Direkt zum Inhalt wechseln

Der Data Act birgt viele Unklarheiten. Wir haben die häufigsten Fragen zum Data Act aus Vorträgen und Mandatsarbeit gesammelt und beantwortet.

Ist Ihre Frage nicht dabei? Dann nehmen Sie gerne mit uns Kontakt auf!

Vernetzte Produkte und verbundene Dienste

1. Was regelt der Data Act alles?

Die Datenverordnung regelt:

  • die Datenweitergabe von Unternehmen an Verbraucher (B2C) und zwischen Unternehmen (B2B) (Art. 2 ff.),
  • die Bedingungen hierfür (Art. 8 ff.),
  • die Kontrolle von diesbezüglichen Verträgen zwischen Unternehmen (B2B) (Art. 13),
  • die Bereitstellung von Daten für öffentliche Stellen (B2A) (Art. 14 ff.),
  • den Wechsel zwischen Datenverarbeitungsdiensten (Art. 23 ff.),
  • die internationale Übermittlung nicht-personenbezogener Daten (Art. 32) und die Interoperabilität (Art. 33 ff.),
  • und enthält schließlich Vorgaben zur Anwendung und Durchsetzung (Art. 37 ff.).

 

2. Gilt der Data Act auch für personenbezogene Daten?

Ja. Im Grundsatz findet die Verordnung auf alle Daten Anwendung. Allerdings unterscheidet der Data Act an entscheidenden Stellen zwischen Daten mit und ohne Personenbezug. Die DSGVO, die ausschließlich für personenbezogene Daten gilt, soll zudem unberührt bleiben und im Zweifel vorgehen.

 

3. Werde ich als Hersteller oder Anbieter zur Speicherung von Daten verpflichtet?

Nein, der Data Act sollte nicht dahingehend ausgelegt werden, als das Hersteller vernetzter Produkte oder Anbieter verbundener Dienste verpflichtet werden, Daten zu speichern, die sie zuvor nicht gespeichert haben. Der Data Act findet nur auf die Daten Anwendung, die von Seiten des Herstellers oder Anbieters bereits gespeichert werden.

 

4. Wie kann ich mich als Nutzer auf den EU Data Act vorbereiten, für den Fall, dass Hersteller die Datenverwendungsvereinbarungen verhandeln wollen?

Zunächst solltest du dir bewusst machen, dass dir ein umfassendes Zugangsrecht an den Daten zusteht, die durch die Nutzung vernetzter Produkte oder verbundener Dienste generiert werden. Das bedeutet, dass du nicht vorschnell auf eine Datenlizenzvereinbarung eingehen solltest, die deine Rechte möglicherweise einschränkt.
Gleichzeitig solltest du dir aber auch im Klaren sein, dass du nicht zwangsläufig alle generierten Daten benötigst. Es kann sinnvoll sein, sich auf die Daten zu konzentrieren, die für deine spezifischen Zwecke wirklich relevant sind, um die Verhandlungsposition klar zu definieren. Vermeide es, eine Fülle von Daten anzufordern, die möglicherweise nicht nützlich sind, da dies Verhandlungen unnötig erschweren könnte.

 

5. Was ist mit dem „Standardformat“ im Sinne des Data Act gemeint?

Ein Standardformat im Kontext des Data Act bedeutet, dass Daten in allgemein verwendeten und anerkannten Formaten zur Verfügung gestellt werden müssen, um ihre Interoperabilität zu gewährleisten. Die Nutzung anderer, weniger gebräuchlicher Formate bei bereits etablierten Standards wird schwer zu rechtfertigen sein, da dies den Datenzugang unnötig erschweren könnte. Wenn es für bestimmte Daten einen Standard gibt, sollte dieser auch eingehalten werden, um sicherzustellen, dass die Daten problemlos von anderen Systemen oder Dritten genutzt werden können. Liegt noch kein Standard vor, oder wird dieser nicht eingehalten, wird das Standardformat sonst spätestens vom EuGH bestimmt werden.

 

6. Sind Anbieter von Betriebsführungssystemen und Datenanalyseanbieter als Dateninhaber oder externe Datenempfänger zu betrachten?

Ob Anbieter von Betriebsführungssystemen und Datenanalyseanbieter als Dateninhaber oder externe Datenempfänger gelten, hängt vom Einzelfall ab. In der Regel werden sie als externe Datenempfänger betrachtet, da sie die Daten im Auftrag des Nutzers erhalten und verarbeiten. Eine Ausnahme besteht jedoch, wenn diese Anbieter die Daten bereits ohne aktives Zutun des Nutzers erhalten. In solchen Fällen könnten sie als Dateninhaber eingestuft werden, da sie direkten Zugang zu den generierten Daten haben, ohne dass der Nutzer den Zugriff aktiv freigeben muss.

 

7. Habe ich als Kleinunternehmen ein Datenzugangsrecht?

Ja, auch als Kleinunternehmen hast du ein volles Recht auf Datenzugang gemäß dem Data Act. Der Data Act sieht darüber hinaus in Art. 7 Abs. 1 eine Privilegierung für KMUs vor:

  • Kleine Unternehmen und Kleinstunternehmen sind von dem Anwendungsbereich des Data Act befreit. Das 2. Kapitel des Data Acts findet auf diese keine Anwendung.
  • Mittlere Unternehmen sind generell von dem Anwendungsbereich des Data Act befreit, soweit sie den Schwellenwert „Mittleres Unternehmen“ seit weniger als einem Jahr erfüllen. Ist ein Produkt eines mittleren Unternehmens betroffen, so ist dieses Produkt von dem Anwendungsbereich des 2. Kapitels befreit, soweit das Produkt vor weniger als einem Jahr in den Verkehr gebracht wurde. Neue vernetzte Produkte länger bestehender mittlerer Unternehmen unterliegen mithin einer Schonfrist.

 

8. Wie finde ich heraus, welche Daten an den Hersteller übersandt werden?

Der Hersteller ist gegenüber Kunden verpflichtet, vor Abschluss eines Vertrages über den Kauf, die Miete oder das Leasing eines vernetzten Produktes oder einer verbundenen Dienstleistung darüber zu informieren, welche nicht-personenbezogenen Daten an ihn übermittelt werden. Diese Informationspflicht soll sicherstellen, dass du als Nutzer genau weißt, welche Daten gesammelt werden, zu welchem Zweck diese verwendet werden und wie du auf diese Daten zugreifen kannst.

 

9. Wie ist damit umzugehen, wenn der Hersteller zugleich als Servicedienstleister agiert?

Servicedienstleistungen können als Teil eines Kauf-, Miet- oder Leasingvertrags angeboten werden. In solchen Fällen muss genau aufgeschlüsselt werden, welche Rolle der Hersteller in Bezug auf die Daten übernimmt.
Unter Umständen stellt diese Servicedienstleistung einen verbundenen Dienst dar. Hierfür muss sich der Dienst auf den Betrieb des vernetzten Produkts auswirken und Daten oder Befehle des Diensteanbieters an das vernetzte Produkt übermittelt werden. Dies ist unter Umständen bei zusätzlichen Beratungs-, Analyse- oder Finanzdienstleistungen oder regelmäßigen Reparatur- und Wartungsdiensten nicht der Fall.
Je nachdem, wie die Servicedienstleistung zu klassifizieren ist, ergeben sich für den Nutzer auch hier Rechte und (weitere) Pflichten für den Hersteller.

 

10. Wie ist der Data Act mit Vorschriften anderer Verordnungen in Einklang zu bringen, wenn es um die Datenbereitstellung geht?

Ein generelles Problem bei der EU-Gesetzgebung ist die Koordination verschiedener Rechtsvorschriften. Hersteller müssen sich nicht nur an den Data Act halten, sondern auch an andere relevante EU-Rechtsakte.
Grundsätzlich sind alle geltenden Vorschriften gleichzeitig einzuhalten, und der Data Act darf nicht dazu führen, dass andere, vorrangige Rechtsvorschriften umgangen werden.
Wenn beispielsweise eine anderweitige EU-Verordnung zwingend vorschreibt, dass bestimmte Daten verfügbar gemacht werden müssen, dann setzt der Data Act diese Verpflichtungen nicht außer Kraft. Vielmehr muss der Data Act in solchen Fällen mit den bereits bestehenden Vorschriften in Einklang gebracht werden, um sicherzustellen, dass alle gesetzlichen Anforderungen beachtet werden.

 

11. Muss der Hersteller Rohdaten (z.B. CMS-Daten), die in der Regel nur mit Spezialsoftware gelesen werden können, so bereitstellen, dass der Nutzer die mit gängiger Software lesen kann? Muss der Hersteller Spezialsoftware kostenfrei bereitstellen?

Der Data Act sieht vor, dass Daten in einem gängigen, üblichen Format bereitgestellt werden müssen. Das bedeutet, dass Rohdaten, die nur mit spezieller Software gelesen werden können, entweder in einem allgemein verwendbaren Format (wie strukturierten Dateien) bereitgestellt werden oder die konkreten Bedingungen zur Datenbereitstellung zwischen Nutzer und Hersteller am Verhandlungstisch festgelegt werden.
Eine Verpflichtung zur kostenfreien Bereitstellung von Spezialsoftware durch den Hersteller ist jedoch nicht vorgesehen. Nutzer dürfen also nicht erwarten, dass der Hersteller spezialisierte Programme kostenfrei zur Verfügung stellt.

 

12. Vollumfängliche Daten des vernetzten Produkts (z.B. einer Windenergieanlage) erlauben unter Umständen tiefgehende Einblicke in die Technologie der Anlage und ihrer Steuerung, und sind deshalb in der Regel vertraulich. Darf ich sie trotzdem an Dritte weitergeben?

Der Data Act berücksichtigt den Schutz von Geschäftsgeheimnissen, einschließlich vertraulicher Informationen, die tiefgehende Einblicke in die Technologie einer Anlage wie einer Windenergieanlage bieten. Eine Weitergabe dieser Daten ist grundsätzlich möglich, muss jedoch unter der Einhaltung geeigneter technischer und organisatorischer Maßnahmen (TOMs) erfolgen, um die Vertraulichkeit und Sicherheit der sensiblen Daten zu gewährleisten. Dies bedeutet, dass die Daten nur unter strengen Sicherheitsvorkehrungen und klaren Vereinbarungen mit Dritten weitergegeben werden dürfen, um die geschäftlichen Interessen des Herstellers zu schützen.

 

13. Was passiert, wenn ein Hersteller nicht mehr existiert und ein Drittunternehmen den Datenbestand übernimmt?

Der Data Act macht keinen Unterschied zwischen dem ursprünglichen Hersteller, der Dateninhaber war, und dem Drittunternehmen, der neuer Dateninhaber geworden ist. Wenn ein Drittunternehmen den Datenbestand eines Herstellers übernimmt, wird dieses Unternehmen der neue Dateninhaber und übernimmt damit die Verpflichtungen, die dem ursprünglichen Hersteller in seiner Rolle als Dateninhaber auferlegt wurden. Das Drittunternehmen muss nun als neuer Dateninhaber den Zugang zu den Daten der Nutzer ermöglichen und darf die Daten nur im Einklang mit den Bestimmungen des Data Act verwenden.

Wechsel von Datenverarbeitungsdiensten

1. Was ist das Ziel des Data Act in Bezug auf Cloud-Dienste?

Der Data Act zielt darauf ab, den Wettbewerb und die Innovation im Bereich der Datenverarbeitungsdienste zu fördern. Er soll Nutzern den einfachen Wechsel zwischen verschiedenen Anbietern ermöglichen und sie vor dem sogenannten „Lock-in“-Effekt schützen.

 

2. Welche Verpflichtungen haben Anbieter von Datenverarbeitungsdiensten gemäß dem Data Act?

Anbieter müssen technische und vertragliche Maßnahmen umsetzen, die die Portabilität von Daten gewährleisten und den Wechsel zu anderen Diensten erleichtern. Ihre Verträge dürfen keine ungerechtfertigten technischen oder finanziellen Hindernisse enthalten, die den Wechsel erschweren.

 

3. Was versteht man unter „Datenverarbeitungsdiensten“ im Kontext des Data Act?

Der Begriff umfasst Cloud-Dienste, die netzwerkbasierten Zugang zu skalierbaren und flexiblen IT-Ressourcen bieten. Dazu gehören insbesondere Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS).

 

4. Welche Fristen gelten für die Umsetzung der neuen Regelungen?

Ab dem 12. September 2025 müssen Anbieter von Datenverarbeitungsdiensten die Anforderungen des Data Act erfüllen. Dazu gehört insbesondere der Abbau technischer, vertraglicher und wirtschaftlicher Wechselhindernisse für Nutzer. Eine gesonderte Übergangsfrist für den Cloud-Bereich gibt es nicht.

 

5. Dürfen Anbieter Wechselentgelte für den Umstieg auf einen anderen Dienst verlangen?

Anbieter müssen sicherstellen, dass der Wechsel zu einem anderen Anbieter ab dem 12. September 2025 ohne ungerechtfertigte Kosten oder Hindernisse möglich ist. Während einer Übergangszeit von zwei Jahren dürfen noch Wechselentgelte verlangt werden, sofern diese objektiv gerechtfertigt und verhältnismäßig sind. Ab dem 12. September 2027 ist jede Form von Wechselentgelt vollständig verboten.

 

6. Welche Informationspflichten haben Cloud-Anbieter gegenüber ihren Kunden?

Anbieter müssen ihre Vertragsbedingungen transparent gestalten und Nutzer über alle relevanten Aspekte des Wechsels informieren. Dazu gehört eine klare Darstellung, welche technischen Maßnahmen den Wechsel erleichtern, in welchem Datenformat die Übertragung erfolgt und welche Drittanbieter-Software oder sonstige Abhängigkeiten betroffen sind.

 

7. Welche Daten müssen exportierbar sein?

Der Data Act verpflichtet Anbieter, folgende Daten bereitzustellen:

  • Exportierbare Daten: Eingabe- und Ausgabedaten, einschließlich Metadaten, die unmittelbar oder mittelbar durch die Nutzung des Datenverarbeitungsdienstes durch den Kunden oder gemeinsam generiert werden.
  • Digitale Vermögenswerte: Digitale Elemente (z. B. Anwendungen), für die der Kunde ein Nutzungsrecht hat, unabhängig vom Cloud-Anbieter.

Daten, die durch Rechte des geistigen Eigentums oder Geschäftsgeheimnisse geschützt sind, müssen nicht exportiert werden.

 

8. Welche verpflichtenden Vertragsklauseln müssen Cloud-Anbieter aufnehmen?

Verträge über Datenverarbeitungsdienste müssen mindestens folgende Punkte enthalten:

  • Klauseln, die dem Kunden den Wechsel zu einem anderen Anbieter oder die Übertragung auf eine eigene IKT-Infrastruktur ermöglichen (Art. 25 Abs. 2 lit. a DA)
  • Verpflichtung des Anbieters, den Wechsel aktiv zu unterstützen (Art. 25 Abs. 2 lit. b DA)
  • Definition des Zeitpunkts, zu dem der Vertrag als beendet gilt (Art. 25 Abs. 2 lit. c DA)
  • Maximale Kündigungsfrist von zwei Monaten (Art. 25 Abs. 2 lit. d DA)
  • Liste der exportierbaren Daten und digitalen Vermögenswerte (Art. 25 Abs. 2 lit. e DA)
  • Liste der nicht exportierbaren Daten, sofern Geschäftsgeheimnisse betroffen sind (Art. 25 Abs. 2 lit. f DA)
  • Mindestfrist von 30 Tagen für den Abruf von Daten nach Vertragsende (Art. 25 Abs. 2 lit. g DA)
  • Regelung zur endgültigen Löschung der Daten nach der Abruffrist (Art. 25 Abs. 2 lit. h DA)
  • Angaben zu zulässigen Wechselentgelten während der Übergangsfrist (Art. 25 Abs. 2 lit. i DA)

 

9. Wie kann man die verpflichtenden Klauseln am besten einbinden, wenn noch keine SCCs final veröffentlicht sind?

Die EU-Kommission beabsichtigt, bis September 2025 Mustervertragsklauseln zu veröffentlichen. Ein genaues Veröffentlichungsdatum ist nicht bekannt. Ob die EU-Kommission diese Frist einhalten wird ist ebenfalls nicht bekannt. Es empfiehlt sich daher eine Überarbeitung der eigenen Vertragsklauseln orientiert am Mindestinhalt des Art. 25 DA vorzunehmen. Gerne können wir Sie bei der Überarbeitung Ihrer Verträge oder allgemeinen Geschäftsbedingungen unterstützen.

 

10. Müssen ab September 2025 rückwirkend bestehende Verträge entsprechend angepasst werden?

Eine Übergangsphase für bestehende Verträge ist im Kapitel IV im Gegensatz zu Kapitel VI nicht vorgesehen (vgl. hierzu Art. 50 DA). Verträge über die Inanspruchnahme von Datenverarbeitungsdienste müssen daher zum 12. September 2025 angepasst und aktualisiert werden. Der Prozess zur Aktualisierung und Anpassung der Vertragsklauseln sollte daher zwingend jetzt begonnen werden.