Der Data Act ist da! Und damit viele neue Verträge und Aufgaben

Der Data Act wird am 12. September 2025 wirksam und ist Teil der EU-Datenstrategie (wir berichteten hier und hier). Parallel zum Data Governance Act soll er vornehmlich die Datennutzung von „vernetzen Produkten“ und „verbundenen Diensten“ in der Privatwirtschaft, teils aber auch durch bestimmte öffentliche Stellen, regeln.

Der Data Act wird die Datennutzung bzw. Zugänglichmachung und Weitergabe von Daten regeln. Eben diese muss zwischen dem Dateninhaber, dem Nutzer und etwaigen Dritten sichergestellt werden. Daraus ergeben sich zukünftig viele neue Pflichten (Hinweise), Vorgaben zum Produktdesign, aber vor allem auch neue Vertragswerke, die im Rechtsverkehr von den unterschiedlichen Akteuren eingebracht werden.

Im Hinblick auf die Datennutzung gibt es grundsätzlich das Recht des Zugangs zu den Daten bzw. das Recht der Bereitstellung der Daten sowie das Recht auf Weitergabe der Daten an Dritte. Für diese Rechte gelten grundsätzlich die folgenden Kriterien bei der Umsetzung:

unverzüglich
(für den Nutzer) unentgeltlich
in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format
in derselben/gleichen Qualität wie für den Dateninhaber
(soweit relevant und technisch durchführbar) kontinuierlich und in Echtzeit

Viele neue Verträge

Im Zentrum des neuen europäischen Rechtsakts steht der Datennutzungsvertag zwischen Dateninhaber (in der Regel der Hersteller) und dem Nutzer (zumeist Kunde) nach Art. 4 Abs. 13 Data Act. Denn ab dem 12.09.2025 darf der Dateninhaber grundsätzlich die nicht-personenbezogenen Daten, die ohne Weiteres in dem Produkt oder Dienst verfügbar sind (wie z.B. Produktdaten), nur noch auf Basis dieser vertraglichen Ausgestaltung verarbeiten. Und diese Nutzung darf auch von Gesetzes wegen nur nach bestimmten Zwecken erfolgen. Der Dateninhaber darf beispielsweise die Daten nicht dazu nutzen, den Nutzer auszuspionieren. Der Data Act sieht hiermit generell einen Schutz des Nutzers vor.

Sogar viel mehr: Nach dieser Logik werden nicht-personenbezogene Daten sogar besser geschützt als personenbezogene im Rahmen der DSGVO.

Im Falle der vom Nutzer beabsichtigten Bereitstellung der nicht-personenbezogenen Daten an einen Datenempfänger (Dritten) ist zwischen dem Dateninhaber und dem Empfänger ein Bereitstellungsvertrag nach Art. 8, 9 Data Act zu schließen, der unter anderem Regelungen zur Zweckbindung, den etwaigen Kosten (Gebühren) und der Sicherstellung des Geschäftsgeheimnisses enthält. Für den Fall einer Bereitstellung dieser nicht-personenbezogenen Daten vom Dateninhaber an den Datenempfänger zwischen Unternehmen gelten grundsätzlich die sog. „FRAND“-Bedingungen („zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und in transparenter Weise“). Nur für KMU-Unternehmen gibt es Ausnahmen.

Ein weiteres Ziel des Data Acts ist es, das sog. „Cloud-Switching“ zu fördern, also ein Aufbrechen des mittlerweile üblichen „Lock-in“-Effekts in Form der Bindung an einen Anbieter. Zukünftig soll der Wechsel von einem Datenverarbeitungsdienst zu einem anderen, vergleichbaren Anbieter, erleichtert werden. Dieses Konzept zielt vor allem auf Cloud-Dienste ab und ist in Art. 23 ff. Data Act verankert. Und auch diese nähere Ausgestaltung der Umsetzung dieser Maßnahmen erfordert vertragliche Regelungen (mit dem Nutzer) bzw. eine Anpassung bestehender Regelungen.

All diese neuen unterschiedlichen Vertragswerke (Verarbeitung nicht-personenbezogener Daten durch den Dateninhaber, Bereitstellung nicht-personenbezogener Daten an einen Dritten und Wechsel von einem Datenverarbeitungsdienst zu einem anderen) können Unternehmen und auch sonstige Nutzer bisweilen in nächster Zeit vor große Herausforderungen stellen.

Im Bewusstsein dieser Problematik sieht der Verordnungsgeber die Möglichkeit von Mustervertragsklauseln und Standardvertragsklauseln gem. Art. 41 Data Act vor. Und die von der EU Kommission hiermit beauftragte Expertengruppe hatte bereits am 2. April 2025 ihren Abschlussbericht (in englischer Sprache) vorgestellt, der nach einem Baukastenprinzip diverse Formulierungshilfen und Klauseln für die unterschiedlichen Konstellationen der Vertragswerke im Sinne des Art. 41 Data Act enthält. Möglicherweise können mit diesen Vorschlägen zukünftig gewisse Standards geschaffen werden, die individuelle Vertragsverhandlungen erleichtern oder erübrigen.

Data Act und die DSGVO

Das Zusammenspiel zwischen dem Data Act und der DSGVO wirft viele Fragen auf. Nach dem Grundgedanken des Data Acts bleibt die DSGVO unberührt – sie soll sogar bei der Verarbeitung personenbezogener Daten Vorrang haben. Sofern beim vernetzten Produkt oder dem verbundenen Dienst erkennbar personenbezogene Daten verarbeitet werden bzw. die Weitergabe somit auch personenbezogene Daten betrifft, was vermutlich relativ oft der Fall sein dürfte, ist eine Rechtsgrundlage (aus der DSGVO) zu fordern. Hier sind parallel zu den obigen Vertragskonstruktionen auch nach Art. 6 bzw. Art. 9 DSGVO entsprechende Rechtsgrundlagen zu prüfen und zu dokumentieren. In Betracht kommt die Vertragserfüllung (Art. 6 Abs.1 S. 1 lit. b DSGVO), das berechtigte Interesse (Art. 6 Abs.1 S. 1 lit. f DSGVO) sowie die Einwilligung der betroffenen Person (Art. 6 Abs.1 S 1 lit. a DSGVO).

Bei „Multi-User“-Situationen und einem Auseinanderfallen der Akteure wird es noch komplexer. Es ist zu erwarten, dass hier oftmals nur ein Rückgriff auf die Einwilligung der betroffenen Person für die personenbezogene Datenverarbeitung infrage kommt.

Einschränkungen und Schutz

Auch trifft der Data Act gleichzeitig strenge Vorgaben für den Nutzer. Diese dürfen die Daten z. B. nicht für die Entwicklung von Konkurrenzprodukten nutzen oder Dritten mit der Absicht geben, den Hersteller oder Dateninhaber auszuforschen (Art. 4 Abs. 10 Data Act).

Der Data Act sieht außerdem an verschiedenen Stellen noch weitere Ausnahmen vor, die den Dateninhaber schützen sollen. So kann der Dateninhaber unter anderem dann die Weitergabe von Daten an Dritte, die als Geschäftsgeheimnisse eingestuft wurden, verweigern oder gegebenenfalls aussetzen, wenn keine Einigung über zu treffende Schutzvorkehrungen getroffen wird, der Nutzer diese Maßnahmen nicht umsetzt oder die Vertraulichkeit der Geschäftsgeheimnisse verletzt wird (Art. 4 Abs. 7 Data Act und Art. 5 Abs. 10 Data Act).

Auch kann der Dateninhaber die Ansprüche des Nutzers auf Zugang zu den Daten oder auf Weitergabe derselben an einen Dritten ablehnen, wenn er Inhaber eines Geschäftsgeheimnisses ist und nachweisen kann, dass er trotz der vom Nutzer getroffenen technischen und organisatorischen Maßnahmen mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden durch die Offenlegung von Geschäftsgeheimnissen erleiden wird (Art. 4 Abs. 8 Data Act und Art. 5 Abs. 11 Data Act). Der Data Act verknüpft insgesamt diverse weitere Themen und ist deshalb ein zentrales, komplexes Regelwerk.

Nationales Recht

Allerdings liegt in Deutschland derzeit nur ein Referentenentwurf eines zusätzlichen Durchführungsgesetzes zum Data Act (DA-DG-E) vor, der aus der Feder der vorherigen Regierung stammt. Insofern sind noch keine verbindlichen Regelungen zur Durchführung in Deutschland ersichtlich. Das ist jedoch für die nationale Regelung zur Zuständigkeit (der Aufsichtsbehörde nach Art. 37 Abs. 1 Data Act) oder der Verhängung von Sanktionen (Bußgeldern) nach Art. 40 Data Act erforderlich.

Insofern besteht derzeit nur die Spekulation, dass offenbar auch die derzeitige Regierung die Zuständigkeit für die Kontrolle/Überprüfung der Durchführung des Data Acts, im Hinblick auf nicht-personenbezogene Daten bei der Bundesnetzagentur (BNetzA) in Bonn sieht.

Im Hinblick auf die Prüfung und Durchsetzung der datenschutzrechtlichen Ansprüche, also sobald es um personenbezogene Daten geht, dürfte aller Voraussicht nach die Zuständigkeit an die jeweiligen Landes-Datenschutzaufsichtsbehörde (nach Art. 37 Abs. 3 Data Act) gehen, die ja ohnehin die Datenschutz-Aufsicht innehat. Dies hat nun beispielsweise auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Thomas Fuchs, bestätigt.

Fazit

Ab sofort wird der rechtliche Aufwand wachsen! Es sind nicht nur die datenschutzrechtlichen Konstellationen und Vorgaben zu prüfen, sondern bisweilen auch unterschiedliche Vertragswerke für die Nutzung oder Bereitstellung sowie Weitergabe von nicht-personenbezogenen Daten. Alle Akteure sollten daher ihre jeweilige Rolle im Sinne des Data Acts prüfen und sich entsprechend vorbereiten.

Weitere Informationen zum Data Act finden Sie auf unserer Website: https://www.dsn-group.de/compliance/data-act

Conrad S. Conrad | 12. September 2025 | Allgemein | Compliance, Data Act, Datennutzung, DSGVO, Durchführungsgesetzes zum Data Act, Europäische Datenstrategie, nicht-personenbezogenen Daten, personenbezogene Daten, vernetzte Produkte und Dienste