Wie bereits im November-Newsletter angekündigt, beleuchten wir in dieser Ausgabe die wichtigsten Elemente des „Data Act“ (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Verordnung (EU) 2023/2854)). Gemeinsam mit dem Data Governance Act (Verordnung (EU) 2022/868) ist der Data Act Teil der europäischen Datenstrategie der EU-Kommission vom 19. Februar 2020. Inhalt Zielsetzung Was regelt der Data Act Verhältnis Data Act - DSGVO Herausforderungen und Risiken Conclusio und Ausblick Der Data Act ist am 11. Januar 2024 in Kraft getreten und ist seit 12. September 2025 weitgehend anwendbar, einzelne Bestimmungen unterliegen noch einer Legisvakanz; vollständig anwendbar ab dem 12. September 2027. Die Verordnung führt weitreichende Pflichten für Unternehmen ein, insbesondere im Zusammenhang mit vernetzten Produkten und datenbasierten Dienstleistungen wie Cloud-Diensten. Dies betrifft beispielsweise Daten von Autos und Smart-TVs bis hin zu Industrieanlagen. Zielsetzung Der Data Act verfolgt das Ziel, einen fairen Zugang zu Daten sicherzustellen und diesbezügliche Asymmetrien zwischen Herstellern digitaler Produkte/Dienstleistungen und Nutzern abzubauen. Zudem soll die Transparenz und Datenportabilität gefördert und Unternehmen die gemeinsame Nutzung von Daten erleichtert werden. Beabsichtigt ist ein einheitlicher Rechtsrahmen für eine innovative und wettbewerbsfähige Datenwirtschaft. Daten sind zentrale Ressource der digitalen Wirtschaft. Wer über sie verfügt, kann Geschäftsmodelle steuern und Marktpositionen stärken. Der Data Act soll hier ansetzen, um einheitliche Regeln für den Zugang, die Nutzung und die Weitergabe von Daten zu etablieren und dadurch die bisher bestehenden Macht- bzw. Informationsasymmetrien abzubauen. Was regelt der Data Act Datenzugangs- und Datenbereitstellungspflichten Kernelement des Data Act ist das Recht der Nutzer auf die Zugänglichmachung von Produktdaten und verbundenen Dienstdaten, die von einem vernetzten Produkt oder dem damit verbundenen Dienst erzeugt werden. Unter dem Begriff Nutzer sind Verbraucher und Unternehmer sowie natürliche und juristische Personen erfasst. Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die von einem Nutzer, Dateninhaber oder Dritten (ggf. inkl. Hersteller) abgerufen werden können (Art 2 Z 15 Data Act). Verbundene Dienstdaten sind solche Daten, die Nutzerhandlungen und Vorgänge im Zusammenhang mit dem vernetzten Produkt darstellen. Dies meint vom Nutzer absichtlich aufgezeichnete Daten sowie als Nebenprodukt durch den Anbieter generierte Daten (Art 2 Z 16 Data Act). Beispiel: Bei einer Smartwatch, die mittels Bluetooth oder WLAN kommuniziert, handelt es sich um ein vernetztes Produkt. Die Smartphone-App, die die zB mittels Sensoren erhobenen Produktdaten (zB Herzfrequenz) synchronisiert und ggf. in einer Cloud speichert, ist ein verbundener Dienst. Bei den innerhalb der App aufgezeichneten Nutzungs- bzw. Telemetriedaten handelt es sich wiederum um verbundene Dienstdaten. Vernetzte Produkte und verbundene Dienste müssen so ausgestaltet werden, dass dem Nutzer ein Zugang zu diesen Daten standardmäßig und einfach möglich ist (sog. „access by design“, Art 3 Abs 1 Data Act). Ist ein solcher direkter Datenzugang nicht möglich, hat der Dateninhaber dem Nutzer die Daten auf Anfrage zur Verfügung zu stellen (Art 4 Abs 1 Data Act). Der Nutzer kann auch verlangen, dass der Dateninhaber die Daten an einen Dritten weitergibt (Art 5 Abs 1 Data Act). Beispiel: Der Hersteller der Smartwatch und der Smartphone-App muss bereits in deren Konzeptionsphase einen einfachen Datenzugang einräumen (zB durch Implementierung von Schnittstellen). Möchte der Nutzer einen externen Dienst nutzen (zB KI-Auswertung von Fitnessdaten), muss der Dateninhaber diesem Diensteanbieter die Daten bereitstellen. Der Dateninhaber muss den Zugang entgeltfrei, (auf Wunsch) laufend und möglichst in Echtzeit ermöglichen. Bereits vor Abschluss eines Vertrages müssen Hersteller klar und verständlich informieren, welche Daten erhoben werden, zu welchen Zwecken sie verwendet werden, wer Zugriff darauf hat und wie der Nutzer selbst Zugang erhält. Der Hersteller benötigt zudem eine rechtliche Grundlage (Datennutzungsvertrag), um die Daten selbst auszuwerten oder weiterverwenden zu dürfen. Diese Pflicht gilt für vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden (Art 50 Data Act). Einschränkungen ergeben sich aus Wettbewerbsaspekten und dem Schutz von Geschäftsgeheimnissen. So dürfen die Nutzer die Daten nicht für die Entwicklung von Konkurrenzprodukten nutzen (Art 4 Abs 10 Data Act). Der Dateninhaber kann zudem den Zugang sowohl an Nutzer als auch Dritte verweigern, wenn die Daten Geschäftsgeheimnisse darstellen, sofern nicht gelindere Schutzmaßnahmen ergriffen werden können (Art 4 Abs 7, Art 5 Abs 9 Data Act). In besonderen Ausnahmefällen kann die Datenweitergabe verweigert werden, wenn selbst nach Umsetzung geeigneter Schutzmaßnahmen mit hoher Wahrscheinlichkeit erhebliche wirtschaftliche Nachteile zu erwarten wären (Art 5 Abs 11 Data Act). FRAND-Bedingungen (B2B) In Art 8 Abs 1 Data Act werden die sogenannten FRAND-Bedingungen (fair, reasonable and non-discriminatory) normiert. Dies normiert die Bereitstellung von Daten zwischen Unternehmern zu fairen, angemessenen und nichtdiskriminierenden Bedingungen. Entgeltlichkeit für die Bereitstellung ist damit nicht ausgeschlossen, sofern dieses angemessen und diskriminierungsfrei ist. Es darf auch eine Marge enthalten sein (Art 9 Data Act). Missbräuchliche Vertragsklauseln (B2B) Weiters enthält der Data Act in Art 13 eine „Klauselkontrolle“ zwischen Unternehmern, die vorsieht, dass Vertragsklauseln nicht missbräuchlich sein dürfen. Andernfalls sind sie nicht bindend. Erfasst sind Klauseln, die den Datenzugang, die Datennutzung, die Haftung oder Rechtsbehelfe als Regelungsgegenstand haben. Missbräuchlichen Vertragsklauseln sind insbesondere der Haftungsausschluss für vorsätzliche oder grob fahrlässige Handlungen, der Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder das einseitig auferlegte Recht Vertragsklauseln auszulegen (Art 13 Abs 4 Data Act). Die Kontrolle greift nur dann, wenn keine Verhandlungsmöglichkeit bestand und die Klausel einseitig vorgegeben wurde. Missbräuchlich sind im Sinne eines Auffangtatbestands auch Klauseln, die grob von der guten Geschäftspraxis abweichen oder gegen Treu und Glauben verstoßen (Art 13 Abs 3 Data Act). Im Bereich B2C gelten zusätzlich die verbraucherschutzrechtlichen Regelungen (Art 1 Abs 9 Data Act). Für Verträge, die nach dem 12.09.2025 abgeschlossen wurden, gelten diese Regelungen ab Vertragsabschluss (Art 50 Data Act); bei am oder vor dem 12.09.2025 abgeschlossenen Verträgen erst ab dem 12.09.2027. Mustervertragsklauseln Im Übrigen hat die Kommission gemäß Art 41 Data Act unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung veröffentlicht (https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding), um die Parteien zu unterstützen. Cloud-Wechsel und Interoperabilität Der Data Act setzt in den Kapiteln VI und VIII einen Schwerpunkt auf die Möglichkeit des Wechsels zwischen Datenverarbeitungsdiensten (zum Beispiel Cloud-Speicher) und Interoperabilität. Ziel ist es, bestehende Hürden abzubauen, die es Nutzern bislang erschweren, zwischen unterschiedlichen Cloud-Anbietern oder sonstigen digitalen Diensten zu wechseln. Ein wesentlicher Aspekt dabei ist die Interoperabilität, also die Fähigkeit, von zwei oder mehr Datenräumen, Kommunikationsnetzen oder Datenverarbeitungsdiensten Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen (Art 2 Z 40 Data Act). Durch verbindliche Vorgaben und die Förderung einheitlicher Schnittstellen soll der Transfer von Daten zwischen Plattformen vereinfacht werden, sodass Nutzer ihre Daten flexibler einsetzen können und nicht dauerhaft an einzelne Anbieter gebunden bleiben (Art 33 Data Act). Dies stärkt auch den Wettbewerb und die Innovation. Bereitstellung von Daten für öffentliche Stellen Kapitel V des Data Act regelt den Datenaustausch zwischen Unternehmen und öffentlichen Stellen. Zweck dieser Bestimmungen ist es, Behörden der Mitgliedstaaten sowie Einrichtungen der EU – darunter etwa die Europäische Kommission oder die Europäische Zentralbank – den Zugriff auf ausgewählte Daten aus dem privaten Sektor zu ermöglichen, sofern dies zur Erfüllung einer konkreten Aufgabe im öffentlichen Interesse erforderlich ist. Voraussetzung dafür ist das Vorliegen einer außergewöhnlichen Notwendigkeit, die sich auf eine nicht vorhersehbare und zeitlich begrenzte Situation bezieht. Erfasst sind sowohl klassische Notlagen (Naturkatastrophen, Pandemien, schwerwiegende Vorfälle im Bereich der Cybersicherheit) als auch besondere Fälle außerhalb akuter Krisen, etwa die Verwendung anonymisierter Standortdaten zur Verkehrssteuerung oder für statistische Zwecke. Verhältnis Data Act - DSGVO Die Verordnungen teilen zwar gemeinsame Grundprinzipien wie das Bekenntnis zur Transparenz und Fairness im Umgang mit Daten, jedoch haben sie grundlegend unterschiedliche Zwecke: Während die „DSGVO“ (Datenschutzgrundverordnung (EU) 2016/679) den Schutz personenbezogener Daten verfolgt, beabsichtigt der Data Act das Teilen und zur Verfügung stellen von personen- und nichtpersonenbezogenen Daten. Einerseits ergänzen sich die beiden Regularien daher, andererseits unterscheiden sie sich fundamental hinsichtlich ihrer jeweiligen Stoßrichtung. Insbesondere bleibt die DSGVO für alle Datenverarbeitungen unter dem Data Act voll anwendbar, sofern sich diese auf personenbezogene Daten beziehen, um das Grundrecht auf Datenschutz zu gewähren. Der Data Act hingegen erfasst sowohl personenbezogene als auch nicht-personenbezogene Daten, um das Teilen von Daten im Sinne von Innovation und Wettbewerb voranzutreiben. Bei Verstößen gegen die Kapitel II, III und V des Data Act können die Datenschutzaufsichtsbehörden gemäß Art 40 Abs 4 Data Act Geldbußen verhängen. Herausforderungen und Risiken Unternehmen müssen mitunter technische Systeme anpassen, vertragliche Regelungen überarbeiten und sicherstellen, dass etwa Geschäftsgeheimnisse ausreichend geschützt werden. Zudem ergeben sich die thematisierten Schnittstellenprobleme und Abgrenzungsfragen zur DSGVO. Für Unternehmen bedeutet dies zusammengefasst: Sie müssen prüfen, welche Daten ihre Produkte oder Dienste erzeugen, wie diese Daten bereitgestellt und gegebenenfalls weitergegeben werden können und wie Nutzer vorab informiert werden. Darüber hinaus ist sicherzustellen, dass Nutzungs- und Datenbereitstellungsverträge den Anforderungen des Data Act entsprechen und etwa Geschäftsgeheimnisse beachtet sind. Unternehmen, die Daten im Sinne des Data Act bereitstellen, müssen gleichzeitig überprüfen, ob die Vorgaben der DSGVO eingehalten werden. Dies kann insbesondere bei in der Praxis häufig vorkommenden „gemischten Daten“, die sich aus personenbezogenen und nicht-personenbezogenen Daten zusammensetzen, eine Herausforderung darstellen: Praktisch lassen sich Datensätze nur selten eindeutig als ausschließlich personenbezogen oder ausschließlich nicht-personenbezogen einordnen. Vernetzte Fahrzeuge, Smart-Home-Anwendungen oder Sensoren erzeugen typischerweise gemischte Datenbestände, die sowohl personenbezogene Informationen (etwa zum Nutzungsverhalten) als auch rein technische oder betriebliche Daten (wie Mess- oder Zustandswerte) enthalten bzw. daraus abgeleitet werden können. Dabei ist zu bedenken, dass grundsätzlich nicht-personenbezogene Daten durch die Vermischung mit personenbezogenen Daten mit der nach der DSGVO erforderlichen Compliancepflicht „infiziert“ werden. Die Bereitstellungspflicht gemäß Art 3 Data Act darf nur insoweit erfüllt werden, als die datenschutzrechtlichen Grundsätze der DSGVO gewahrt bleiben. Eine mögliche Herangehensweise zur Bewältigung dieses Spannungsverhältnisses besteht zunächst darin, die Qualifikation der jeweiligen Rollen der Nutzer, Dateninhaber bzw. Betroffener und Verantwortlicher / Auftragsverarbeiter sowohl nach der DSGVO als auch dem Data Act vorzunehmen. Davon abhängig kann anhand des Einzelfalls die Bereitstellung von gemischten Daten strukturiert werden. Conclusio und Ausblick Der Data Act verändert den Umgang mit Daten in der EU maßgeblich. Die Nutzer erhalten effektive Zugangs- und Weitergaberechte über die Produkt- und verbundenen Dienstdaten, Cloud-Wechsel werden erleichtert und B2B-Machtasymmetrien korrigiert. Bisher ist in Österreich die gesetzliche Bestimmung der zuständigen Behörde im Sinne von Art 37 Abs 1 Data Act noch ausständig. Mit Stand von Jänner 2026 wurde noch kein diesbezügliches Begleitgesetz kundgemacht. Betreffend den Schutz personenbezogener Daten im Rahmen des Data Act ist die Datenschutzbehörde zuständig. Unternehmen sollten frühzeitig handeln, um Compliance sicherzustellen und strategische Vorteile zu nutzen. Daneben gilt es auch andere IT-Vorschriften, wie zum Beispiel die (künftige) nationale Umsetzung der NIS-2 Richtlinie oder den Data Governance Act (Datenzugangsgesetz als Begleitgesetz), sowie Produkthaftungsvorschriften, zu berücksichtigen. Wir beraten und unterstützen Sie gerne bei der Analyse, Bewertung und Umsetzung der neuen rechtlichen Vorgaben in Bezug auf Ihr Unternehmen.
