Daten sind der Schlüssel zu Wertschöpfung und Innovation im digitalen Zeitalter. Wer sie kontrolliert, bestimmt Geschäftsmodelle und Marktmacht. Auch Künstliche Intelligenz lebt bekanntlich von Daten.
Bisher lag der rechtliche Fokus vor allem auf dem Schutz personenbezogener Daten und der Betroffenen. Mit dem neuen Data Act ergänzt die EU diesen Rahmen nun um ein eigenständiges Daten(zugangs)recht: Es soll sicherstellen, dass nicht nur Hersteller oder Anbieter digitaler Dienste, sondern auch der Nutzer selbst und von diesem bestimmte Dritte wie zB nachgelagerte Anbieter Zugang zu den oftmals essentiellen Daten erhalten. Das ist unter anderem entscheidend für funktionierende Sekundärmärkte – etwa wenn unabhängige Werkstätten Fahrzeugdaten aus dem Smart Car benötigen, um Reparaturen durchzuführen. Auch in der Landwirtschaft (Sensoren auf Feldern und in Maschinen), im Energiesektor (intelligente Stromzähler) oder im Smart Home (vernetzte Geräte und Haushaltsanwendungen) schafft der Data Act neue Spielregeln für fairen Wettbewerb und Innovation.
Der Data Act findet in weiten Strecken bereits ab dem 12.9.2025 Anwendung. Konkret bringt er weitreichende Anforderungen an den Zugang, die Nutzung und die Weitergabe von Produkt- und verbundenen Dienstdaten sowie die Vertragsgestaltung. Daneben werden auch neue Transparenzpflichten eingeführt. Insbesondere Hersteller von vernetzten Produkten und Diensten ("Internet of Things" bzw "IoT") sowie Anbieter von Cloud-Diensten haben einen Anpassungsbedarf mit Blick auf ihre Verträge und Prozesse.
Unsere Experten haben die wichtigsten Eckpunkte gerne für Sie zusammengefasst:
Wer ist betroffen?
Was sind die zentralen Pflichten?
- Datenzugang: Der Nutzer – Verbraucher wie auch Unternehmer – hat ein gesetzliches Recht auf (i) unverzüglichen Zugang zu seinen Produkt- und verbundenen Dienstdaten auf elektronischem Wege und (ii) Weitergabe dieser Daten an Dritte gegenüber dem Hersteller/Anbieter digitaler Dienste, die Nutzerdaten sammeln. Eine Ablehnung ist nur in Ausnahmefällen möglich und muss gegenüber der künftigen Data Act Behörde begründet werden (zB Gefährdung der Gesundheit oder Sicherheit). Dritte wie nachgelagerte Anbieter haben aber keinen direkten Anspruch auf Datenherausgabe gegenüber dem Hersteller bzw Anbieter. Sie müssen immer den Umweg über den Nutzer als Betroffenen gehen.
- Transparenzpflichten: ZB zu Art, Format und Umfang der Produktdaten.
- Datennutzung: Möchte umgekehrt der Hersteller/Anbieter die generierten Daten verwenden, benötigt er einen Datennutzungsvertrag mit dem Nutzer.
- Access by Design: Vernetzte Produkte und verbundene Dienste müssen so gestaltet werden, dass Produkt- und verbundene Dienstdaten für den Nutzer direkt zugänglich sind.
- B2C: Es gelten zusätzlich die konsumentenschutzrechtlichen Anforderungen.
- Spezifische Bestimmungen für B2B:
- FRAND-Kriterien: Dateninhaber müssen die betreffenden Daten auf Grundlage fairer, angemessener und nicht-diskriminierender Bedingungen und unter Wahrung der Transparenzpflichten zugänglich machen.
- Verbot missbräuchlicher Vertragsklauseln: Vertragsbestimmungen, die den Datenzugang oder die Datennutzung für Dritte auf unangemessene Weise einschränken, insbesondere bei einem Ungleichgewicht der Verhandlungsmacht, gelten als unzulässig.
- Cloud Switching: Anbieter von (cloud-basierten) Datenverarbeitungsdiensten müssen technische, vertragliche und wirtschaftliche Hürden für den Anbieterwechsel abbauen (zB Kündigungsrecht, Abschaffung von Wechselentgelten), sprich die Daten besser zugänglich machen.
Digital Product Compliance
Der Data Act tritt neben bestehende und künftige Regularien hinzu. Daher sind zahlreiche potenzielle Spannungsverhältnisse und Wechselwirkungen gesamthaft zu berücksichtigen. Sind neben produktgenerierten Daten auch personenbezogene betroffen, gilt auch die DSGVO. Daneben sind auch die diversen Cybersicherheits- und Produkthaftungsvorschriften zu berücksichtigen. Auch daraus können sich Wechselwirkungen ergeben: Insbesondere muss der Datenzugang (Access by Design) für den Nutzer (cyber-)sicher ausgestaltet sein und künftig unter anderem die Anforderungen des Cyber Resilience Act erfüllen müssen.
Wie wir Sie unterstützen können:
- Betroffenheitsanalyse: Prüfung, ob und in welchem Umfang der Data Act auf Ihre Produkte, Datenflüsse und Dienstleistungen anwendbar ist.
- Impact Assessment: Identifikation jener Pflichten, die für Ihre Organisation relevant sind, inklusive Fristen und Handlungsbedarf sowie Strategien, um den Impact auf Ihre Organisation zu vermindern.
- Durchsetzung von Zugangsrechten für Anbieter nachgelagerter Produkte und Dienstleistungen. Dies erfordert in der Regel ein Konzept unter Einbindung der zwischengeschaltenen Nutzer, denen vom Data Act die einschlägigen Zugangsrechte gewährt werden.
- Vertragsreview & -anpassung: Überarbeitung Ihrer Nutzungsbedingungen für vernetzte Produkte und verbundene Dienste, um Data Act compliant zu sein.
- Produktgestaltung & Transparenzpflichten: Umsetzung von "Access by Design" in Entwicklung, Produktion und Informationsstruktur.
- FRAND-Streitigkeiten: Unterstützung bei der Gestaltung fairer, angemessener und nicht-diskriminierender Bedingungen sowie im Konfliktfall.
- Beratung zu Spannungsfeldern zu DSGVO & Co: Berücksichtigung der teils komplexen Wechselwirkungen.