Zum Inhalt springen
Beitrag

FRAND im Data Act: Was dürfen Daten kosten?

Datenschutzrecht IT-Recht

Das Dreieck: Wer ist beteiligt?

Seit dem 12. September 2025 gilt der Data Act. Er regelt unter anderem, was passiert, wenn vernetzte Produkte – von der Windturbine bis zum Kühlschrank – im Betrieb Daten erzeugen. Diese Daten liegen typischerweise beim Hersteller. Aber der Nutzer (also z.B. der Windparkbetreiber) hat ein Recht darauf, sie herauszuverlangen – und zwar nicht nur an sich selbst, sondern auch für Dritte.

Daraus entsteht eine Dreieckskonstellation mit drei Akteuren:

  • Der Dateninhaber (typischerweise der Hersteller, z.B. ein Turbinenhersteller) – er hält die Daten und muss sie bereitstellen.
  • Der Nutzer (z.B. der Windparkbetreiber) – er hat den Anspruch auf Datenherausgabe und kann bestimmen, an wen die Daten gehen sollen.
  • Der Datenempfänger (z.B. ein Analytics-Startup) – er erhält die Daten und muss nach Art. 8 Abs. 1 DA mit dem Dateninhaber einen Vertrag schließen.
Darstellung des Dreiecks nach Art. 8 DA zwischen Nutzer, Dateninhbaer und Datenempfänger.

Der Nutzer verlangt vom Dateninhaber, die Daten an den Datenempfänger herauszugeben . Der Dateninhaber schließt daraufhin direkt mit dem Datenempfänger einen Vertrag über die Bereitstellung . Und genau hier wird es spannend: Zu welchen Bedingungen?

FRAND – Fair, Reasonable and Non-Discriminatory

Der Data Act schreibt vor, dass die Vertragsbedingungen zwischen Dateninhaber und Datenempfänger FRAND sein müssen. Dies bedeutet fair, reasonable and non-discriminatory (fair, angemessen und nicht diskriminierend).

Das FRAND-Prinzip stammt ursprünglich aus dem Patentrecht, wo es seit Jahrzehnten bei der Lizenzierung standardessentieller Patente (SEPs) angewendet wird. Die EU-Kommission weist allerdings ausdrücklich darauf hin, dass die Übertragbarkeit begrenzt ist: Beim Datenteilen muss der Dateninhaber aktiv kooperieren, während bei Patenten die relevante Information bereits öffentlich bekannt ist. Letzteres macht es nicht gerade einfacher.Tabelle über die FRAND-Bedingungen

Was bedeuten die drei Elemente konkret?

Fair – Keine Blockade, keine unverhältnismäßigen Pflichten

Fair bedeutet, dass der Dateninhaber den Zugang nicht blockieren oder durch unverhältnismäßige Anforderungen faktisch verhindern darf . Der Dateninhaber hat eine gesetzliche Pflicht zur Kooperation – ein „Hold-out” oder „Hold-up” ist nicht zulässig.

Reasonable – Angemessene Konditionen, nicht wirtschaftlich prohibitiv

Die Vergütung darf nicht so hoch sein, dass sie potenzielle Datenempfänger abschreckt. Was „angemessen” ist, wird im Einzelfall beurteilt. Wichtig dabei: Der Dateninhaber muss keine Vergütung verlangen und darf die Daten auch kostenlos bereitstellen. Umgekehrt darf eine Vergütung grundsätzlich eine Marge enthalten – muss es aber nicht.

Non-Discriminatory – Gleiche Bedingungen für vergleichbare Empfänger

Vergleichbare Datenempfänger müssen gleich behandelt werden. Eine Differenzierung ist nur bei sachlicher Rechtfertigung zulässig, beispielsweise bei:

  • unterschiedlichen Sicherheitsanforderungen,
  • dem Schutz sensibler Daten wie Geschäftsgeheimnisse oder personenbezogener Daten oder
  • objektiven technischen Unterschieden wie Format, Volumen oder Echtzeit- vs. verzögertem Zugang.

Klar unzulässig ist es hingegen, Wettbewerber zu bestrafen, verbundene Konzernunternehmen zu bevorzugen, Kriterien selektiv oder intransparent anzuwenden oder frühe Datenempfänger unverhältnismäßig stärker zu belasten als spätere.

Was dürfen Daten kosten? Die drei Vergütungs-Bausteine

Die Draft Guidelines der EU-Kommission zur Berechnung der angemessenen Vergütung nach Art. 9 Data Act schlüsseln die Vergütung in drei Bausteine auf:Bestandteile der FRAND-Vergütung nach Data Act

Baustein 1: Bereitstellungskosten (Art. 9 Abs. 2 lit. a DA)

Das sind die Kosten, die unmittelbar durch die konkrete Datenanfrage entstehen. Die Kommission nennt als typische Positionen:

  • Formatierung der Daten – allerdings nur, wenn der Empfänger ein vom Standard abweichendes Format verlangt; die Bereitstellung in einem gängigen maschinenlesbaren Format ist bereits gesetzliche Pflicht.
  • API-Zugang und Übermittlung – also die Kosten für den Betrieb des Zugangstools, einschließlich Sicherheitsmaßnahmen und Personalkosten.
  • Onboarding des Empfängers – Kontoerstellung, Identitätsprüfung, KMU-Verifizierung.
  • Speicherung – aber nur, soweit eine dedizierte Speicherumgebung für die Bereitstellung genutzt wird; entsteht kein zusätzlicher Speicheraufwand, darf auch nichts berechnet werden.
  • Anonymisierung – wenn personenbezogene Daten betroffen sind und eine Rechtsgrundlae nach DSGVO nicht besteht.

Alle Kosten müssen dabei vier Kriterien erfüllen: Sie müssen inkrementell, objektiv, messbar und verhältnismäßig sein. Overhead-Kosten, versunkene Kosten, spekulative Risiken oder allgemeine Betriebsausgaben sind nicht als Bereitstellungskosten erstattungsfähig .

Baustein 2: Investitionen (Art. 9 Abs. 2 lit. b DA)

Hierunter fallen Investitionen, die die Datenerhebung und -erzeugung überhaupt erst ermöglicht haben – etwa Sensorik, IT-Systeme oder digitale Zwillinge. Allerdings müssen diese Investitionen nicht in jedem Fall berücksichtigt werden: Wurden sie bereits über den Kaufpreis des Produkts amortisiert, wäre eine erneute Berechnung unangemessen. Ebenso sollen Betriebskosten, die der Nutzer selbst trägt (z.B. Stromkosten einer Windturbine), nicht als „Investitionen” des Dateninhabers gelten.

Baustein 3: Marge

Auf die Bereitstellungskosten und Investitionen darf der Dateninhaber eine Marge aufschlagen. Der Gewinnaufschlag darf höher ausfallen, wenn die Datenerhebung erhebliche Investitionen erfordert hat, und muss niedriger sein, wenn die Kosten gering sind oder die Daten vom Nutzer miterzeugt wurden. Sie kann sogar ganz entfallen, wenn die Nutzung durch den Empfänger die Geschäftstätigkeit des Dateninhabers nicht beeinträchtigt.

Sonderfall KMU: Nur Bereitstellungskosten, keine Marge

Für kleine und mittlere Unternehmen (KMU) und gemeinnützige Forschungsorganisationen gilt eine Sonderregel: Sie dürfen nur mit den reinen Bereitstellungskosten belastet werden. Investitionskosten und Marge sind also insbesondere für Startups ausdrücklich ausgeschlossen. Gemäß den Draft Guidelines der Kommission fallen für KMU-Empfänger nur die direkt dem individuellen Ersuchen zurechenbaren Kosten an – also keine anteiligen Aufbau- oder Gemeinkosten für die Dateninfrastruktur.

Im Ergebnis kann die Vergütung für ein KMU-Startup damit im besten Fall auf Null sinken – nämlich dann, wenn die Daten bereits in einem Standardformat vorliegen, der API-Zugang vollautomatisiert ist, kein zusätzlicher Speicheraufwand entsteht und keine Anonymisierung nötig ist.

Welche Preismodelle sind möglich?

Der Data Act schreibt kein bestimmtes Zahlungsmodell vor. Es bleibt also den Vertragsparteien (konkret Dateninhaber und Datenempfänger) überlassen, worauf sie sich einigen. Die Draft Guidelines der Kommission nennen drei gängige Varianten :

Modell Funktionsweise Vorteil
Pro Transaktion Zahlung je Datenanfrage Transparent, einfach
Abo / Subscription Monatliche oder jährliche Pauschale Onboarding-Kosten werden über viele Transaktionen verteilt; kosteneffektiver
Hybrid Grundgebühr + volumenbasierte Gebühr (z.B. pro API-Call) mit Staffelrabatten Skaliert mit Nutzung; anfängliche Kosten planbar

Auch nicht-monetäre Vergütung ist zulässig – etwa gegenseitiger Datenaustausch oder der Zugang zu Analyse-Ergebnissen.

Transparenz: Was muss der Dateninhaber offenlegen?

Auf Nachfrage hat jeder Datenempfänger das Recht, vom Dateninhaber eine nachvollziehbare Darstellung der Vergütungsberechnung zu verlangen (Art. 9 Abs. 7 DA). Dies ist kein allgemeiner Transparenzzwang, sondern letztlich ein Instrument gegen missbräuchliche Preisgestaltung.

Die Kommission empfiehlt, dass Dateninhaber ihre Kostenstruktur dokumentieren und zumindest auf einer abstrakten Ebene offenlegen – etwa durch Kostenkategorien, Standardvorlagen oder Beispielrechnungen. Vertrauliche Details (z.B. Lieferantenverträge, Gehälter) müssen dabei nicht offengelegt werden . Im Streitfall können unabhängige Dritte, Streitbeilegungsstellen oder NDA-geschützte Audits helfen .

Streit? Drei Wege stehen offen

Wenn sich Dateninhaber und Datenempfänger nicht über die Konditionen einigen, stehen drei Optionen zur Verfügung :

  1. Zivilgerichte: Die Zugangsansprüche müssen ggf. gerichtlich geltend gemacht werden, wenn eine außergerichtliche Einigung scheitert.
  2. Zertifizierte Streitbeilegungsstellen nach Art. 10 DA: Bisher gibt es allerdings keine Streitbeilegungsstellen.
  3. Zuständige nationale Behörde nach Art. 37 DA: Grundsätzlich besteht ein Beschwerderecht bei der Bundesnetzagentur, dies muss aber nicht notwenig zu einer Lösung des Streits führen.

Fazit: FRAND als Leitplanke, nicht als Preisliste

FRAND gibt keine festen Preise vor – es ist ein Rahmen für faire Verhandlungen. Die Draft Guidelines der EU-Kommission füllen diesen Rahmen mit halbwegs konkreten Kriterien aus: Was sind erstattungsfähige Kosten? Wann ist eine Marge zulässig? Was ist Diskriminierung?

Für die Praxis bedeutet das:

  • Dateninhaber sollten ihre Kostenstruktur dokumentieren, ein Preismodell festlegen und ein NDA-Template vorbereiten.
  • Datenempfänger sollten ihren Datenbedarf formulieren, Use Cases identifizieren und Transparenz einfordern.
  • Nutzer sollten die Bedeutung ihres Dispositionsrechts erkennen und es aktiv nutzen.

Todos für die an einer Datenweitergabe an Dritte Beteiligten - Dateninhaber, Datenempfänger und Nutzer

 

Der wichtigste Schritt? Miteinander reden. Melden Sie sich gern, wenn Sie Unterstützung brauchen.