Mit der seit 12. September 2025 anwendbaren Verordnung (EU) 2023/2854 (Data Act) ist das Thema Datenzugang und Datennutzung endgültig in der vertraglichen Praxis angekommen. Der Data Act schafft einen unionsweit einheitlichen Rahmen für den Zugang zu und die Nutzung von Daten, stärkt Nutzerrechte bei vernetzten Produkten und verbundenen Diensten, regelt bestimmte Fälle verpflichtender Datenbereitstellung und unterwirft einseitig auferlegte Datenklauseln zwischen Unternehmen einer Missbrauchskontrolle. Sie erfasst sowohl personenbezogene als auch nicht personenbezogene Daten; bei personenbezogenen Daten bleiben DSGVO und ePrivacy unberührt. Für Unternehmen bedeutet das, dass Datenlizenzverträge, Data-Sharing-Agreements und datenbezogene Klauseln in Produkt-, Miet-, Leasing-, Wartungs-, Plattform-, SaaS- und Kooperationsverträgen jedenfalls dann überprüft werden sollten, wenn sie den Zugang zu Daten, deren Nutzung, deren Weitergabe oder deren wirtschaftliche Verwertung regeln oder faktisch voraussetzen. Der Data Act erfasst nicht jeden Vertrag mit Datenbezug, wohl aber zahlreiche Geschäftsmodelle, in denen Daten aus vernetzten Produkten oder verbundenen Diensten wirtschaftlich genutzt werden sollen. Inhaltsübersicht Warum Datenlizenzverträge jetzt Priorität haben Welche Verträge der Data Act tatsächlich erfasst Welche Klauseln künftig unverzichtbar sind In welchen Bereichen Standardklauseln in Verträgen oder AGB besonders riskant werden Fazit I. Warum Datenlizenzverträge jetzt Priorität haben Der Data Act soll die Wertschöpfung aus Daten fairer verteilen und mehr Rechtsklarheit darüber schaffen, wer welche Daten unter welchen Bedingungen nutzen darf. Im Zentrum stehen dabei insbesondere Daten aus vernetzten Produkten und verbundenen Diensten. Für die Vertragspraxis ist das deshalb relevant, weil Datenzugangs- und Nutzungsrechte nicht mehr bloß „mitgemeint“ sein sollten, sondern eigenständig und rollenspezifisch geregelt werden müssen. Besonders wichtig ist auch die Übergangslogik. Der Data Act gilt seit 12. September 2025. Die Designpflicht nach Art 3 Abs 1 Data Act gilt für vernetzte Produkte und verbundene Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden. Kapitel IV über missbräuchliche Vertragsklauseln gilt für neue Verträge bereits jetzt; für bestimmte Altverträge greift diese Missbrauchskontrolle ab 12. September 2027, insbesondere bei unbefristeten Verträgen oder Verträgen, die frühestens zehn Jahre ab dem 11. Jänner 2024 enden. Bestandsverträge sind daher keineswegs automatisch ausgenommen. II. Welche Verträge der Data Act tatsächlich erfasst Der Data Act erfasst nicht pauschal jeden Vertrag, in dem Daten irgendeine Rolle spielen. Besonders einschlägig sind vielmehr Vertragskonstellationen rund um vernetzte Produkte und verbundene Dienste, also Produkte und Dienste, bei deren Nutzung der Nutzer Daten generiert und auf diese zugreifen oder sie weitergeben können soll. Typische Beispiele sind vernetzte Fahrzeuge, Industrieanlagen, Smart-Home-Geräte, oder Portable Devices mit Gesundheitsbezug (zB Smart Watches). In sachlicher Hinsicht sind nicht nur eigenständige Datennutzungsverträge umfasst, sondern regelmäßig auch die Datenebene von Hardwareverträgen, Miet- und Leasingmodellen, Software- und Plattformverträgen, sowie Fernwartungs- und Monitoring-Verträgen. Vertraglich sollte daher sauber zwischen Nutzer (des Produktes oder Dienstes, wodurch Daten generiert werden), Dateninhaber (Produkthersteller oder Diensteanbieter) und Datenempfänger (Dritter) unterschieden werden; auf diese Rollenlogik sollte auch die Vertragsarchitektur abgestimmt sein. Die EU-Kommission hat dafür mittlerweile sogar unverbindliche Mustervertragsbedingungen veröffentlicht – nicht nur für Dateninhaber-Nutzer- und Nutzer-Datenempfänger-Konstellationen, sondern auch für die Beziehung zwischen Dateninhaber und Datenempfänger. III. Welche Klauseln künftig unverzichtbar sind 1. Präzise Beschreibung des Datenbestands und der Zugriffsmatrix Im Zuge der Ausarbeitung ist zunächst der Datenbestand präzise zu beschreiben. Erfasst sind nach den offiziellen Erläuterungen gerade nicht „alle Daten“, sondern Rohdaten und vorverarbeitete Daten, die dem Dateninhaber ohne Weiteres verfügbar sind, einschließlich relevanter Metadaten. Dagegen fallen abgeleitete oder stark angereicherte Daten sowie Inhalte nicht ohne Weiteres darunter. Datenlizenzverträge sollten folglich Datenkategorien (Produktdaten, verbundenen Dienstdaten, Metadaten und „ohne Weiteres verfügbare Daten“), Quellen, Formate, Zugriffswege und Aktualisierungslogik ausdrücklich benennen; auf pauschale Sammelbegriffe (zB „alle im System entstehende Daten“) sollte verzichtet werden. Ebenso wichtig ist die technische Zugriffsmöglichkeit. Art 3 Abs 1 Data Act verlangt, dass vernetzte Produkte und verbundene Dienste so gestaltet sind, dass Produktdaten und verbundene Dienstdaten dem Nutzer standardmäßig einfach, sicher, unentgeltlich und in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format zugänglich sind; mit Art 4 Abs 1 Data Act wird der Dateninhaber verpflichtet, dem Nutzer ohne Weiteres verfügbare Daten andernfalls unverzüglich, einfach, sicher, unentgeltlich und gegebenenfalls kontinuierlich sowie in Echtzeit zugänglich zu machen. Verträge sollten daher nicht nur ein Zugangsrecht „dem Grunde nach“ vorsehen, sondern auch begleitende Informationen wie etwa das Exportformat oder eine Dokumentation einer allenfalls bestehenden API (Application Programming Interface [Schnittstelle]). 2. Klare Regeln zur Eigennutzung, Weitergabe und Exklusivität Eine der wichtigsten Neuerungen des Data Act ist, dass er nicht nur Zugangsrechte des Nutzers stärkt, sondern auch die Eigennutzung des Dateninhabers und die Weitergabe an Dritte beschränkt. Nach Art 4 Abs 13 Data Act darf der Dateninhaber ohne Weiteres verfügbare nicht-personenbezogene Daten nur auf Grundlage eines Vertrags mit dem Nutzer verwenden; außerdem darf er daraus keine Einblicke ableiten, die die gewerbliche Position des Nutzers untergraben könnten. Nach Art 4 Abs 14 Data Act dürfen zudem nicht-personenbezogene Produktdaten Dritten grundsätzlich nicht zu anderen kommerziellen oder nichtkommerziellen Zwecken als zur Erfüllung des Vertrags mit dem Nutzer bereitgestellt werden. Solche Grenzen müssen vertraglich sauber, insbesondere durch Definition eines Vertragszwecks, definiert werden. Zugleich hat der Nutzer nach Art 5 Abs 1 Data Act das Recht, die Weitergabe ohne Weiteres verfügbarer Daten an Dritte zu verlangen. Diese Weitergabe erfolgt zwar „für den Nutzer unentgeltlich“, aber sie ist anhand der Rahmenbedingungen gemäß Art 8 und 9 Data Act auszugestalten. So darf nach Art 8 Abs 4 Data Act der Dateninhaber einem Datenempfänger Daten – auch exklusiv – nur dann bereitstellen, wenn der Nutzer dies nach Kapitel II verlangt hat. Damit ist die Einräumung von Exklusivität durch ein Unternehmen zugunsten eines Partners deutlich riskanter geworden bzw. abhängig vom Nutzer geworden. Für Dritte, die Daten auf Verlangen des Nutzers erhalten, setzt Art 6 Data Act zusätzliche materielle Grenzen: Solche Dritte dürfen die Daten insbesondere nur zu den mit dem Nutzer vereinbarten Zwecken verarbeiten und müssen sie nach Zweckerreichung grundsätzlich löschen (Abs 1 leg cit), nicht für unzulässiges Profiling oder zur Entwicklung konkurrierender Produkte nutzen (Abs 2 lit b leg cit), und nicht ohne weiteres an andere Dritte weitergeben, sondern müssen insbesondere sicherstellen, dass auch diese weiteren Dritten besondere Vorgaben einhalten (Abs 2 lit c leg cit), nicht an einen als Torwächter (marktbeherrschende digitale Plattform, „Gatekeeper“) benannten Anbieter im Sinne des Digital Market Acts (DMA) – also an große digitale Plattformen, die Kernplattformdienste anbieten, wie zB Online-Suchmaschinen, App-Stores und Messenger-Dienste – weitergeben (Abs 2 lit d leg cit). Diese Vorgaben sollten in Datenlizenzverträgen insbesondere durch die (gegebenenfalls nur exemplarische) Beschreibung von Use-Cases oder Zweckbindungen umgesetzt werden. 3. FRAND-Logik und Gegenleistung In der Praxis besonders konfliktträchtig sind Preis- und Gegenleistungsklauseln. Art 8 Abs 1 Data Act verlangt, dass Dateninhaber allfälligen Datenempfängern Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen (Fair, Reasonable, and Non-Discriminatory bzw FRAND) und in transparenter Weise bereitstellen, sofern eine solche Bereitstellungspflicht besteht. Mit Art 8 Abs 3 Data Act wird dabei eine Diskriminierung zwischen vergleichbaren Kategorien von Datenempfängern, einschließlich Partnerunternehmen oder verbundenen Unternehmen, untersagt. Preisgestaltung und Zugangsmodalitäten müssen daher sachlich begründbar und konsistent sein. Die Gegenleistung muss diskriminierungsfrei und angemessen sein und darf ausdrücklich eine Marge enthalten (Art 9 Abs 1 Data Act), sodass keine Kostenneutralität gefordert wird. Gleichzeitig werden in Abs 2 bis 4 leg cit Grenzen gesetzt: Zu berücksichtigen sind bei der Einigung insbesondere die Kosten der Formatierung, elektronischen Verbreitung und Speicherung sowie gegebenenfalls Investitionen in die Erhebung und Generierung der Daten. Bei KMU oder gemeinnützigen Forschungseinrichtungen ohne größere Konzernanbindung darf die Gegenleistung diese Bereitstellungskosten grundsätzlich nicht überschreiten. Art 9 Abs 7 Data Act verlangt außerdem, dass die Grundlage der Berechnung so detailliert offengelegt wird, dass der Datenempfänger die Einhaltung dieser Anforderungen prüfen kann. Die Bereitstellung einer „pauschalen Preisliste“ wird diesem Kriterium folglich nicht gerecht. 4. Datenschutz und Geschäftsgeheimnisse als Pflichtbausteine Durch den Data Act werden Datenbestände nicht „schrankenlos geöffnet“. Er versteht sich als Ergänzung, nicht jedoch als Ersatz des Datenschutzrechts. Bereits im Data Act selbst wird klargestellt, dass eine Bereitstellung personenbezogener Daten an Nutzer oder Dritte nur bei Vorliegen einer gültigen Rechtsgrundlage nach der DSGVO und gegebenenfalls unter Wahrung weiterer Voraussetzungen, insbesondere nach der ePrivacy-Richtlinie, erfolgen darf (Art 4 Abs 12; Art 5 Abs 7 Data Act). Innerhalb von Datenlizenzverträgen sollten daher auch die nach der DSGVO geforderten Themen geregelt werden. Ebenso zentral ist der Schutz von Geschäftsgeheimnissen. Nach Art 5 Abs 9 bis 11 Data Act sind Geschäftsgeheimnisse zu wahren und Dritten nur insoweit offenzulegen, als dies für den vereinbarten Zweck unbedingt erforderlich ist. Dateninhaber und Inhaber der Geschäftsgeheimnisse müssen die geschützten Daten identifizieren und angemessene technische und organisatorische Maßnahmen vereinbaren; kommt es darüber zu keiner Einigung oder werden die Maßnahmen nicht eingehalten, darf die Weitergabe verweigert oder ausgesetzt werden. In außergewöhnlichen Fällen kann ein Datenzugangsverlangen sogar abgelehnt werden, wenn trotz Schutzmaßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden aus der Offenlegung droht. IV. In welchen Bereichen Standardklauseln in Verträgen oder AGB besonders riskant werden Die folgenreichste Bestimmung für B2B-Verträge findet sich in Art 13 Data Act (Missbrauchskontrolle). Danach sind einseitig auferlegte Vertragsklauseln über Datenzugang, Datennutzung oder Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten für das andere Unternehmen nicht bindend, wenn sie missbräuchlich sind. Missbräuchlich sind Klauseln insbesondere dann, wenn sie grob von guter Geschäftspraxis bei Datenzugang und Datennutzung abweichen oder gegen Treu und Glauben verstoßen (Art 13 Abs 3 Data Act). Dies wird in den Abs 4 und 5 leg cit näher präzisiert. So sind zunächst jene Klauseln missbräuchlich, die die Haftung der auferlegenden Partei für Vorsatz oder grobe Fahrlässigkeit ausschließen (Abs 4 lit a leg cit), Rechtsbehelfe der anderen Partei beseitigen (Abs 4 lit b leg cit); oder ein ausschließliche Recht zugunsten der die Klausel auferlegenden Partei einräumen, selbst über die Vertragskonformität der Daten zu entscheiden, oder die Vertragsklauseln auszulegen (Abs 4 lit c leg cit). Missbräuchlich sind zudem insbesondere Klauseln, die eine unangemessene Beschränkung einer Partei auf Rechtsmittel vorsehen (Abs 5 lit a leg cit) oder die Hinderung einer Partei auf Kündigung binnen angemessener Frist im Falle der Auferlegung einer solchen nachteiligen Klausel (Abs 5 lit d leg cit). Eine Klausel gilt als einseitig auferlegt, wenn sie von einer Partei eingebracht wird und die andere Partei ihren Inhalt trotz Verhandlungsversuchs nicht beeinflussen kann; die Beweislast dafür, dass eine Klausel nicht einseitig auferlegt wurde, trägt jene Partei, die sie eingebracht hat (Art 13 Abs 6 Data Act). Wer sich also auf „ausverhandelte“ Datenklauseln berufen will, sollte dies im Zweifel sohin auch dokumentieren können. Zu beachten ist allerdings auch Art 13 Abs 8 Data Act: Die Regelungen zu missbräuchlichen Vertragsklauseln gelten nicht für den Hauptgegenstand des Vertrags und nicht für die Angemessenheit des Preises als Gegenleistung für die weitergegebenen Daten. Auch gilt die Missbrauchskontrolle ausschließlich im B2B-Bereich, im B2C-Bereich ist auf die nationalstaatliche Klauselkontrolle abzustellen. V. Fazit Datenlizenzverträge sind mit dem Data Act aus dem Nischendasein hervorgetreten. Sie bilden die rechtliche Grundlage datengetriebener Geschäftsmodelle. Unternehmen sollten ihre Verträge daher jedenfalls darauf prüfen, ob der Datenbestand präzise beschrieben ist, ob Zugriffs- und Weitergaberechte technisch und rechtlich sauber modelliert sind, ob Preis- und Gegenleistungsklauseln der FRAND-Logik der Art 8 und 9 Data Act entsprechen und ob Standardklauseln der Missbrauchskontrolle des Art 13 Data Act standhalten. Zudem sind die Bereiche des Datenschutzes für personenbezogene Daten und Geschäftsgeheimnisschutz mit zu berücksichtigen. Der Data Act ist daher nicht nur ein neues Zugangsrecht für Daten aus dem „Internet of Things“ (IOT)-Bereich. Vielmehr müssen datenbezogene Geschäftsmodelle, und damit einhergehend auch die Wertzumessungen der Daten neu geordnet werden. Die Herausforderung liegt damit in der damit einhergehenden Verlagerung von „Datenbesitz“ hin zu präzisen, transparenten und belastbaren Regelungen über Zugang, Nutzung, Schutz und Gegenleistung mit dem Ziel der Schaffung rechtssicherer, wirtschaftlich und vertraglich robuster Modelle.
