Der Data Act ist eine neue EU-Verordnung (2023/2854), die erstmals einheitliche Regeln für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und Diensten schafft.
Sie wurde im Dezember 2023 verabschiedet, trat am 11. Januar 2024 in Kraft und wird ab dem 12. September 2025 verbindlich angewendet.
Ziel des Data Act ist es, die Kontrolle der Bürger und Unternehmen über ihre Daten zu stärken, den Datentransfer zu fördern und damit Innovation und Wettbewerb in der EU anzukurbeln.
Gleichzeitig bleibt die Datenschutz-Grundverordnung (DSGVO) weiter in Kraft, sodass personenbezogene Daten weiterhin nach den strengen Regeln der DSGVO geschützt werden müssen.
„Der Data Act bringt unseren Mandanten neue Chancen im Datenmarkt – er fordert aber zugleich, Datenrechte und Verträge sorgfältig zu gestalten.“
Wer ist vom Data Act betroffen?
Betroffen sind vor allem Hersteller, Dateninhaber und Nutzer vernetzter Geräte, zum Beispiel aus den Bereichen Maschinenbau, IoT, Medizintechnik oder Automotive.
Auch Anbieter von Datenverarbeitungsdiensten (wie Cloud-Anbieter, SaaS/PaaS/IaaS-Provider) werden von den neuen Vorschriften direkt erfasst.
Der Data Act gilt für alle Unternehmen, die Daten innerhalb der EU verarbeiten, unabhängig vom Standort, solange die Daten in der Union bereitgestellt werden.
Ausnahmen gibt es nur für Kleinstunternehmen.
Entscheider in Unternehmen sollten nun genau prüfen, ob ihre Produkte oder Services betroffen sind.
„Unternehmen, die vernetzte Produkte herstellen oder nutzen, müssen sich jetzt mit dem Data Act auseinandersetzen und ihre Verträge vorbereiten.“
Chancen und wirtschaftliche Möglichkeiten
Durch den Data Act eröffnen sich viele Chancen für Unternehmen und Selbständige: Daten, die bisher in geschlossenen Systemen lagen, können nun rechtlich einwandfrei weitergegeben und ausgewertet werden.
So können Anbieter neuer Zusatzdienste – etwa Reparaturservices, Versicherungen oder Energiemanagement-Tools – auf Nutzungsdaten zugreifen, um innovative Services anzubieten.
Besonders kleinere Unternehmen und Start-ups profitieren von leichterem Zugang zu nicht-personenbezogenen Daten, was die Entwicklung datengetriebener Geschäftsmodelle fördert.
Die verstärkte Interoperabilität beseitigt den bisherigen Vendor-Lock-in: Kunden können einfacher ihren Anbieter wechseln und der Wettbewerb wächst.
„Der Data Act kann ein Katalysator für neue Geschäftsmodelle sein. Er schafft Chancengleichheit im Datenmarkt und öffnet KMU den Zugang zu bisher geschlossenen Datenpools.“
Insgesamt soll der Data Act so Innovationszyklen beschleunigen und das Wachstum in der EU-Datenwirtschaft vorantreiben.
Risiken und rechtliche Unsicherheiten
Gleichzeitig bringt der Data Act auch Herausforderungen und Risiken mit sich, die Unternehmen beachten müssen. Insbesondere sollten folgende Themen im Blick behalten werden:
Nutzerrechte und Herstellerpflichten
Nutzer vernetzter Geräte erhalten das Recht, die von ihnen mitproduzierten Daten anzufordern.
Hersteller müssen diese Daten zugänglich machen (kostenlos für den Nutzer) und zu angemessenen Bedingungen auch an Dritte weitergeben.
Dabei ist zu beachten, dass die Dritten die Daten nicht zu Konkurrenzzwecken oder zur Ausführung von Geschäftsgeheimnissen verwenden dürfen.
Hersteller sollten ihre Datenflüsse daher genau dokumentieren und prüfen.
Vertragsgestaltung (FRAND & Fairness)
Kommt es zur Weitergabe von Daten an Dritte, muss ein Vertrag abgeschlossen werden. Dieser darf keine einseitig auferlegten und unfairen Klauseln enthalten (Art. 13 Data Act).
Laut FRAND-Prinzip müssen Datenanbieter faire, angemessene und nicht-diskriminierende Bedingungen anbieten.
Wird ein Datennutzungsvertrag einseitig vorgelegt, muss die anbietende Partei beweisen, dass die Klauseln verhandelbar waren. Oft empfiehlt es sich, Verhandlungsprotokolle zu dokumentieren.
Datenschutz / DSGVO
Der Data Act regelt vorrangig nicht den Datenschutz.
Die DSGVO bleibt voll anwendbar, wenn personenbezogene Daten betroffen sind.
In Zweifelsfällen ist daher zu prüfen, ob Daten schon als personenbezogen gelten. Der Data Act ergänzt die DSGVO zwar teilweise, im Konfliktfall hat das Datenschutzrecht Vorrang (Art. 1 Abs. 5 Data Act), doch eine pauschale Vorrangregelung gibt es nicht.
Unternehmen sollten daher ihre Datenschutzdokumentation anpassen und prüfen, ob Datenzugriffe nach DSGVO zulässig sind.
Cloud-Switching und Vertragsbeendigung
Nach Art. 23 ff. Data Act müssen Cloud-Anbieter den Wechsel zwischen Diensten wesentlich erleichtern.
Zwingend sind z.B. eine Kündigungsfrist von max. 2 Monaten und eine Wechselunterstützung (mindestens 30 Tage Support beim Datenexport).
Alte Cloud- oder SaaS-Verträge ohne solche Regelungen sind risikobehaftet.
Hierbei ist in der Praxis auf aktuelle Verträge zu achten!
SaaS-Verträge (Software-as-a-Service): Rechtliche Herausforderungen, Risiken und Optionen
Praxisleitfaden: vertragliche Absicherung bei der Nutzung von Cloud-Diensten
Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte
Kunden sollten bei neuen Cloud-Agreements explizit auf Exit-Pläne und Schnittstellen achten.
Haftung und Strafen
Verstöße gegen den Data Act können sanktioniert werden.
Die Verordnung überlässt die Festsetzung von Bußgeldern den Mitgliedstaaten.
In Deutschland wird die Bundesnetzagentur als Durchsetzungsbehörde fungieren.
Bußgelder und Schadensersatzansprüche können erheblich sein. Geschäftsführer*innen und Geschäftsführer tragen persönliche Verantwortung, wenn sie Pflichten missachten.
Neue Abmahngefahr: Konkurrenten dürfen jetzt Datenschutzverstöße abmahnen
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
Daher ist eine durchdachte Compliance-Strategie dringend geboten.
„Die Anforderungen des Data Act sind komplex. Vernachlässigt man sie, drohen rechtliche Risiken. Unternehmer sollten jetzt ihre internen Prozesse und Verträge prüfen und bei Bedarf rechtlich anpassen.“
Relevante Vertragsarten im Rahmen des Data Act
Der Data Act wirkt sich auf verschiedene Vertragstypen aus.
Unternehmen sollten insbesondere folgende Verträge überprüfen und anpassen:
- Datenlizenz- und Datennutzungsverträge: Hier werden die Rechte und Pflichten zur Bereitstellung und Nutzung der Daten festgelegt. Wichtige Punkte sind der genaue Datenumfang (z.B. Art der Daten, Format, Frequenz), die technische Umsetzung (maschinenlesbare Formate, APIs) sowie Aspekte wie Vertraulichkeit, Datensicherheit und Haftung.
SaaS-Verträge (Software-as-a-Service): Rechtliche Herausforderungen, Risiken und Optionen
- AGB und Nutzungsbedingungen: Allgemeine Geschäftsbedingungen für Produkte/Dienste mit Datenfunktionen müssen Data-Act-konform sein. Sie sollten transparent regeln, welche Daten der Kunde erhält und weitergeben darf, und dürfen keine ungültigen einseitigen Klauseln enthalten (Art. 13). Zudem sind Informationspflichten zu beachten (z.B. über Datenzugriffsrechte und -nutzung).
AGB – Allgemeine Geschäftsbedingungen – Ihre Vorteile durch klare Regelungen
- Cloud-Service-Verträge: Verträge mit Cloud- oder Plattformanbietern müssen die neuen Wechsel- und Kündigungsregeln enthalten. Anbieter müssen technische Unterstützung für den Datenexport bereitstellen und technische Schnittstellen öffnen. Laut EU-Musterverträgen sollten z.B. Exit-Pläne, Migrationsfristen und Self-Service-Tools vereinbart werden.
Praxisleitfaden: vertragliche Absicherung bei der Nutzung von Cloud-Diensten
- Kooperationsverträge und Datenpools: Wenn Unternehmen Daten untereinander teilen (z.B. in Datenräumen oder Netzwerken), sollten klare Regelungen zu Zugriffsrechten, Interoperabilität und Datensicherheit getroffen werden. Auch hier gilt das FRAND-Prinzip (fair, reasonable, non-discriminatory).
- Musterverträge und Standards: Die EU-Kommission hat freiwillige Musterklauseln (Model Contractual Clauses, SCCs) veröffentlicht, die als Orientierung dienen. Unternehmen sollten diese Mustervorlagen prüfen und gegebenenfalls in ihre eigenen Verträge integrieren.
Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse
Unterstützung durch die Rechtsanwaltskanzlei Marcel Wetzel
Die Gestaltung datenschutz- und datengesetzkonformer Verträge erfordert umfassendes juristisches Know-how in mehreren Rechtsbereichen.
Die Rechtsanwaltskanzlei Marcel Wetzel in Berlin verfügt über langjährige Erfahrung in den Feldern IT-Recht, Vertragsrecht, Internetrecht, Compliance und Datenschutz.
Wir haben bereits zahlreichen Unternehmen dabei geholfen, komplexe Digitalisierungs- und Datenschutzprojekte rechtssicher umzusetzen.
Unsere Leistungen im Überblick:
- Vertragsprüfung & -gestaltung:
Wir prüfen Ihre Datenlizenzverträge, AGB und Cloud-AGBs auf Data-Act-Compliance und passen sie an. Dabei achten wir darauf, dass Klauseln zu Datenzugriff, -nutzung, Sicherheit und Haftung klar geregelt sind. - Cloud-Verträge:
Wir integrieren notwendige Wechselklauseln (z.B. Wechsel- und Kündigungsfristen, Exit-Pläne) in Ihre Cloud- und SaaS-Verträge. - Compliance & Datenschutz:
Wir gleichen Data-Act-Anforderungen mit DSGVO-Anforderungen ab, entwickeln interne Prozesse und Compliance-Konzepte für Datenzugriffsanfragen und Datenweitergabe. - Beratung & Schulung:
Unsere Experten schulen Geschäftsführung, IT und Rechtsteam zu den Anforderungen des Data Act und unterstützen bei Verhandlungen mit Partnern.
„Jedes Unternehmen ist individuell – wir entwickeln maßgeschneiderte Lösungen und übersetzen komplexe Vorschriften in klare, umsetzbare Verträge.“
Haftung minimieren – Compliance ist entscheidend
Die Nichteinhaltung des Data Act kann für Unternehmen teuer werden.
Die EU-Verordnung sieht keine festen Bußgeldhöhen vor; die einzelnen Mitgliedstaaten legen sie in ihrem Recht fest.
In Deutschland wird die Bundesnetzagentur für die Durchsetzung zuständig sein.
Wichtig: Geschäftsführer*innen können bei Pflichtverletzungen persönlich haftbar gemacht werden!
Deshalb sind frühzeitige Compliance-Maßnahmen unerlässlich:
Stellen Sie klare Prozesse für Datenzugriffsanfragen auf, definieren Sie Zuständigkeiten und führen Sie regelmäßige Prüfungen durch.
„Frühzeitige juristische Beratung und ein durchdachtes Compliance-Konzept minimieren Haftungsrisiken. So bleiben Sie auf der sicheren Seite.“
FAQ zum Data Act und zur juristischen Umsetzung
Was ist der Data Act und ab wann gilt er?
Der Data Act ist eine EU-Verordnung (2023/2854) für fairen Datenzugang und Datennutzung. Er trat am 11. Januar 2024 in Kraft und gilt nach einer Übergangsfrist ab dem 12. September 2025 verbindlich für alle EU-Unternehmen. Bis dahin gibt es Zeit für die Anpassung.
Wer ist vom Data Act betroffen?
Betroffen sind Hersteller und Anbieter vernetzter Geräte und Dienste sowie deren Kunden (Unternehmen und Verbraucher). Außerdem gelten neue Pflichten für Anbieter von Cloud- oder Datenverarbeitungsdiensten. Ausnahmen bestehen für sehr kleine Unternehmen.
Welche Rechte haben Nutzer und Kunden?
Nutzer vernetzter Produkte können die von ihnen erzeugten Daten einsehen, verarbeiten oder an Dritte weitergeben. Sie dürfen z.B. erwarten, dass ihr Serviceanbieter einen Wechsel zu einem anderen Anbieter technisch unterstützt und beim Datenexport hilft. Diese Regelungen betreffen sowohl B2C als auch B2B.
Wie verhält sich der Data Act zur DSGVO?
Die DSGVO bleibt für alle personenbezogenen Daten vollständig anwendbar. Der Data Act ergänzt die DSGVO, aber er wirkt nicht abschließend auf den Datenschutz. Im Konfliktfall hat das Datenschutzrecht Vorrang (Art. 1 Abs. 5 Data Act). Eine pauschale Vorrangregelung, wonach nur die DSGVO gilt, gibt es jedoch nicht.
Was bedeutet FRAND im Data Act-Kontext?
FRAND steht für „Fair, Reasonable And Non-Discriminatory“. Datenbereitsteller müssen ihre Daten zu fairen, angemessenen und nicht diskriminierenden Bedingungen zur Verfügung stellen. Einseitig aufgezwungene Vertragsklauseln, die nicht dem Verhandlungswillen der Parteien entsprechen, sind unwirksam.
Welche Vertragsklauseln sind wichtig?
In Daten- und Cloud-Verträgen sollten konkret geregelt sein: Art und Umfang der Datenbereitstellung (Format, Häufigkeit), Sicherheitsanforderungen, Nicht-Verwendungs-Beschränkungen (keine Profilbildung, kein Reverse Engineering) sowie Kündigungs- und Exit-Klauseln. Die EU-Musterklauseln bieten konkrete Vorlagen.
Wann sollte ich rechtliche Beratung einholen?
Am besten bereits vor Eintritt des Data Act in Kraft. Wenn Sie Daten aus vernetzten Produkten oder Ihren Cloud-Diensten teilen wollen, sollten Sie Ihre Verträge frühzeitig von Experten prüfen lassen. Rechtzeitige Beratung hilft, teure Anpassungen und Haftungsprobleme zu vermeiden.
Was passiert bei Verstößen gegen den Data Act?
Bei Verstößen können Bußgelder und Schadensersatzansprüche drohen. Die Höhe der Geldbußen legen die Mitgliedstaaten fest. Zusätzlich können Vertragspartner bei Pflichtverletzungen auf Erfüllung oder Schadenersatz klagen. Eine fehlende Compliance kann auch das Vertrauen von Kunden und Partnern gefährden.
Interessant zum Thema:
SaaS-Verträge (Software-as-a-Service): Rechtliche Herausforderungen, Risiken und Optionen
Praxisleitfaden: vertragliche Absicherung bei der Nutzung von Cloud-Diensten
Softwarepflegevertrag: Bedeutung, Rechtsgrundlagen und alles Wissenswerte
Risiko Datentransfer in die USA: Das EU–US Data Privacy Framework auf dem Prüfstand
Neue Abmahngefahr: Konkurrenten dürfen jetzt Datenschutzverstöße abmahnen
Transatlantischer Datenschutz unter Trump 2.0: Mögliche Auswirkungen auf EU-US-Datentransfers
Private Haftungsrisiken in Unternehmen – Wie Sie sich als Geschäftsführer schützen können
AGB – Allgemeine Geschäftsbedingungen – Ihre Vorteile durch klare Regelungen
Haftung der Geschäftsführung in GmbHs: Risiken erkennen und rechtlich absichern
Das rechtssichere Impressum – Was Sie wissen müssen
Betriebsübergabe und Generationenwechsel in Unternehmen: Rechtliche Aspekte
IT- und Internetrecht: So schützen wir Ihr Unternehmen in der digitalen Welt
Allgemeine Geschäftsbedingungen (AGB) für Unternehmen: Chancen, Risiken und Lösungen
Vertragsrecht: strategische Implikation für unternehmerische Entscheidungsprozesse
Persönliche Haftung der Geschäftsführer bei Datenschutzverstößen
Warum Unternehmen eine „externe“ Hinweisgeberstelle einrichten sollten
Alles zur Haftung bei Einzelunternehmen – Wie schütze ich mein Privatvermögen?
Kurz gesagt: Wir nehmen Ihnen die Komplexität ab.
Sie können sich auf Ihr Kerngeschäft konzentrieren, während wir dafür sorgen, dass Ihre Datenströme rechtlich abgesichert sind – heute und in Zukunft.