Anwendbarkeit des Data Act ab September 2025

Ab dem 21. September 2025 findet der Data Act in weiten Teilen Anwendung. Auch auf die Vorschriften, welche erst zu einem späteren Zeitpunkt anwendbar sind, sollten sich Unternehmen spätestens jetzt vorbereiten. Der Data Act enthält unter anderem Pflichten für Hersteller vernetzter Produkte, Ansprüche auf Datenzugang, Änderungen des Datenvertragsrechts sowie Anforderungen an Cloud-Verträge.

#CMSdatalaw: vom Datenschutzrecht zum Datenrecht

Adressaten des Data Act sind Unternehmen sämtlicher Branchen, die datengestützte Produkte oder verbundene Services in der EU anbieten oder dies planen. Zudem richtet sich der Data Act an die Nutzer dieser Produkte und Services in der EU. Um das große Potenzial der Datennutzung für Wirtschaft, Innovation und Gesellschaft zu heben, reguliert der Data Act als wichtige Säule der Europäischen Datenstrategie die Nutzung von und den Zugang zu durch die Nutzung von vernetzten Produkten und damit verbundenen Services erzeugten Daten. Dies kann sowohl personenbezogene als auch nicht-personenbezogene Daten betreffen. Außerdem beinhaltet der Data Act spezifische Regelungen zu Cloud-Verträgen.

Verstöße gegen den Data Act können eine Ordnungswidrigkeit darstellen und Bußgelder nach sich ziehen. Daneben gilt es, die Wechselwirkung zu den Regelungen der Europäischen Datenschutz-Grundverordnung (DSGVO) und zum Geheimnisschutz im Blick zu behalten.

Data Access by Design: die Datenzugangsansprüche des Data Act

Der Data Act ordnet den Nutzern die Hoheit über Daten zu, die bei der Nutzung von IoT-Produkten und -Services generiert wurden. Den Nutzern werden umfangreiche Rechte und Ansprüche auf den Zugang zu den Daten zugesprochen, sodass die Hersteller der Produkte und Serviceanbieter Daten nicht mehr frei nutzen können, ohne dass der Nutzer dies gestattet. Zudem bestehen Transparenz- und Informationspflichten sowie umfangreiche Ansprüche auf Verschaffung des Zugangs zu Daten – kostenfrei und in Echtzeit. Sofern der Nutzer dies verlangt, müssen Daten sogar Dritten und somit unter Umständen Wettbewerbern des Unternehmens zugänglich gemacht werden.

Neue Regelungen für Cloud-Dienste

Für Anbieter von Cloud-Diensten (SaaS, PaaS, IaaS) sieht der Data Act die Pflicht vor, die Cloud-Dienste so zu gestalten, dass ein Kunde einfach zu einem anderen Anbieter wechseln kann oder ihm eine Rückverlagerung ermöglicht wird („on premise“). Zwingende Vorgaben für die Gestaltung von Cloud-Verträgen, wie zum Beispiel zu Kündigungs- und Übergangsfristen, Unterstützungspflichten sowie Vergütungsregelungen, sollen dies absichern und den regelmäßig mit Cloud Services verbundenen Lock-in-Effekt reduzieren. Ziel der Regelungen ist außerdem die technische Harmonisierung und Standardisierung zur Herstellung von Interoperabilität, um die parallele Nutzung mehrerer Cloud-Dienste zu ermöglichen.

Neue Vorgaben zur Vertragsgestaltung

Durch den Data Act entstehen darüber hinaus zahlreiche Anforderungen an die Gestaltung datenbezogener Verträge und für den B2B-Bereich eine mit der AGB-rechtlichen Inhaltskontrolle vergleichbare Kontrolle für datenbezogene Vertragsregelungen.

Welcher Handlungsbedarf besteht in 2025?

Unternehmen sollten spätestens jetzt damit beginnen, die Auswirkungen der neuen Vorgaben auf ihre Daten- und Geschäftsstrategie zu prüfen und die erforderlichen Maßnahmen zu ergreifen. Hierbei gilt es nicht nur, das Unternehmen gegen Risiken wie Bußgelder oder den Schutz der eigenen Geschäftsgeheimnisse abzusichern und bestehende Verträge anzupassen. Nicht unbeachtlich sind auch die Chancen des Datenrechts, die insbesondere durch die neuen Datenzugangsansprüche für Unternehmen und ihre Produkte geschaffen werden.