Datenschutzeinstellungen

Beim Besuch dieser Webseite werden personenbezogene Daten verarbeitet und Cookies auf Ihrem Endgerät gespeichert. Wir verwenden Cookies, um Ihnen ein optimales Webseiten-Erlebnis zu bieten. Dazu gehören technisch erforderliche Cookies, die zwingend für den Betrieb der Seite notwendig sind, sowie Cookies von Drittanbietern, die uns anonymisierte Daten für Analyse- und statistische Zwecke generieren oder für die Anzeige von Medien und personalisierten Inhalten genutzt werden. Sie entscheiden welche davon Sie zulassen möchten oder nicht. Bitte beachten Sie dabei, dass Ihnen auf Basis dieser Einstellungen dann eventuell nicht mehr alle Funktionalitäten unserer Webseite zur Verfügung stehen. Weitere Informationen zum Thema Cookies und Datenschutz finden Sie in unserer Datenschutzerklärung.
Hier können Sie die gewünschten Einstellungen vornehmen:

Technisch erforderliche Cookies Es werden nur die technisch erforderlichen Cookies verwendet
Statistik
Details

IMPRESSUM

JORDAN & WAGNER Rechtsanwaltsgesellschaft mbH

News-Details

Was regelt der EU-Data-Act und warum besteht für Unternehmen Handlungsbedarf?

Praxisrelevante Regelungs- und Gestaltungstipps zum neuen Data Act - Pflichten- und Risikomanagement

Der Data Act (DA) schafft europaweit verbindliche Regeln, wer wann Zugang zu Daten hat, wie sie geteilt werden müssen und welche Vertragspraxis unzulässig ist.

  1. Praktischer Regelungsinhalt und Inkrafttreten

Der DA trat am 11.01.2024 in Kraft; die Vorschriften gelten jedoch (weitestgehend) erst seit dem 12.09.2025. Der praktische Regelungsinhalt bezieht sich auf Daten aus vernetzten Produkten, IoT, B2B-, B2C-Sharing. Der DA bezweckt eine faire Wettbewerbsordnung für Cloud-/Datenmärkte.

Der Gesetzestext ist hier abrufbar: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)

  1. Anwendungsfälle

Der DA betrifft folgende Anwendungsfälle:

  • Nutzerdaten aus vernetzten Produkten (IoT): Anwender von Smart-Geräten, wie beispielsweise Maschinen, Fahrzeuge, Smart-Home, erhalten Rechte, die Daten, die durch ihre Nutzung entstehen, selbst abzurufen und an Dritte weiterzugeben (z.B. Werkstatt, Dienstleister, 3rd-party analytics). Damit sollen neue Service- und Wettbewerbsoptionen generiert werden im Sinne der Digitalen Strategie Europas.
  • B2B-Datenzugriff für Wartung und Predictive Maintenance: Hersteller bzw. Betreiber müssen Daten in besonderen Fallkonstellationen an Vertragspartner bereitstellen, etwa zur Fernwartung oder Systemoptimierung
  • Öffentliche Stellen (B2G): Behörden können in speziellen Fällen Zugang zu Daten, bspw. für Notfälle, Katastrophenschutz, kritische Infrastruktur (KRITIS) verlangen, wobei zu beachten ist, dass Prozesse und Ausgleichsmechanismen statuiert werden.
  • Daten-/Wettbewerbsrecht durch Vertragskontrolle und Verbot unfairer Klauseln: Großanbieter dürfen kleine und mittlere Unternehmen (KMU) nicht mehr vertraglich den Zugang zu Daten oder die Weitergabe unbillig erschweren. Vertragliche „Take-it-or-leave-it“-Klauseln sind verboten. In diesem Kontext sind auch Regelungen zu nennen, die mehr Cloud-Fairness bringen sollen, wie etwa rechtstechnische Aspekte für die Portierung.
  • Intermediäre / Datentreuhänder und Standard-APIs: Für Datenvermittler (Intermediaries) bestehen Pflichten für standardisierte, maschinenlesbare Formate/APIs. Ziel ist es, Portabilität und Interoperabilität zu fördern.
  1. Pflichten und Risikomatrix für Unternehmen

Der DA bringt Pflichtenkataloge mit. Diese führen zur Empfehlung, eine DA-Risikomatrix vorzunehmen:

  • Datenzugriffs-/Bereitstellungspflichten: Wer Daten „hält“, muss Anfragen prüfen und ggf. maschinenlesbar liefern (ggf. gegen angemessene Entschädigung).
  • Dokumentations- und Transparenzpflichten: Abläufe, Sicherheitsmaßnahmen, Formatangaben, Vergütungsstrukturen müssen einer Dokumentation zugeführt werden.
  • Vertragsmanagement: Rahmen-, Liefer-, Serviceverträge, AGB müssen auf die Verbote unfairer Klauseln und die neuen Zugangspflichten angepasst werden.
  • Compliance und Sanktionsrisiko: Unternehmen berücksichtigen, dass es nationale Durchsetzungsmechanismen und Bußgelder gibt.
  1. Handlungsempfehlungen für Unternehmen

Unternehmen wird dringend empfohlen, folgende Data Act-Agenda zu berücksichtigen:

  • Rechtssichere Rollen-/Pflichtzuweisung: Der Data Act definiert Rollen (Data-holder, Data-recipient, User, Intermediary). Zur Vermeidung von Pflichten- und Haftungsfallen bedarf es einer GAP-Analyse.
  • Vertrags- und IP-Risiken (Trade Secrets): Datenfreigabe kann Geschäfts- und Betriebsgeheimnisse tangieren. Daher müssen rechtstechnische Lösungen entwickelt werden, wie etwa zur Daten-Minimierung, technische Safeguards etc.
  • Technik und Prozesse: Daten müssen in strukturierten, standardisierten Formaten bereitstellbar sein. Unternehmen haben technische Anpassungen (APIs, Auth, Logging) sicherzustellen.
  • Compliance und Dokumentations-/Rechenschaftspflichten: Dokumentation, zu Prozessen, Datenschutzfolgenabschätzungen und technischen Sicherheitsmaßnahmen sind wesentliche Pflichtprogramme. Denn Behördenprüfungen und zivilrechtliche Ansprüche machen belastbare Nachweise notwendig.

Ihre Ansprechpartner bei Jordan & Wagner für Beratung und Compliance-Checks:

Peter Wagner, Dr. Thomas A. Degen, Tilo Schindele, Mathias Lang LL.M.,  Marzia Carla Iosini, LL.M.

 

Zurück