrer Pflichten überprüfen können.
Welche Rechtsgrundlagen gelten für die Weitergabe personenbezogener Daten gemäß Data Act?
Die Weitergabe personenbezogener Daten im Rahmen des Data Act ist streng an die Regelungen der Datenschutz-Grundverordnung (DSGVO) und des nationalen Datenschutzrechts gebunden. Das bedeutet, dass eine Datenübermittlung nur dann stattfinden kann, wenn eine ausreichende Rechtsgrundlage (z.B. Einwilligung, Vertragserfüllung, berechtigtes Interesse) i.S.d. Art. 6 DSGVO besteht. Soweit der Data Act keine speziellen Vorgaben enthält, sind die Grundsätze der Zweckbindung, Datenminimierung, Transparenz und Datensicherheit zu beachten. Unternehmen müssen Betroffene umfassend über die Art und den Zweck der Datenweitergabe informieren und gewährleisten, dass die Übertragung nicht in Konflikt mit bestehenden datenschutzrechtlichen Verpflichtungen steht. Insbesondere bei der Weitergabe an Dritte sind Vereinbarungen zur Auftragsverarbeitung oder gemeinsamen Verantwortlichkeit zu schließen und zu dokumentieren.
Wie sind Streitigkeiten über die Datenbereitstellung nach dem Data Act zu lösen?
Der Data Act verpflichtet die Mitgliedstaaten dazu, effektive außergerichtliche Streitbeilegungsverfahren bereitzustellen, um Konflikte zwischen Dateninhabern, Nutzern und Dritten möglichst schnell und kostengünstig zu lösen. Dabei sind anerkannte Schlichtungsstellen vorzusehen, die unparteiisch agieren und über ausreichende Fachkenntnisse im Datenrecht verfügen. Die Inanspruchnahme dieser Einrichtungen erfolgt regelmäßig vor einem Gang zu den ordentlichen Gerichten und kann in bestimmten Fällen verpflichtend vorgeschrieben sein. Es besteht aber grundsätzlich weiterhin die Möglichkeit, die Gerichte anzurufen, wenn keine Einigung erzielt wird. Die Verfahren unterliegen prozeduralen Mindestanforderungen, die unter anderem die Unabhängigkeit der Schlichter, das Recht auf Anhörung und die Transparenz der Entscheidung vorsehen. Die Mitgliedstaaten müssen zudem Sanktionen für Verstöße gegen Schlichtungsergebnisse und gesetzliche Pflichtverletzungen festlegen.
Welche Haftungsrisiken bestehen bei der unberechtigten Offenlegung von Daten unter dem Data Act?
Bei einer unrechtmäßigen Offenlegung von Daten, insbesondere wenn Schutzvorschriften im Zusammenhang mit personenbezogenen Daten, Geschäftsgeheimnissen oder Rechten Dritter verletzt werden, drohen den Unternehmen erhebliche Haftungsrisiken. Sie können sowohl zivilrechtlich auf Schadensersatz in Anspruch genommen werden als auch verwaltungsrechtlichen Sanktionen, insbesondere Bußgeldern, unterliegen. Bei personenbezogenen Daten greifen die Haftungsbestimmungen der DSGVO mit erheblichen Strafandrohungen bis zu mehreren Millionen Euro oder einem Prozentsatz des weltweiten Jahresumsatzes des Unternehmens. Zusätzlich können bei Verletzung von Geschäftsgeheimnissen Ansprüche auf Unterlassung, Beseitigung und Schadenersatz durch die Betroffenen geltend gemacht werden. Unternehmen haben daher umfassende Prüf- und Sorgfaltspflichten zu beachten und müssen geeignete Sicherheitsmaßnahmen nach dem Stand der Technik vorhalten.
In welchem Verhältnis stehen vertragliche Vereinbarungen zur gesetzlichen Datenbereitstellungspflicht nach dem Data Act?
Vertragliche Regelungen zwischen Unternehmen (z.B. in Serviceverträgen, Nutzungsbedingungen) dürfen die gesetzlichen Bereitstellungspflichten nach dem Data Act weder ausschließen noch einschränken. Eine vertragliche Vereinbarung, die im Widerspruch zu den gesetzlichen Zugangs- und Weitergabepflichten steht oder sie unterläuft (z.B. durch unangemessene Klauseln, die eine Herausgabe faktisch unmöglich machen), ist unwirksam. Umgekehrt bleibt jedoch der Abschluss ergänzender Vereinbarungen zulässig, die Klarstellungen zur Art und Weise der Datenbereitstellung, zu Fristen oder zum konkreten Datenformat enthalten, solange sie die Mindeststandards des Data Act einhalten und nicht diskriminierend wirken. Unternehmen sollten daher bestehende Verträge einer rechtlichen Überprüfung und gegebenenfalls Anpassung unterziehen.
Welche Aufbewahrungs- und Dokumentationspflichten bestehen nach dem Data Act?
Der Data Act verlangt, dass Unternehmen sämtliche Vorgänge im Zusammenhang mit der Datenbereitstellung, einschließlich Anfragen, Übermittlungen, Ablehnungen, sowie die einschlägigen Rechtsgrundlagen und Entscheidungswege sorgfältig dokumentieren. Diese Dokumentation muss so gestaltet sein, dass sie im Falle einer Prüfung durch Aufsichtsbehörden (z.B. Datenschutzbehörden, Wettbewerbsbehörden) lückenlos nachvollziehbar ist. Darüber hinaus können landesspezifische Aufbewahrungsfristen für bestimmte Dokumente oder Nachweise vorgeschrieben sein, etwa im Hinblick auf steuerrechtliche oder handelsrechtliche Anforderungen. Die Dokumentationspflichten dienen sowohl der eigenen Rechtsverteidigung als auch der Nachweispflicht im Konfliktfall und sind Teil eines umfassenden Compliance-Managements im Unternehmen.
Wie werden Verstöße gegen die Vorschriften des Data Act sanktioniert?
Verstöße gegen die Regelungen des Data Act werden von den zuständigen nationalen Behörden mit Bußgeldern belegt, deren Höhe sich nach Schwere und Dauer des Verstoßes, dem Grad des Verschuldens und möglichen Folgeschäden richtet. Die Mitgliedstaaten sind verpflichtet, hierfür abschreckende und wirksame Sanktionsmechanismen vorzusehen. Zusätzlich können Unternehmen durch gerichtliche Maßnahmen (wie z.B. einstweilige Verfügungen oder Schadenersatzklagen) zur Unterlassung bzw. Beseitigung von Verstößen oder zur Kompensation betroffener Parteien verpflichtet werden. Neben finanziellen Sanktionen drohen auch Reputationsschäden und der Ausschluss von bestimmten Märkten oder öffentlichen Aufträgen. Unternehmen sind daher gehalten, Compliance-Prozesse und interne Kontrollmechanismen zu etablieren, um derartige Risiken proaktiv zu vermeiden.
