Data-Act

Sie benötigen eine Beratung oder Vertretung im Bereich des Data-Acts? Unsere Kanzlei verfügt über eine breite Expertise in diesem Rechtsgebiet und berät Sie kompetent in allen damit zusammenhängenden Belangen. Nachfolgend erhalten Sie eine beispielhafte Übersicht unserer Leistungen im Bereich des Data Act.

 

  • Prüfung der Anwendbarkeit des Data Act für Hersteller, Eigentümer und Nutzer
  • Produkt- & Service-Compliance gemäß dem Data Act zur technischen und vertraglichen Umsetzung von Design-by-Access
  • Smart-Contract-Checks zur Prüfung von Robustheit und Auditierbarkeit
  • Gestaltung von Data-Sharing-Verträgen für Zugriffs- und Nutzungsrechte von Technischen Daten
  • Beratung für Cloud- und Edge-Switching zu Migrationsplänen und Datenportabilität
  • Ausgestaltung von Datenbank-Rechten & IP-Abgrenzung
  • Unterstützung bei Governance & Organisation für interne Richtlinien, Verantwortlichkeiten, Schulungen, Behörden- und Streitbeilegungsprozesse

Warum wir?

Der Data Act ist ein neues und hochdynamisches Rechtsgebiet, das maßgeblich die Nutzung, den Zugang und die Weitergabe von Daten innerhalb der EU reguliert. Die Verordnung schafft umfassende Rechte und Pflichten für Unternehmen und Nutzer – etwa beim Datenaustausch zwischen Vertragspartnern, beim Zugang zu Daten vernetzter Produkte oder im Verhältnis zu öffentlichen Stellen. Als auf Datenrecht spezialisierte Rechtsanwälte verfügen wir über das notwendige Fachwissen, um Sie sicher durch die komplexen Anforderungen des Data Acts zu begleiten und Ihre Interessen effektiv zu wahren. Dabei berücksichtigen wir stets die Überschneidungen mit angrenzenden Rechtsgebieten, insbesondere dem Datenschutzrecht, dem Vertragsrecht und dem Wettbewerbsrecht.

 

Verträge und Vereinbarungen gestalten wir so, dass Sie Ihre neuen Pflichten rechtssicher erfüllen und zugleich Ihre wirtschaftlichen Chancen optimal nutzen können – etwa durch klare Regelungen zum Datenzugang, zu Nutzungsrechten und zur Vergütung. In Konfliktfällen bieten wir Ihnen fundierte Risikoeinschätzungen und eine Beratung, die Ihre unternehmerischen Interessen in den Mittelpunkt stellt.

Das neue Datenrecht

Der Data Act schafft erstmals ein einheitliches Regelwerk für den fairen Zugang zu und die Nutzung von Daten aus vernetzten Produkten und zugehörigen Diensten. Die Kernidee ist, dass Daten, die durch die Nutzung eines vernetzten Produktes entstehen, für den Nutzer zugänglich und – auf Wunsch – mit Dritten teilbar sein sollen. Gleichzeitig schützt der Data Act Geschäftsgeheimnisse, IP-Rechte und die Sicherheit von Systemen. Bei den sog. vernetzten Produkten handelt es sich um Geräte, die Daten über ihre Nutzung oder Umgebung sammeln und diese über einen elektronischen Kommunikationsdienst übertragen können.

Ihre Pflichten nach dem Data Act

Der Data Act ist seit dem 12. September 2025 anwendbar und betrifft eine Vielzahl von Akteuren in der digitalen Wirtschaft. Er ergänzt dabei die DSGVO, lässt deren Anforderungen aber unberührt. Wir prüfen für Sie, ob Sie zu einer der folgenden Gruppen gehören:

 

  • Hersteller von vernetzten Produkten: Sie stellen Produkte her, die Daten über ihre Nutzung oder ihre Umgebung erzeugen – von Industriemaschinen, Fahrzeugen und Medizintechnik bis hin zu Smart-Home-Geräten und Wearables.
  • Anbieter von zugehörigen Diensten: Sie bieten digitale Dienstleistungen an, die mit einem vernetzten Produkt verbunden und für dessen Funktionalität erforderlich sind.
  • Anbieter von Datenverarbeitungsdiensten: Sie bieten Cloud- oder Edge-Computing-Dienste (IaaS, PaaS, SaaS) für Kunden in der EU an.
  • Nutzer von vernetzten Produkten: Als Unternehmen, das vernetzte Produkte kauft, mietet oder least, erhalten Sie neue, weitreichende Rechte auf Datenzugang.

 

Für Hersteller und Anbieter vernetzter Produkte gilt künftig ein „Access by Design“-Prinzip: Produkte und Dienste müssen so gestaltet sein, dass Produkt- und Servicedaten dem Nutzer standardmäßig leicht, sicher, kostenlos und in einem gängigen, maschinenlesbaren Format zugänglich sind. Vor Vertragsschluss sind u. a. Art, Format und geschätztes Volumen der entstehenden Daten sowie Abruf- und Löschmöglichkeiten in klarer und verständlicher Sprache zu beschreiben. Dies gilt gemäß Artikel 3 Data Act für Produkte, die ab dem 12. September 2026 auf den Markt gebracht werden.

 

Nutzerrechte werden indes gestärkt. Können Daten nicht direkt am Gerät oder im Dienst abgerufen werden, muss der Dateninhaber (z. B. der Hersteller oder Service-Provider) dem Nutzer unverzüglich und in der gleichen Qualität Zugriff verschaffen – nötigenfalls kontinuierlich und in Echtzeit. Nutzer dürfen die Daten außerdem an einen Dritten ihrer Wahl weitergeben lassen. Gleichzeitig bleiben Geschäftsgeheimnisse geschützt, dies erfordert aber einen proaktiven Prozess. Sie müssen Geschäftsgeheimnisse identifizieren und mit dem Empfänger vertraglich und technisch wirksame Schutzmaßnahmen vereinbaren. Ein pauschaler Verweis auf Betriebsgeheimnisse reicht gemäß Art. 5 – 6 Data Act daher nicht aus, um Nutzern den Datenzugang zu verweigern. Die Unterscheidung, welche Daten herausgegeben werden müssen, und welche tatsächlich Geschäftsgeheimnisse darstellen, kann sich in der Praxis oft als herausfordernd gestalten.

 

Für B2B-Konstellationen schreibt der Data Act die sog. FRAND-Bedingungen (fair, reasonable, non-discriminatory) und Transparenz vor, wenn Daten aufgrund des Gesetzes oder nach Art. 5 bereitgestellt werden. Unfaire einseitig vorgegebene Vertragsklauseln sind nicht bindend. Art. 13 Data Act enthält eine "schwarze Liste" von Klauseln, die stets als missbräuchlich gelten (z. B. der Ausschluss der Haftung für Vorsatz oder grobe Fahrlässigkeit) und eine "graue Liste" von Klauseln, bei denen die Missbräuchlichkeit vermutet wird. Eine umfassende Überprüfung und Anpassung Ihrer Standardverträge und AGB ist daher unerlässlich.

 

Bei B2G-Zugriffen (die sogenannten „exceptional need“ Zugriffe) müssen Dateninhaber in Ausnahmefällen Daten an öffentliche Stellen, die EU-Kommission, die EZB oder Unionsorgane bereitstellen – streng zweckgebunden, mit Begründung und Verfahrenssicherungen. Die Anforderungen an Antrag, Ablehnung, Vergütung und Geheimnisschutz sind detailliert geregelt.

 

Ein Schwerpunkt liegt auf Cloud-/Edge-Wechsel. Anbieter von datenverarbeitenden Diensten (insb. Cloud-Anbieter) müssen technische, vertragliche und organisatorische Hürden für einen Anbieterwechsel beseitigen. Sie müssen zum Beispiel den Export in gängigen Formaten unterstützen. Wechselentgelte sind stufenweise zu reduzieren und ab 12. Januar 2027 vollständig zu streichen.

 

Das Zusammenspiel zwischen DSGVO und Data Act ist eine der größten praktischen Herausforderungen für Unternehmen. Ein zentrales Konfliktpotenzial entsteht beispielsweise, wenn ein Nutzer Daten anfordert, die personenbezogene Daten Dritter enthalten. In diesem Fall ist für die Weitergabe durch den Dateninhaber eine gültige Rechtsgrundlage nach der DSGVO erforderlich, die der Data Act selbst nicht schafft. Ein Unternehmen könnte also eine valide Anfrage nach dem Data Act erhalten, die es nach der DSGVO jedoch nicht ohne Weiteres erfüllen darf. Dies ist ein erhebliches rechtliches Risiko.

Überwachung und Bußgelder

Nationale Behörden werden die Einhaltung überwachen. Welche Aufsichtsbehörde für die konkreten Überwachungsbereiche zuständig sein wird, ist aktuell (Stand 12.09.2025) noch nicht klar. Für Verstöße in Kap. II, III, V des Data Act können jedoch die DSGVO-Aufsichtsbehörden Geldbußen nach Art. 83 DSGVO verhängen, dies sind bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes. Der Data-Act gilt ab 12. September 2025. Das gesamte Kapitel IV zu unfairen Vertragsklauseln gilt für neue Verträge ab diesem Datum und erfasst Altverträge unter bestimmten Bedingungen ab 12. September 2027.  Die Erstellung neuer Verträge bzw. die Anpassung ihrer bisherigen Vertragstexte sollte daher nicht aufgeschoben werden.

Datenschutz

Ihre Daten werden nur zweckgebunden zur Bearbeitung Ihrer Kontaktanfrage verarbeitet, weitere Informationen zum Datenschutz finden Sie in unserer Datenschutzerklärung.