Data Act

33 Fragen

Allgemeines

Sehr wahrscheinlich ja. Er gilt für alle Branchen und alle Wirtschaftsstufen und ist relevant für jeden, der – irgendwelche – Daten hält, lizenziert, für Dritte freiwillig bereitstellt oder bereitzustellen verpflichtet ist. Er ist insbesondere relevant für

  • Unternehmen, die vernetzte Produkte bzw. damit verbundene Dienste entwickeln bzw. herstellen und anbieten, sowie Unternehmen, die die (faktische) Kontrolle über die Daten haben, die von vernetzten Produkten oder verbundenen Diensten generiert werden (sog. Produktdaten und verbundene Dienstdaten).
  • Unternehmen, die nach EU-Recht oder nach auf EU-Recht beruhendem nationalem Recht verpflichtet sind, Dritten Daten bereitzustellen (s. auch Frage 24). Dabei geht es nicht nur um die Bereitstellung von Produktdaten oder verbundenen Dienstdaten, sondern um gesetzliche Zugangsansprüche zu allen Arten von Daten. Der Data Act enthält insbesondere Bestimmungen zur Gegenleistung und zur Vertragsgestaltung.
  • Unternehmen, die mit anderen Unternehmen Verträge über den Zugang zu und/oder die Nutzung von Daten abschließen (s. auch Frage 26). Auch dabei geht es nicht nur um die Nutzung von Produktdaten oder verbundenen Dienstdaten, sondern um alle B2B-Verträge über alle Arten von Daten. Der Data Act enthält eine Art AGB-Kontrolle für Datenverträge. 
  • Für alle Unternehmen, die (irgendwelche) Daten haben, für den Fall einer „außergewöhnlichen Notwendigkeit“ wie insbesondere Naturkatastrophen oder Epidemien. Der Data Act enthält Bestimmungen über die Bereitstellung von Daten für nationale Behörden und EU-Institutionen in bestimmten Notlagen (s. auch Frage 30).
  • Für Anbieter von Datenverarbeitungsdiensten (insbesondere Anbieter von Software-as-a-Service-Diensten (SaaS), Cloud- und Edge-Diensten) zur Ermöglichung des Wechsels zu einem anderen Anbieter (s. auch Frage 32). [Art. 23 ff. DA] 
  • Für Teilnehmer an europäischen Datenräumen zur Ermöglichung der Interoperabilität (s. auch Frage 33). [Art. 33 ff. DA] 

Ja. Es bestehen aber wichtige Ausnahmen insbesondere von der Pflicht zur Datenbereitstellung (s. auch Frage 8):

  • Die Pflicht zur Bereitstellung von Daten, die von vernetzten Produkten oder verbundenen Diensten generiert werden (sog. Produktdaten und verbundene Dienstdaten) gilt nicht, wenn die Produkte von einem Kleinst- oder Kleinunternehmen hergestellt oder konzipiert werden, oder wenn ein solches Unternehmen die verbundenen Dienste erbringt. Um Umgehungen zu verhindern gilt die Ausnahme jedoch nicht, wenn (i) das Kleinst- oder Kleinunternehmen ein „Partnerunternehmen“ oder ein Konzernunternehmen hat, das kein Kleinst- oder Kleinunternehmen ist, oder (ii) das Unternehmen als Unterauftragnehmer mit der Herstellung oder der Konzeption des vernetzten Produkts oder der Erbringung des verbundenen Diensts beauftragt wurde. [Art. 7 Abs. 1 DA]
  • Wird ein Kleinst- oder Kleinunternehmen zu einem mittleren Unternehmen, gilt eine Übergangsfrist von einem Jahr, bis die Bereitstellungspflichten Anwendung finden. [Art. 7 Abs. 1 DA]
  • Die Bereitstellungspflichten für mittlere Unternehmen im Hinblick auf vernetzte Produkte gelten erst nach einem Jahr, nachdem das vernetzte Produkt durch das mittlere Unternehmen in den Verkehr gebracht wurde. [Art. 7 Abs. 1 DA] Eine entsprechende Privilegierung gibt es allerdings nicht für Daten, die von verbundenen Diensten generiert werden.

Daneben werden Kleinst- und Kleinunternehmen bezüglich der Bereitstellung von Daten an öffentliche Stellen bei außergewöhnlicher Notwendigkeit (s. auch Frage 30) privilegiert. Zum einen sind für die „außergewöhnliche Notwendigkeit“ bei Kleinst- und Kleinunternehmen strengere Anforderungen zu stellen, [Art. 15 Abs. 2] und zum anderen steht solchen Unternehmen auch dann ein finanzieller Ausgleich zu, wenn größere Unternehmen die Daten kostenfrei bereit zu stellen haben. [Art. 20 Abs. 1 DA]

Für die Bestimmung, wer als Kleinstunternehmen, kleines Unternehmen oder als mittleres Unternehmen gilt, ist die Definition der EU relevant (KMU): 

Tabelle der Firmengröße

Die Pflichten unter dem Data Act gelten grundsätzlich ab dem 12. September 2025. Die Design-Pflichten, die sich für die Hersteller von vernetzten Produkten und damit verbundenen Diensten ergeben, gelten dagegen  nur für solche Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden. [Art. 50 DA]

Allerdings können auch bereits jetzt bestehende oder vor dem 12. September 2025 geschlossene Verträge der AGB-Inhaltskontrolle (s. auch Frage 27) unterliegen. Dies allerdings nur, wenn der Vertrag entweder unbefristet ist oder seine Geltungsdauer frühestens am 11. Januar 2034 endet. [Art. 50 DA] Dann gilt die Inhaltskontrolle ab dem 12. September 2027; ab dann können also enthaltene Regelungen unwirksam werden.

Außerdem haben die Design-Pflichten (s. auch Frage 23) eine Art praktische Vorwirkung, da Entwicklungszyklen für vernetzte Produkte und damit verbundene Dienste oft lange dauern. Soll ein Produkt nach dem 12. September 2026 in den Verkehr gebracht werden, müssen die Produktpflichten daher faktisch schon während der davorliegenden Entwicklungsphase beachtet werden.

Ja, wenn eine der folgenden Voraussetzungen gegeben ist: 

  • Sie stellen vernetzte Produkte her, die in der EU in Verkehr gebracht werden, und/oder Sie bieten mit solchen (in der EU in Verkehr gebrachten) vernetzten Produkten verbundene Dienste an. [Art. 1 Abs. 3 lit. a) DA]
  • Sie stellen Datenempfängern Daten in der EU bereit. [Art. 1 Abs. 3 lit. c) DA]
  • Sie sind ein Datenverarbeitungsdienst (z.B. bieten Sie Software-as-a-Service-Lösungen oder Cloud- oder Edge-Dienste an) und haben Kunden in der EU. [Art. 1 Abs. 3 it. f) DA]
  • Sie sind 
    • ein Anbieter von Anwendungen, die intelligente Verträge (smart contracts) bei der Datenbereitstellung verwenden, oder 
    • Ihre gewerbliche Tätigkeit umfasst die Einführung von smart contracts für andere im Zusammenhang mit der Durchführung einer Vereinbarung. [Art. 1 Abs. 3 lit. g) DA]

      In beiden Fällen ist es u.E. erforderlich, dass ein Anbieten oder die Einführung in der EU erfolgt, auch wenn der Text des Data Acts dies nicht ausdrücklich sagt.

Nein. Beim Data Act geht es nicht um den Schutz von personenbezogenen Daten. Dafür gilt weiterhin die Datenschutzgrundverordnung (DSGVO). Deren Regelungen werden durch den Data Act nicht eingeschränkt.

In den meisten Bereichen unterscheidet der Data Act nicht zwischen personenbezogenen und nicht personenbezogenen Daten. Beide Arten von Daten fallen in den Anwendungsbereich des Data Act. In einigen Bereichen gibt es jedoch Unterschiede, z.B. im Hinblick auf den Umgang mit Anfragen ausländischer Behörden. Im Rahmen ihrer Befugnisse, d.h. wenn es um den Schutz personenbezogener Daten geht, können Datenschutzaufsichtsbehörden auch wegen Verstößen gegen den Data Act Bußgelder nach Maßgabe der DSGVO verhängen. [Art. 37 Abs. 3, 40 Abs. 1, Abs. 4 DA]

In Betracht kommen zivilrechtliche Rechtsfolgen und Bußgelder. 

  • Die Höhe der Bußgelder steht noch nicht fest. Der Data Act selbst enthält keine konkreten Sanktionen im Falle von Verstößen. Die Mitgliedsstaaten sind verpflichtet, Vorschriften über Sanktionen zu erlassen und haben dabei unter anderem Art, Schwere, Umfang und Dauer des Verstoßes, finanzielle Vorteile sowie bei der Sanktionshöhe den Jahresumsatz der verstoßenden Partei des vorangegangenen Geschäftsjahres in der Union zu berücksichtigen [Art. 40 DA]. Die Mitgliedstaaten haben der Kommission die Vorschriften bis zum 12. September 2025 mitzuteilen. 

    Wenn es um den Schutz personenbezogener Daten geht, können Datenschutzaufsichtsbehörden auch wegen Verstößen gegen den Data Act Bußgelder nach Maßgabe der DSGVO verhängen. [Art. 37 Abs. 3, 40 Abs. 1, Abs. 4 DA].
     
  • Im Hinblick auf zivilrechtliche Rechtsfolgen lässt sich vorläufig sagen:
    • Zum Teil werden zivilrechtliche Rechtsfolgen bereits im Data Act vorgegeben. Vertragliche Klauseln, die bestimmte Rechte des Nutzers einschränken, sind unwirksam. [Art. 7 Abs. 2 DA] Das Gleiche gilt für Klauseln, die die Rechte einer Partei unter dem Kapitel III des Data Act ausschließen. [Art. 12 Abs. 2 DA]
    • Soweit der Data Act keine Regeln über zivilrechtliche Fragen enthält, gilt das anwendbare nationale Recht. Dieses ist über die sog. Rom I-Verordnung zu bestimmen (Rom I VO).

Fühlt sich jemand in seinen Rechten nach dem Data Act verletzt, kann er oder sie Beschwerde bei der zuständigen nationalen Behörde einlegen. [Art. 38 DA] Für bestimmte Streitigkeiten werden auch zertifizierte Streitbeilegungsstellen eingerichtet, wie beispielsweise über Vertragsbedingungen (s. auch Frage 28) oder im Zusammenhang mit Maßnahmen zum Schutz von Geschäftsgeheimnissen (s. auch Frage 20). [Art. 10 DA] Daneben ist natürlich stets der Rechtsweg eröffnet. Unter Umständen kann etwa die Verletzung der Anforderungen des Data Act einen kaufrechtlichen Mangel darstellen (z.B. ein vernetztes Produkt entspricht nicht den Anforderungen des Data Act (siehe zu Design-Pflichten auch Frage 23). In diesem Fall kommen Gewährleistungs- und Schadensersatzansprüche des Käufers in Betracht. Bei Datenschutzverstößen sind auch datenschutzrechtliche Schadensersatzansprüche denkbar.

  • Die Datenzugangsansprüche (s. auch Frage 8) gelten nur für Daten, die von einem vernetzten Produkt oder einem verbundenen Dienst generiert wurden. Solche Daten bezeichnet der Data Act als Produktdaten beziehungsweise verbundene Dienstdaten. [Art. 2 Nr. 15, 16 DA]
  • Diese Einschränkung gilt aber nicht für die meisten anderen Regelungen. Insbesondere ist die Missbrauchskontrolle relevant für Verträge über jede Art von Daten des Privatsektors, die auf vertraglicher Grundlage abgerufen, weitergegeben oder genutzt werden (s. auch Fragen 27 und 28). Auch die Regelungen über die Konditionen der Datenbereitstellung (s. auch Frage 24) gelten grundsätzlich für alle Arten von Daten. Der Data Act hat dabei ein sehr breites Verständnis von „Daten“. Er versteht darunter „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen […]“. Unter „Daten“ fallen demnach alle digitalen Repräsentationen von (irgendwelchen) Tatsachen. Erfasst ist auch Ton-, Bild- oder audiovisuelles Material. [Art. 2 Abs. 1 DA] 

Ob es sich bei den Daten um personenbezogene oder nicht personenbezogene handelt, ist grundsätzlich irrelevant. Im Einzelfall werden aber personenbezogene Daten anders behandelt als nicht personenbezogene.

Datenzugangsansprüche

Ja. Der Data Act gibt dem Nutzer eines vernetzten Produkts oder eines verbundenen Diensts – nicht aber sonstigen Dritten – einen Anspruch gegen den Dateninhaber auf Bereitstellung bestimmter Daten (s. auch Frage 9). Der Nutzer kann die Herausgabe entweder an sich selbst [Art. 4 Abs. 1 DA] oder an Dritte verlangen. [Art. 5 Abs. 1, 3 DA] 

Die Dritten dürfen grundsätzlich beliebige Dritte sein, auch z.B. Wettbewerber des Dateninhabers. Eine Ausnahme besteht allerdings für Unternehmen, die die EU als sog. Gatekeeper (Torwächter) i.S.d. Art. 3 des Digital Markets Act (DMA) qualifiziert hat. (Gatekeepers) [Art. 5 Abs. 3 DA]

Kein Anspruch besteht für den Nutzer an Herausgabe an sich selbst, soweit er schon direkt vom vernetzten Produkt oder dem verbundenen Dienst aus auf die Daten zugreifen kann, also er sie z.B. ganz einfach vom Gerät herunterladen kann. Den Anspruch auf Bereitstellung an einen Dritten schließt das aber nicht aus.

Der Nutzer kann die Bereitstellung von sog. „ohne weiteres verfügbaren Daten“ (engl. „readily availabla data“) verlangen (s. auch Frage 9). Dabei handelt es sich nicht um beliebige Daten, sondern nur um Produktdaten oder verbundene Dienstdaten, jeweils einschließlich der für die Interpretation erforderlichen Metadaten.

Der Begriff „ohne weiteres verfügbar“ hat mehrere Implikationen:

  • Erfasst sind nur Daten, die der Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig vom vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. [Art. 2 Abs. 17 DA] Welche Arten von Daten das sind, bestimmt das Design des Produkts bzw. Dienstes. Der Hersteller hat keine Pflicht, bestimmte Daten als auslesbar zu gestalten. Im Wesentlichen kann er also durch seine Design-Entscheidungen bestimmen, welche Daten überhaupt zugänglich sein sollen. Verlassen Daten nicht die Komponente, in der sie generiert werden, sind sie auch nicht ohne weiteres verfügbar. [Erwägungsgrund 20 DA] Nur wenn Daten bestimmungsgemäß generell aus dem Produkt erhalten werden können (z.B. um sie in einer zentralen CPU zu speichern oder in ein zentrales Rechenzentrum des Dateninhabers zu übertragen), sind solche Daten ohne weiteres verfügbar. Es besteht also nach dem Data Act keine Pflicht zur Speicherung von Produktdaten und verbundenen Dienstdaten auf einer zentralen Rechnereinheit. [Erwägungsgrund 20 DA]
  • Zum anderen sind nur Daten „ohne weiteres verfügbar“, die allenfalls ein geringes Maß an Bearbeitung aufweisen:
    • Die Rohdaten, also die vom vernetzten Produkt oder dem verbundenen Dienst unmittelbar und unbearbeitet gewonnenen Daten gehören zu den ohne weiteres verfügbaren Daten.
    • Auch ein gewisses Maß an Vorverarbeitung schadet nicht. Zu solchen vorverarbeiteten (pre-processed) Daten gehört es z.B., wenn Messdaten schon als eine bestimmte Temperatur, bestimmte Koordinaten, bestimmter Druck etc. interpretiert werden. Dabei darf es sich aber nur um eine einfache Bearbeitung handeln. [Art. 2 Nr. 17 DA]

Nicht mehr ohne weiteres verfügbare Daten liegen vor, wenn die Daten interpretiert oder durch Algorithmen manipuliert und ausgewertet werden (z.B. wenn die Ergebnisse verschiedener Sensoren eines automatisiert fahrenden Fahrzeugs zu einem Rundum-Bild der Umgebung zusammengeführt und ausgewertet werden, sog. Sensorfusion). Auf solche Auswertungen besteht kein Anspruch.

Fraglich ist, wie lange der Dateninhaber die Daten vorhalten muss. Die Erwägungsgründe legen nahe, dass dies nur für eine „angemessene“ Zeit der Fall sein muss. [Erwägungsgrund 24 DA] Systematisches Löschen, durch das die Zugangsmöglichkeit faktisch ausgeschlossen oder stark beschränkt wird, dürfte nicht zulässig sein. Anders dürfte es aber sein, wenn die Daten technisch bedingt laufend überschrieben werden, z.B. bei geringem Speicher und gleichzeitigem hohem Datenaufkommen.

Ein vernetztes Produkt ist, grob gesprochen, ein IoT (Internet-of-Things)-Produkt. Es hat folgende Eigenschaften:

  • Es generiert, erhebt oder sammelt Daten über seine Umgebung oder seine Nutzung und
  • es kann diese Produktdaten übermitteln, gleich auf welchem Weg (z.B. WLAN, physische Verbindung, NFC, 4G/5G).

Beispiele: Smartwatches; vernetzte Fahrzeuge (connected cars); Industriemaschinen, die Nutzungs- oder Wartungsdaten übermitteln; Remote-Überwachungskameras etc. Ausgenommen sind Cloudspeicher oder andere Produkte, deren Hauptaufgabe die Datenspeicherung/-Verarbeitung/-Übertragung für Dritte ist.

Ein verbundener Dienst ist ein digitaler Dienst, der mit einem vernetzten Produkt verbunden ist und dessen Funktionen unterstützt.  Dabei kann es sich auch um Software handeln. Er verleiht, ergänzt, aktualisiert oder passt dessen Funktionen an, und zwar von Anfang an oder später. Die bloße Fähigkeit, Daten aus einem vernetzten Produkt auszulesen, reicht aber nicht; es muss ein Datenaustausch stattfinden, d.h. der Dienst muss die Produktfunktionen auch steuern können. 

Beispiele: Software-Updates, die die Sicherheit oder Leistung eines vernetzten Produkts verbessern oder neue Funktionen hinzufügen; Apps oder Dienste zur Fernwartung oder -diagnose; personalisierte Empfehlungen oder Werbung, die aufgrund Nutzerverhaltens angeboten werden.

Man kann Nutzer eines vernetzten Produkts oder eines verbundenen Dienstes sein (s. auch Frage 10). Beides wird gleich behandelt. Der Nutzer kann eine natürliche oder eine juristische Person sein. Nicht nur der Endverbraucher, der das Produkt oder den Dienst zu privaten Zwecken benutzt beziehungsweise bezieht, kann Nutzer sein, sondern auch ein Unternehmen.

  • Der Nutzer eines vernetzten Produkts ist dessen Eigentümer oder jemand, der über einen Vertrag zeitlich begrenzt zur Nutzung des Produkts berechtigt ist, also insbesondere der Mieter oder Leasingnehmer. [Art. 2 Abs. 12 DA] Es können auch mehrere gleichzeitig Nutzer eines vernetzten Produkts sein, z.B. Miteigentümer. Entgegen dem deutschen Wortlaut („Besitzer“) reicht der bloß tatsächliche Besitz nicht aus. Hat jemand also z.B. eine Smartwatch (ein vernetztes Produkt) gekauft oder geleast, ist er/sie deren Nutzer. Verleiht er/sie gefälligkeitshalber an einen Freund, damit dieser sie zum Sport benutzen kann, wird der Freund damit noch nicht zum Nutzer, weil er kein vertragliches Nutzungsrecht erworben hat.
  • Der Nutzer eines verbundenen Dienstes ist, wer den Dienst in Anspruch nimmt. [Art. 2 Abs. 12 DA] Der Data Act scheint hier keine vertragliche Beziehung zu fordern. Allerdings ist dies wohl so auszulegen, dass der Nutzer derjenige ist, der den Dienst (vertraglich) abonniert hat und der die Dienste auf dieser Grundlage in Anspruch nimmt.

Wer Dateninhaber ist, ist im Data Act unklar formuliert. [Art. 2 Abs. 13 DA] Bis zur Klärung ist es u.E. sinnvoll davon auszugehen, dass Dateninhaber derjenige ist, der die tatsächliche oder rechtliche Verfügungsbefugnis über die Daten hat. 

Problematisch an der Definition ist, dass nach ihr Dateninhaber derjenige sein soll, der aufgrund EU-Rechts das Recht oder die Verpflichtung hat, Daten zu nutzen und bereitzustellen. Das ist aber zirkulär, weil die Pflicht unter dem Data Act ja gerade den Dateninhaber trifft. In der deutschen Fassung kommt noch ein Übersetzungsfehler hinzu, der den Eindruck erweckt, es ginge nur um verbundene Dienstdaten („Daten […] zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat“).

Ja, es kann auch mehrere Nutzer parallel geben. 

Das kann z.B. der Fall sein, wenn ein vernetztes Produkt mehreren gemeinsam gehört. Mehrere Nutzer wird es auch in Fällen der Miete oder des Leasing geben, weil dann mindestens noch ein Eigentümer des vernetzten Produkts existiert.

Grundsätzlich hat jeder Nutzer die Ansprüche auf Bereitstellung der ohne weiteres verfügbaren Produktdaten und verbundenen Dienstdaten (s. auch Frage 9). Aus dem Text des Data Act ergibt sich nicht unmittelbar, in welchem Umfang die Mit-Nutzer diesen Anspruch geltend machen können. Denkbar ist, dass jeder alle Daten verlangen kann, oder dass jeder Nutzer nur diejenigen Daten verlangen kann, die er selbst generiert hat, z.B. indem er das vernetzte Auto selbst gefahren oder die Smartwatch selbst am Handgelenk getragen hat.

Die Erwägungsgründe enthalten Ausführungen, die man so lesen könnte, dass die Lösung darin liegt, Nutzerkonten einzurichten, um mit diesen „jedem Nutzer den Zugang zu den von diesen generierten Daten [zu] ermöglichen“. [Erwägungsgrund 21] Allerdings ist das „Generieren von Daten“ keine Tatbestandsvoraussetzung dafür, dass ein Nutzer deren Herausgabe verlangen kann. Die Eigentümerin eines vernetzten Kfz kann z.B. auch die Daten herausverlangen, die ihr Mann generiert hat, dem sie das Auto leihweise überlassen hat (vorbehaltlich der datenschutzrechtlichen Fragestellungen). Es ist auch anerkannt, dass Daten verlangt werden können, die im Ruhezustand generiert werden, z.B. während das Auto parkt. In diesem Moment „generiert“ niemand aktiv die Daten. Es ist daher u.E. überzeugender, jedem Nutzer einen umfassenden Bereitstellungsanspruch an allen Produktdaten und verbundenen Dienstdaten zu geben, auch an Daten, die ein Mit-Nutzer aktiv generiert, z.B. indem er das Auto fährt. Bei personenbezogenen Daten gilt natürlich der Vorbehalt des Art. 4 Abs. 12 DA (s. auch Frage 19). Anderenfalls käme man auch zum Ergebnis, dass der „bloße“ Eigentümer, der ein Produkt vermietet oder verleast hat und es daher im Regelfall nicht selbst nutzt, nie Ansprüche auf Herausgabe der damit generierten Daten hätte. Der Eigentümer einer verleasten Kfz-Flotte hätte daher praktisch keine Ansprüche. Der Eigentümer soll aber nach dem Data Act explizit auch in den Kreis der Nutzer einbezogen sein, ohne dass er das Produkt notwendigerweise selbst nutzen muss.

Nur der aktuelle Nutzer hat den Anspruch auf Herausgabe der Produktdaten und verbundenen Dienstdaten (s. auch Frage 8).

In praktischer Hinsicht stellt sich die Frage, wie der jeweilige Nutzer identifiziert werden kann. In der Praxis werden dazu insbesondere Nutzerkonten in Frage kommen, über die ein Nutzer seinen Account schließen kann, wenn er das Produkt weiterverkauft. Der neue Nutzer kann dann einen neuen Account eröffnen. [Erwägungsgrund 21] Der Dateninhaber darf grundsätzlich eine geeignete Nutzeridentifizierung verlangen, um die Berechtigung eines Nutzers auf Datenzugang zu überprüfen. [Erwägungsgrund 29] Allerdings dürfen dabei keine Informationen verlangt werden, die „über das erforderliche Maß hinausgehen“. [Art. 5 Abs. 4 DA]

Ja, es müssen bestimmte Voraussetzungen erfüllt werden:

  • Für die Bereitstellung sowohl für den Nutzer als auch für einen Dritten müssen die Daten wie folgt bereitgestellt werden: unverzüglich, einfach, sicher, in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format. Nur soweit dies relevant und technisch durchführbar ist, müssen die Daten kontinuierlich und in Echtzeit bereitgestellt werden. [Art. 4 Abs. 1 und 5 Abs. 1]
  • Für Dritte müssen die Daten darüber hinaus in derselben Qualität zur Verfügung gestellt werden wie für den Dateninhaber. [Art. 5 Abs. 1] Bei der Bereitstellung für den Nutzer direkt gilt dieses Erfordernis nur „falls relevant und technisch durchführbar“. [Art. 4 Abs. 1]
  • Die Bereitstellung muss für den Nutzer stets unentgeltlich geschehen, auch bei einer Bereitstellung an einen von ihm benannten Dritten. [Art. 4 Abs. 1 und 5 Abs. 1] Ist der Dritte ein Unternehmen, darf der Dateninhaber von diesem eine Gegenleistung nach FRAND-Grundsätzen verlangen (s. auch Frage 25).

Noch nicht geklärt ist, was unter „Bereitstellung“ zu verstehen ist. Denkbar ist, dass Anspruch auf eine Herausgabe einer Kopie der Daten besteht, aber auch, dass der Zugriff z.B. auf einen Server des Dateninhabers ausreichend ist, auf dem die Daten liegen und dort gelesen und ggf. ausgewertet und manipuliert werden können. Da der Data Act z.B. in Art. 11 Abs. 1 (wenn auch in einem anderen Zusammenhang) von einem Recht des Nutzers spricht, „eine Kopie der Daten zu erhalten“, erscheint uns ein bloßes Zugangsrecht ohne Erhalt einer Kopie regelmäßig nicht ausreichend zu sein.

Es kommt darauf an, wem die Daten bereitgestellt werden.

  • Dem Nutzer müssen die Daten kostenlos bereitgestellt werden. [Art. 4 Abs. 1 DA]
  • Daten, die ein Dateninhaber einem anderen als dem Nutzer zur Verfügung stellen muss, gelten die Regeln des Kapitels III, einschließlich Art. 9 DA (s. auch Frage 25). Danach darf von einem Dritten eine Gegenleistung verlangt werden, wenn dieser Dritte ein Unternehmen ist. Diese Gegenleistung darf aber nicht beliebig hoch sein. Die Bedingungen müssen immer angemessen und diskriminierungsfrei sein. [Art. 9 Abs. 1]
  • Handelt es sich beim Dritten nicht um ein Unternehmen, insbesondere also um einen Verbraucher oder um eine öffentliche Einrichtung, gilt Art. 9 DA nicht. Ob und ggf. in welcher Höhe in solchen Fällen eine Gegenleistung verlangt werden kann, ist offen. Die Erwägungsgründe sprechen davon, dass die angemessene Gegenleistung des Art. 9 DA keine Bezahlung für die Daten selbst darstelle, sondern lediglich Investitionsanreize darstellen solle. [Erwägungsgrund 46] Das könnte man so interpretieren, dass für die Daten generell keine Bezahlung gefordert werden darf, sondern nur Investitionsanreize im gesetzlich geregelten Umfang. Insoweit muss die Rechtsentwicklung abgewartet werden.

Das kommt darauf an, ob die Daten dem Nutzer oder einem Dritten bereitgestellt werden.

  • Der Nutzer darf die bereitgestellten Daten grundsätzlich für jeden legalen Zweck nutzen. Er darf sie auch an Dritte weitergeben, auch für kommerzielle Zwecke. Ausnahme: Er darf die Daten nicht zur Entwicklung eines konkurrierenden Produktes nutzen (erlaubt ist die Entwicklung eines konkurrierenden verbundenen Diensts) und die Daten auch nicht in dieser Absicht weitergeben. Auch darf der Nutzer die Daten nicht verwenden, um Einblicke in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Herstellers oder des Dateninhabers zu erlangen. [Art. 4 Abs. 10].
  • Werden die Daten einem Dritten bereitgestellt, richtet sich der Umfang des Nutzungsrechts danach, was dieser mit dem Nutzer vereinbart hat. [Art. 6 Abs. 1] 
  • Sie dürfen die Daten nur so nutzen, wie Sie es mit dem Nutzer abgesprochen haben. Wenn es sich um personenbezogene Daten handelt, haben Sie außerdem die DSGVO zu beachten. [Art. 6 Abs. 1 DA]
  • Sie haben die Daten zu löschen, wenn Sie den Zweck der vereinbarten Nutzung erfüllt haben, es sei denn, Sie haben mit dem Nutzer etwas Anderes vereinbart. [Art. 6 Abs. 1 DA]
  • Sie dürfen die Daten nicht ohne die Zustimmung des Nutzers an einen anderen Dritten weitergeben. Ist die Weitergabe erlaubt, ist sicherzustellen, dass der Empfänger in den Daten enthaltene Geschäftsgeheimnisse schützt. [Art. 6 Abs. 2 lit. c, d DA] (Siehe zum Schutz von Geschäftsgeheimnissen Frage 20)
  • Sie dürfen kein Produkt entwickeln, das mit dem des Nutzers konkurriert, und Sie dürfen die Daten auch nicht zu diesem Zweck weitergeben. [Art. 6 Abs. 2 lit. e DA]
  • Sie haben jede Nutzung der Daten zu vermeiden, die die Sicherheit des Produkts oder des Dienstes gefährden könnte. [Art. 6 Abs. 2 lit. f DA]
  • Sie dürfen vom Nutzer nicht verlangen, dass er Ihnen die Daten exklusiv zur Verfügung stellt. [Art. 6 Abs. 2 lit. h DA]

Nein. Als Dateninhaber dürfen Sie die von einem vernetzten Produkt oder einem verbundenen Dienst generierten Daten nur nutzen, wenn es dafür eine Rechtsgrundlage gibt.

  • Handelt es sich bei den Daten um personenbezogene Daten i.S.d. DSGVO? Dann dürfen Sie diese Daten nutzen, wenn und soweit dies durch die DSGVO erlaubt ist. Sie müssen die datenschutzrechtlichen Regeln einhalten.
  • Handelt es sich um nicht personenbezogene Daten? Dann dürfen Sie diese nur nutzen, wenn und soweit Ihnen der Nutzer dies vertraglich erlaubt hat [Art. 4 Abs. 13 DA]. Sie brauchen dann also unbedingt einen Vertrag mit dem Nutzer.

In jedem Fall verboten ist:

  • Die Verwendung der Daten, um daraus Einblicke in die wirtschaftliche Lage, die Vermögenswerte oder die Produktionsmethoden des Nutzers (oder eines Dritten, an den der Nutzer die Daten weitergegeben hat), zu gewinnen.
  • Die Verwendung für die Entwicklung eines Produkts, das mit dem vernetzten Produkt oder dem verbundenen Dienst, von dem die Daten stammen, im Wettbewerb steht;
  • die Weitergabe der Daten an andere Dritte, es sei denn, der Nutzer hat dies genehmigt.

Nein. Wenn es sich um personenbezogene Daten handelt, müssen datenschutzrechtliche Beschränkungen beachtet werden.

Das bedeutet, dass einem Nutzer auch auf dessen Verlangen hin personenbezogene Daten nur bereitgestellt werden dürfen, wenn dieser die „betroffene Person“ i.S.d. DSGVO ist (also es sich um seine Daten handelt). Wenn das nicht der Fall ist, darf der Dateninhaber die Daten nur dann an den Nutzer herausgeben, wenn es dafür eine Rechtsgrundlage nach der DSGVO gibt. [Art. 4 Abs. 12 DA] Die Pflicht zur Bereitstellung sowie das Recht auf Zugang zu den Daten sind keine Rechtsgrundlage im Sinne der DSGVO, so dass die Bereitstellung der Daten dann nur zulässig ist, wenn beispielsweise eine Einwilligung, eine vertragliche Notwendigkeit oder die Notwendigkeit zur Wahrung berechtigter Interessen vorliegt. [Art. 6 Abs. 1 lit. a, b, f DSGVO]

Dies verlangt den Dateninhabern eine regulatorische Gratwanderung ab. Ein zu starker Fokus auf den Datenschutz kann zu einer Verletzung der Datenbereitstellungspflicht nach dem Data Act führen, ein zu starker Fokus auf den Datenzugang kann zu einer Verletzung des Datenschutzrechts führen. Die Dateninhaber werden möglicherweise nicht darum herumkommen, die Einrichtung individueller Nutzerkonten zu verlangen – mit der Konsequenz, dass Daten, die ursprünglich nicht personenbezogen waren, zu personenbezogenen Daten werden.

Ja, auch Geschäftsgeheimnisse sind grundsätzlich offenzulegen. Zur Wahrung der Vertraulichkeit können aber technische und organisatorische Maßnahmen (TOM) verlangt werden. Geeignete Maßnahmen sind unter anderem die Verwendung von Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strengen Zugangsprotokollen sowie Verhaltenskodizes.

Nur in zwei Fällen kann die Datenherausgabe verweigert werden:

  • Wenn eine Einigung über die erforderlichen Maßnahmen nicht zustande kommt oder der Nutzer die Umsetzung dieser Maßnahmen unterlässt. Der Dateninhaber muss dann seine Entscheidung ausreichend begründen, dem Nutzer schriftlich mitteilen und auch die Aufsichtsbehörde benachrichtigen. [Art. 4 Abs. 6 und 7, Art. 5 Abs. 9 und 10 DA]
  • Wenn der Dateninhaber nachweisen kann, dass trotz Geheimhaltungsmaßnahmen mit hoher Wahrscheinlichkeit mit einem ernsthaften wirtschaftlichen Schaden zu rechnen ist. Auch diese Verweigerung muss ausreichend begründet und der Aufsichtsbehörde mitgeteilt werden. [Art. 4 Abs. 8, Art. 5 Abs. 11 DA]

Nein. Vertragsklauseln, die die Ansprüche des Nutzers einschränken, sind für diesen nicht bindend. [Art. 7 Abs. 2 DA]

Eine Ausnahme gilt nur, wenn anderenfalls gesetzliche Sicherheitsanforderungen beeinträchtigt würden und deswegen die Gesundheit oder die Sicherheit von natürlichen Personen gefährdet wäre. [Art. 4 Abs. 2 DA] Theoretisch kann hierbei an den neuen Cyber Resilience Act gedacht werden, der Sicherheitsanforderungen an vernetzte Produkte bringen wird.

Ja, es besteht eine vorvertragliche Informationspflicht. [Art. 3 Abs. 2, 3 DA]

Informiert werden muss unter anderem über

  • Die Art, das Format und den Umfang der Daten, die generiert werden
  • die Möglichkeit, kontinuierlich und in Echtzeit Daten zu erzeugen
  • die Speichermöglichkeiten
  • die Möglichkeit des Datenzugriffs seitens des Nutzers

In praktischer Hinsicht lässt sich die vorvertragliche Informationspflicht durch die Einrichtung eines Weblinks, der zu den Informationen führt, erfüllen.

Ja. Hersteller vernetzter Produkte und Anbieter verbundener Dienste müssen bereits bei der Konzeption des Produkts bzw. des Dienstes darauf achten, dass die generierten Produktdaten und verbundenen Dienstdaten standardmäßig in einem gängigen Format für den Nutzer zugänglich sind. Soweit dies „relevant und technisch durchführbar“ ist, müssen die Daten dem Nutzer auch direkt zugänglich sein, d.h. ohne Umweg über den Dateninhaber. [Art. 3 Abs. 1 DA] 

Bei Produktdaten gilt jedoch, dass es dem Hersteller überlassen bleibt, welche Art von Daten er so konzipiert, dass sie abgerufen werden können. Es gibt keine Pflicht, alle Daten, die ein vernetztes Produkt generiert, abrufbar auszugestalten. Wenn eine Kategorie von Daten aber generell abgerufen werden kann, muss diese Kategorie auch für den Nutzer in der erforderlichen Form abrufbar sein. Der Data Act führt damit einen data access by design ein. 

Die Pflicht, vernetzte Produkte und verbundene Dienste entsprechend zu gestalten, gilt erst für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden (s. auch Frage 3). [Art. 50 DA]

Pflichten eines Unternehmens bei der Datenbereitstellung an ein anderes Unternehmen

Es kommt darauf an, auf welcher Grundlage Sie Daten bereitzustellen haben. 

Der Data Act enthält in Kapitel III Regeln über die Art und Weise der Datenbereitstellung. 

Diese gelten nicht nur für die Bereitstellungspflichten unter dem Data Act (also Bereitstellungspflichten an Nutzer von IoT-Produkten und Dritte s. auch Fragen 8 ff.), sondern darüber hinaus auch für andere Bereitstellungspflichten nach anderen Gesetzen. Ob die Anforderungen des Data Act für Ihre Bereitstellungspflicht gelten, hängt von der Rechtsgrundlage ab, auf der Sie zur Bereitstellung verpflichtet sind:

  • Sind Sie als Dateninhaber verpflichtet, ohne weiteres verfügbare Daten an den Nutzer oder an einen Dritten auf der Grundlage des Data Act herauszugeben, unterfällt dieser Anspruch den Regeln des Kapitel III. [Art. 8 Abs. 1 DA]
  • Das Gleiche gilt, wenn Sie auf der Grundlage von anderem Unionsrecht zur Bereitstellung von Daten verpflichtet sind, also insbesondere aufgrund einer europäischen Verordnung. Ebenso ist es, wenn sich die Pflicht zur Bereitstellung zwar aus nationalem Recht ergibt, aber dieses auf europäischem Recht beruht, also insbesondere auf einer europäischen Richtlinie, die in nationales Recht umgesetzt wurde. [Art. 8 Abs. 1 DA]
  • Aber: Die Regeln gelten nicht für Datenbereitstellungspflichten, die heute schon existieren. Sie gelten nur für Bereitstellungspflichten aufgrund von Unionsrecht oder von im Einklang mit solchen erlassenen nationalen Rechtsvorschriften, die nach dem 12. September 2025 in Kraft treten

    Beispiel: Art. 61 Abs. 1 der Verordnung EU 2018/858 (Typgenehmigungs-VO) gewährt sog. unabhängigen Wirtschaftakteuren einen Anspruch gegenüber Kfz-Herstellern auf Zugang zu Fahrzeug-OBD-Informationen und anderen für die Wartung erforderlichen Daten. Dieser Anspruch beruht zwar auf EU-Recht, die Rechtsgrundlage ist aber bereits in Kraft. Der Bereitstellungsanspruch nach dieser Typgenehmigungs-VO unterfällt daher nicht den Bestimmungen des Kapitel III des Data Act.

Und was gilt, wenn Kapitel III des Data Act anwendbar ist? Also z.B. für Ansprüche auf Herausgabe nach dem Data Act selbst (s. auch Fragen 8 ff.).

Dann hat die Bereitstellung zu fairen, angemessenen und nichtdiskriminierenden Bedingungen in transparenter Weise zu erfolgen. [Art. 8 Abs. 1 DA] Diese so genannten FRAND-Bedingungen müssen als ein grundlegendes Prinzip verstanden werden. Der Data Act bezweckt, vertragliche Ungleichgewichte zu verhindern, die einen fairen Datenzugang und eine faire Datennutzung erschweren. [Erwägungsgrund 5 DA] 

In diesem Kontext verbietet das Gebot der Fairness, im konkreten Austauschverhältnis eine Partei unverhältnismäßig zu benachteiligen. Die Angemessenheit ermöglicht eine Interessenabwägung. Und das Merkmal nicht-diskriminierend verbietet eine Ungleichbehandlung verschiedener Nachfrager ohne sachliche Rechtfertigung. 

Ja, für die Datenbereitstellung darf eine angemessene Gegenleistung verlangt werden, die auch eine Marge enthalten darf. [Art. 9 Abs. 1 DA] Zu berücksichtigen sind insbesondere die Kosten der Bereitstellung, getätigte Investitionen zur Datengenerierung, Umfang, Format und Art der Daten.

Erfolgt die Datenbereitstellung an ein Kleinstunternehmen, ein kleines Unternehmen oder ein mittleres Unternehmen, darf die verlangte Gegenleistung die Kosten der Bereitstellung nicht überschreiten. Das heißt, es darf keine Marge verlangt werden. [Art. 9 Abs. 4 DA] 

Wie das konkrete Entgelt berechnet wurde, ist dem Datenempfänger aus Transparenzgründen offenzulegen. [Art. 9 Abs. 7 DA] Dieser muss beurteilen können, ob die geforderte Gegenleistung angemessen ist. In Zukunft sollen von der Kommission zu erlassene Leitlinien für die Berechnung einer angemessenen Gegenleistung helfen. [Art. 9 Abs. 5 DA] 

Verträge über den Datenzugang und die Datennutzung zwischen Unternehmen

Erstens ist daran zu denken, dass für manche Verträge über die Datenbereitstellung die FRAND-Grundsätze zu beachten sind (s. auch Fragen 24 und 25).

Zweitens ist für bestimmte Verträge eine Art AGB-Kontrolle vorgesehen. Verträge mit Datenbezug im B2B-Verkehr unterliegen nach dem Data Act einer Missbrauchskontrolle (s. auch Frage 27). [Art. 13 ff. DA]

Unter drei Voraussetzungen: B2B-Verkehr, Datenbezug und einseitiges Auferlegen.

  • Die Missbrauchskontrolle des Data Act im Kapitel IV gilt nur im B2B-Bereich, nicht im Verhältnis zu Verbrauchern. Sie gilt im B2B-Bereich aber für alle Unternehmen und nicht nur im Verhältnis zu Kleinst-, kleinen oder mittleren Unternehmen. Es kann aber nicht ausgeschlossen werden, dass die Wertungen der B2B-Missbrauchskontrolle unter dem Data Act auch mittelbar in die AGB-Kontrolle im Verhältnis zu Verbrauchern einfließen werden.
  • Die Klausel muss inhaltlich einen Datenbezug aufweisen. Das ist der Fall, wenn sie sich auf den Datenzugang, die Datennutzung, die Haftung oder Rechtsbehelfe bezüglich datenbezogener Pflichten bezieht.
  • Die Klausel muss einseitig auferlegt sein. „Einseitig auferlegt“ im Sinne des Data Act ist eine Klausel, wenn sie von einer Partei eingebracht wurde und die andere Partei sie trotz eines Verhandlungsversuchs nicht beeinflussen kann. [Art. 13 Abs. 6 DA] Es ist nach dem Wortlaut nicht ausreichend, dass eine Partei eine Klausel einbringt und die andere Partei sie schlicht akzeptiert. Wird dies von den Gerichten so angewendet, wird sich die Rechtslage vom deutschen Verständnis von allgemeinen Geschäftsbedingungen unterscheiden.

Ausgenommen von der Missbrauchskontrolle sind Klauseln, die den Hauptgegenstand des Vertrages oder die Angemessenheit des Preises festlegen. [Art. 13 Abs. 8 DA] Dies entspricht deutscher Praxis, die ebenfalls die essentialia negotii nicht als allgemeine Geschäftsbedingungen ansieht.

Der Data Act verfolgt einen dreistufigen Ansatz: 

  1. Normiert sind zunächst Klauseln, die stets als missbräuchlich gelten, die “Blacklist”. [Art. 13 Abs. 4 DA] Dabei handelt es sich um Klauseln ohne Wertungsmöglichkeit. 
  2. Klauseln mit Wertungsmöglichkeit enthält die “Greylist”. [Art. 13 Abs. 5 DA] Deren Missbräuchlichkeit wird vermutet, kann aber von den Unternehmen widerlegt werden. 
  3. Klauseln, die inhaltlich weder der “Blacklist” noch der “Greylist” unterfallen, können missbräuchlich nach dem allgemeinen Missbrauchsverbot sein. [Art. 13 Abs. 3 DA]

Stets missbräuchlich sind unter anderem Klauseln,

  • die die Haftung der Partei für vorsätzliche oder grob fahrlässige Handlungen ausschließen. [Art. 13 Abs. 4 lit. a DA]
  • die festlegen, dass die auferlegende Partei bestimmt, ob die gelieferten Daten vertragsgemäß sind. [Art. 13 Abs. 4 lit. c DA]

Die Missbräuchlichkeit wird beispielsweise vermutet,

  • wenn die Partei, der die Klausel einseitig auferlegt wurde, daran gehindert wird,
    • die von ihr während der Vertragslaufzeit bereitgestellten oder generierten Daten zu nutzen oder in angemessener Weise zu nutzen, zu erfassen, darauf zuzugreifen, oder sie zu kontrollieren oder zu verwerten. [Art. 13 Abs. 5 lit. c DA]
    • während der Vertragslaufzeit oder einer angemessenen Zeit nach Kündigung des Vertrags eine Kopie der von ihr bereitgestellten oder generierten Daten zu erhalten. [Art. 13 Abs. 5 lit. e DA] oder
  • wenn sich die auferlegende Partei die Möglichkeit einräumt,
    • den Vertrag mit einer unangemessen kurzen Frist zu kündigen. [Art. 13 Abs. 5 lit. f DA]
    • wesentliche Bedingungen in Bezug auf Art, Format, Qualität oder Menge der Daten ohne Begründunge abzuändern, ohne im Gegenzug der anderen Partei das Recht der Kündigung einzuräumen. [Art. 13 Abs. 5 lit. g DA]

Die allgemeine Missbräuchlichkeitsbestimmung erfordert eine grobe Abweichung von der guten Geschäftspraxis bei Datenzugang und Datennutzung oder einen Verstoß gegen das Gebot von Treu und Glauben. [Art. 13 Abs. 3 DA] Diese sehr unbestimmte Fassung ermöglicht eine mehr oder weniger restriktive Auslegung. Unklar ist insbesondere, ob die beiden Aspekte, grobe Abweichung von der guten Geschäftspraxis und Verstoß gegen Treu und Glauben, kumulativ oder alternativ vorliegen müssen. Nur die deutsche Fassung beinhaltet ein „oder“, nach der englischen Fassung sind die Elemente kumulativ erforderlich.

Das nationale AGB-Recht steht grundsätzlich neben der Missbrauchskontrolle des Data Act. Diese ist in ihrem Anwendungsbereich auf datenbezogenen Klauseln beschränkt. Enthält ein Vertrag datenbezogene Regelungen und sonstige Regelungen, ist daher eine gespaltene Inhaltskontrolle vorzunehmen. Datenbezogene Klauseln unterfallen der Missbrauchskontrolle des Data Act, sonstige Regelungen unterfallen dem nationalen AGB-Recht nach §§ 310 Abs. 1, 305 ff. BGB.  Es bleibt aber abzuwarten, ob die Wertungen der Missbrauchskontrolle des Data Act (die nur im B2B-Bereich gilt) nicht auch im Rahmen der nationalen AGB-Kontrolle gegenüber Verbrauchern hinzugezogen werden. Dies könnte z.B. bei der Einräumung von exklusiven Nutzungsrechten in B2C-Verträgen der Fall sein, die nach der neuen Missbrauchskontrolle des Data Act grundsätzlich als unwirksam angesehen werden. [Art. 13 Abs. 5 lit. c DA]

Bereitstellung von Daten an öffentliche Stellen

Ja. An nationale öffentliche Stellen und EU-Institutionen sind Daten im Falle einer nachgewiesenen außergewöhnlichen Notwendigkeit herauszugeben. [Art. 14 DA]

Eine außergewöhnliche Notwendigkeit liegt vor, wenn

  • die Daten zur Bewältigung eines öffentlichen Notstandes erforderlich sind. [Art. 15 Abs. 1 lit. a] Ein öffentlicher Notstand wird typischerweise im Falle einer Ausnahmesituation im Bereich der Gesundheit oder einer Naturkatastrophe vorliegen,
  • einer öffentlichen Stelle spezifische nicht personenbezogene Daten fehlen, um gesetzlich zugewiesene Aufgaben im öffentlichen Interesse zu erfüllen und diese nicht auf andere Weise erlangt werden können. [Art. 15 Abs. 1 lit. b]

Von der Bereitstellungspflicht erfasst sind Daten, einschließlich der für die Auslegung und Nutzung erforderlichen Metadaten, die die öffentliche Stelle zur Erfüllung ihrer Aufgaben im öffentlichen Interesse benötigt und an welche nicht auf andere Weise rechtzeitig gelangt werden kann. Ein Produktbezug der Daten ist nicht erforderlich. (Zum Begriff der Daten s. auch Frage 7)  

Eine Sonderregelung besteht für Kleinst- und Kleinunternehmen. Diese müssen Daten an öffentliche Stellen nur zur Bewältigung eines öffentlichen Notstandes herausgegeben. [Art. 15 Abs. 2 DA]

Entscheidend ist, auf welchen Grund sich das Bereitstellungsverlangen stützt.

Zur Bewältigung eines öffentlichen Notstandes hat die Bereitstellung unentgeltlich zu erfolgen [Art. 20 Abs. 1 DA]. Dies gilt aber nicht für Kleinst- und Kleinunternehmen.

Bezieht sich das Verlangen auf nicht personenbezogene Daten, die den öffentlichen Stellen bei der Erfüllung gesetzlich zugewiesener Aufgaben fehlen, steht dem Dateninhaber eine faire Gegenleistung zu. Diese umfasst die Kosten, die durch die Erfüllung des Verlangens entstehen und kann auch eine Marge enthalten. [Art. 20 Abs. 2 DA]

Wechsel zwischen Datenverarbeitungsdiensten / Interoperabilität

Die Bedingungen für den Wechsel zwischen Datenverarbeitungsdiensten sind vertraglich festzuhalten und dem Kunden bereits vor Vertragsunterzeichnung bereitzustellen. [Art. 25 Abs. 1 DA] Die Wechselbedingungen müssen eine Vielzahl von konkreten Anforderungen erfüllen, beispielsweise darf die Kündigungsfrist für die Einleitung des Wechsels nicht mehr als zwei Monate betragen. 

Die Anbieter von Datenverarbeitungsdiensten informieren ihre Kunden über mögliche Verfahren für einen Wechsel und die Übertragung der Inhalte. [Art. 26 lit. a DA] Auch stellen sie einen Verweis auf ein aktuelles Online-Register der Anbieter von Datenverarbeitungsdiensten mit Einzelheiten zu den Datenstrukturen, einschlägigen Normen und Interoperabilitätsspezifikationen bereit. [Art. 26 lit. b DA] Bei Zugang und Übermittlung von Daten im internationalen Umfeld bestehen weitere Informationsbereitstellungspflichten. [Art. 28 DA]

Die bisher bestehenden Wechselentgelte sollen schrittweise abgeschafft werden. [Art. 29 DA]

Auch die Interoperabilitäts-Anforderungen (s. auch Frage 33), die es künftig einzuhalten gilt, sollen dazu beitragen einen einfachen Datenaustausch zu ermöglichen.

In technischer Hinsicht müssen die Daten, Anwendungen und anderen digitalen Bestände ohne Hindernisse zu migrieren sein und bei einem anderen Datenverarbeitungsdienstanbieter funktional und technisch gleichwertig aufrechterhalten bleiben. Diese Vorgaben zu Datenportabilität fordern Entwickler bereits jetzt standardisierte Migrationen zu ermöglichen und die entsprechenden technischen Voraussetzungen zu schaffen.

Die Interoperabilitätsvorgaben sind relevant für:

  • Betreiber von Datenräumen („data spaces“)
  • Anbieter von Datenverarbeitungsdiensten, wie Anbieter von SaaS-Lösungen oder anderen Cloud-Anbietern
  • Anbieter von Anwendungen, in denen intelligente Verträge („smart contracts“) verwendet werden

Die Teilnehmer an sog. EU-Datenräumen müssen künftig Mindestanforderungen einhalten. [Art. 33 DA] Im Einzelnen:

  • Inhalte der Datensätze, Nutzungsbeschränkungen, Datenerhebungsmethoden, Datenqualität und etwaige Unsicherheiten müssen hinreichend beschrieben werden, damit der Datenempfänger unkompliziert die Daten finden, auf diese zugreifen und sie nutzen kann.
  • Datenstrukturen, Klassifizierungssysteme, Taxonomien und Codelisten, sind öffentlich zugänglich zu machen.
  • Technischen Mittel für den Datenzugriff (z.B. Programmierschnittstellen) müssen ausreichend beschrieben werden, um den automatischen Zugang und die automatische Übermittlung von Daten kontinuierlich zu ermöglichen.
  • Gegebenenfalls sind Mittel, um die Interoperabilität von smart contracts innerhalb ihrer Dienste zu ermöglichen, bereitzustellen.

Für Datenverarbeitungsdienste enthält der Data Act keine konkret einzuhaltenden Anforderungen. Normiert werden lediglich Vorgaben für zu entwickelnden Spezifikationen und Normen. Vorgegeben für die Interoperabilitätsspezifikationen und Normen ist unter anderem, dass sie die Übertragbarkeit digitaler Bestände zwischen Datenverarbeitungsdiensten verbessern. [Art. 35 DA]

Anbieter von Anwendungen mit intelligenten Verträgen (smart contracts) müssen künftig sicherstellen, dass diese Verträge verschiedene Anforderungen erfüllen. Zum Beispiel müssen die Verträge ausreichend robust konzipiert sein, um Funktionsfehler und Manipulationen durch Dritte zu vermeiden. Auch muss es Mechanismen geben, um eine sichere Beendigung oder Unterbrechung von Transaktionen zu gewährleisten, um unbeabsichtigte Ausführungen zu verhindern oder zurückzusetzen. [Art. 36 DA]