Was ist die Datenverordnung und wen trifft sie?
Die ab dem 12. September 2025 geltende „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“, kurz die „Datenverordnung oder Data Act“ ist eine europäische Verordnung i.S.d. Art. 288 AEUV. In diesem Sinne hat sie allgemeine Geltung, ist in allen Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat. Anders als in der Praxis gerne angenommen, betrifft die Datenverordnung nicht nur Hersteller vernetzter Produkte oder Anbieter verbundener Dienste. Vielmehr adressiert die neue Verordnung eine Vielzahl von Akteuren entlang der gesamten Datenwertschöpfungskette. Je nach Adressaten gelten unterschiedliche Pflichten.
Was sind die Ziele der Datenverordnung?
Die Datenverordnung soll den fairen Zugang zu und die faire Nutzung von Daten gewährleisten und gleichzeitig deren wirtschaftliche Verwertbarkeit verbessern. Kurz gesagt: Wer die Risiken eines vernetzten Produkts oder verbundenen Dienstes trägt, soll auch an den daraus generierten Daten profitieren dürfen. Der Regelungsansatz ist entsprechend weit gefasst. Dies gilt nicht nur hinsichtlich der betroffenen Daten (personenbezogen und nicht-personenbezogen), sondern auch bezüglich der Adressaten der Datenverordnung. Ferner wird sichergestellt, dass Dateninhaber den Datenempfängern in der Union Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen und auf transparente Weise bereitstellen. Daher werden zusätzlich die vertragsrechtlichen Vorschriften angepasst, um die Ausnutzung vertraglicher Ungleichgewichte verhindert, die einen fairen Datenzugang und eine faire Datennutzung erschweren.
Wer ist von der Datenverordnung betroffen?
Die Datenverordnung gilt gemäß Art. 1 Abs. 3 für
a) Hersteller vernetzter Produkte
b) Nutzer von vernetzten Produkten oder verbundenen Diensten
c) Dateninhaber, die Datenempfängern in der Union Daten bereitstellen
d) Datenempfänger in der Union, denen Daten bereitgestellt werden
e) Anbieter von Datenverarbeitungsdiensten
f) Teilnehmer an gemeinsamen europäischen Datenräumen
g) Anbieter Anwendungen, die sog. intelligenten Verträge verwenden
Wo findet die Datenverordnung Anwendung?
Die Datenverordnung folgt in ihrer Systematik dem aus der DSGVO bekannten Marktortprinzip. So sind beispielsweise gemäß Art. 1 Abs. 3 lit. a Datenverordnung nur solche Hersteller vernetzter Produkte erfasst, die unabhängig von ihrer Niederlassung in der Union in Verkehr gebracht werden. Die in Art. 4 Datenverordnung erfassten Dateninhaber werden gemäß Art. 1 Abs. 3 lit. c Datenverordnung dann erfasst, wenn diese, unabhängig vom Ort ihrer Niederlassung, den Datenempfängern in der Union Daten bereitstellen.
Welche Adressaten kennt die Datenverordnung und welchen Pflichten unterliegen diese?
Hersteller vernetzter Produkte & Anbieter verbundener Dienste: Für diese Adressaten gilt insbesondere die Konzipierungs- und Herstellungspflicht zur „Data Accessability by Design“.
Verkäufer/Vermieter/Leasinggeber: Es gelten vorvertragliche Informationspflichten.
Dateninhaber: Für Dateninhaber gelten zahlreiche neue Pflichten, wie z.B. die Gewährleistung von Datenzugang und -weitergabe, Vorgaben zur Vertragsgestaltung, Informationspflichten & Datenbereitstellung gegenüber öffentlichen Stellen.
Datenempfänger: Datenempfänger unterliegen selbst Vorgaben zur Datennutzung. U.a. dürfen die Daten nicht zur Produktentwicklung verwendet werden und grundsätzlich auch keinem Dritten bereitgestellt werden.
Nutzer: Nutzer von Produkten/Diensten dürfen die bereitgestellten Daten u.a. nicht zur Produktentwicklung verwenden oder die Daten an Dritte weitergeben. Auch sind die Schutzmaßnahmen des Dateninhabers zu akzeptieren.
Anbieter von Datenverarbeitungsdiensten: Umfassende Pflichten zur Erleichterung eines Anbieterwechsels.
Teilnehmer an Datenräumen und Anbieter von Smart Contracts: Interoperabilitätsvorgaben.
Öffentliche Stellen: Anforderungen an Datenbereitstellungsverlangen & zur Datennutzung
Achtung: Ein Unternehmen kann mehrere Rollen einnehmen und damit mehreren Pflichten unterfallen.
Welche Fristen gelten?
Die Datenverordnung gilt ab dem 12. September 2025, wobei einige Pflichten erst nach Ablauf einer Übergangszeit wirksam werden. So gilt die in Art. 3 Abs. 1 Datenverordnung geregelte Pflicht zur Zugänglichmachung von Daten vernetzter Produkte und verbundener Dienste erst, wenn diese nach dem 12. September 2026 in Verkehr gebracht wurden. Unberührt davon gilt die Datenbereitstellungspflicht nach Art. 5 Abs. 1 Datenverordnung bezüglich derselben Daten bereits ab dem 12. September 2025. Kapitel IV, welcher die Verwendung missbräuchlicher Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen reguliert, gilt außerdem erst ab dem 12. September 2027 für Verträge, die am oder vor dem 12. September 2025 geschlossen wurden, sofern sie unbefristet sind oder ihre Geltungsdauer frühestens zehn Jahre nach dem 11. Januar 2024 endet.
Inwiefern können Unternehmen bestehende Data-Governance-Prozesse für die Pflichten der Datenverordnung umfunktionieren?
Viele Unternehmen haben bereits Prozesse zur Steuerung von Datenströmen, Verantwortlichkeiten und Zugriffsrechten etabliert. Diese lassen sich gezielt anpassen, um die Pflichten aus der Datenverordnung zu erfüllen. Prozesse, die bislang für Auftragsverarbeitungsverträge oder Geheimhaltungsvereinbarungen eingesetzt werden, lassen sich auf Datennutzungsverträge übertragen und um Kriterien wie Fairness, Transparenz sowie angemessene Bedingungen ergänzen.
Sieht die Datenverordnung auch Ausnahmen vor?
Die Datenverordnung statuiert einige wichtige Ausnahmen vom Pflichtenkatalog der Datenverordnung:
Abgeleitete Daten (derivative Daten) von den Pflichten der Datenverordnung ausgenommen. Darunter fallen Informationen, die nicht unmittelbar aus der Nutzung des Produkts oder Dienstes entstehen, sondern das Ergebnis zusätzlicher Investitionen in die Verarbeitung, Zuweisung von Werten oder Erkenntnissen sind. Dateninhaber sind daher nicht verpflichtet, solche Daten einem Nutzer oder Dritten bereitzustellen, es sei denn, dies wurde vertraglich vereinbart. Typische Beispiele sind Ergebnisse der Sensorfusion, bei der Daten mehrerer Sensoren kombiniert, gefolgert oder abgeleitet werden, oftmals unter Einsatz geschützter Algorithmen, die zudem dem geistigen Eigentum unterliegen können.
Prototypen unterfallen gemäß Erwägungsgrund 14 Datenverordnung nicht dem Anwendungsbereich der Datenverordnung
Im Einzelfall können gemäß Erwägungsgrund 31 Datenverordnung Dateninhaber Datenzugangsverlangen ablehnen, wenn gegenüber dem Nutzer oder dem Dritten nachgewiesen werden kann, dass durch die Offenlegung dieses Geschäftsgeheimnisses trotz vorgenommener technischer und organisatorischer Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden entsteht.
Gem. Art. 1 Abs. 2 lit.a Datenverordnung gilt Kapitel II nicht für Inhalte, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen. Inhalte beschreiben die semantische Ebene der Daten, also die Bedeutung und Aussagekraft, die sich aus der jeweiligen Datenkategorie ableitet. Während „Daten“ zunächst neutral auf das Vorliegen von Zeichen, Zahlen oder Formaten verweist, erfasst der „Inhalt“ deren Informationswert. Beispiel: Ein Temperaturwert von „23,4 °C“ ist ein Datum; dass es sich dabei um die gemessene Innenraumtemperatur eines Fahrzeugs handelt, stellt den Inhalt dar.
Wer ist Dateninhaber im Sinne der Datenverordnung?
Gemäß Art. 2 Nr. 13 Datenverordnung ist ein Dateninhaber einer eine natürliche oder juristische Person, die nach der Datenverordnung, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.
Der Begriff des Dateninhabers ist schwammig formuliert und verweist für einzelne Voraussetzungen auf die Pflichten der Datenverordnung, was zu einem Zirkelschluss und damit zu offenen Fragen führt. Solange keine weitere Präzisierung des Begriffs vorliegt, sollte in der Praxis zumindest jede Person als Dateninhaber angesehen werden, die (berechtigterweise) die (faktische) Kontrolle über Daten innehat, die während der Nutzung des Produkts/Dienstes abgerufen oder generiert werden. Dies kann der Produkthersteller oder Diensteanbieter sein – muss aber nicht.
Welche Pflichten treffen den Dateninhaber?
Zu den neuen Pflichten des Dateninhabers zählen insbesondere die Ermöglichung des Datenzugangs und der Datenweitergabe:
Datenzugang für die Nutzer: Auf Verlangen muss der Dateninhaber dem Nutzer „ohne Weiteres verfügbare“ Produkt- und verbundene Dienstdaten inklusive Metadaten bereitstellen.
Datenweitergabe an Dritte: Neben dem Datenzugang hat der Dateninhaber auf Verlangen des Nutzers die gleichen Daten einem benannten Dritten (Datenempfänger) zur Verfügung zu stellen. Die Datenweitergabe erfolgt auf Grundlage eines Vertrages, an den strenge Anforderungen gestellt werden. Zudem gelten spezifische Vorgaben für die Weitergabe von Geschäftsgeheimnissen und eine Marge für den Dritten. Eine Verweigerung ist nur in Ausnahmefällen möglich. Der Datenempfänger hat eigene Pflichten zu beachten.
Wer ist Nutzer im Sinne der Datenverordnung?
Gemäß Art. 2 Nr. 12 Datenverordnung ist ein Nutzer eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt.
Der Nutzer trägt die Risiken und genießt die Vorteile aus der Nutzung des Produkts und soll deshalb Zugang zu den durch seine Nutzung generierten Produkt- und verbundene Dienstdaten einschließlich notwendiger Metadaten haben und daraus Nutzen ziehen können. Eigentümer, Mieter und Leasingnehmer sind jeweils Nutzer, auch wenn mehrere Rechtsträger gleichzeitig Nutzer desselben Produkts sind. In Mehrparteien-Konstellationen (z. B. Flottenmanagement eines Leasinggebers vs. Mobilitätsnutzung durch Car-Sharing-Kunden) können unterschiedliche Beiträge zur Datengenerierung und unterschiedliche Nutzungsinteressen nebeneinanderstehen. Praktisch empfiehlt sich daher eine klare vertragliche Rollen- und Zweckzuordnung sowie eine technische Segmentierung/Rollenverwaltung, um den jeweils berechtigten Zugriff zu ermöglichen und zugleich die Rechte betroffener Personen zu wahren.
Was ist ein vernetztes Produkt oder ein verbundener Dienst?
Erfasst sind Produktdaten vernetzter Produkte, sowie die verbundenen Dienstdaten verbundener Dienste.
Ein vernetztes Produkt ist gem. Art. 2 Nr. 5 Datenverordnung ein Gegenstand, das Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und das Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
Ein verbundener Dienst ist gem. Art. 2 Nr. 6 Datenverordnung ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
Erfasst sind sämtliche durch Nutzung entstehenden Produkt- und Dienstdaten einschließlich erforderlicher Metadaten – unabhängig davon, ob es sich um personenbezogene oder nicht-personenbezogene Daten handelt. Virtuelle Assistenten fallen insoweit mit hinein, wie sie mit dem Produkt/Dienst interagieren. Nicht erfasst sind reine Inhaltsdaten. In der Praxis bedeutet das: Telemetrie, Fehlerspeicher, Nutzungsprotokolle, Zustands- und Umgebungssignale sowie dazugehörige Parametrisierungen sind grundsätzlich im Fokus der Zugangs- und Weitergaberegeln.
Wie ist das Wechselspiel zum Geschäftsgeheimnisschutz ausgestaltet?
Auch wenn die Datenverordnung den Zugang zu Daten sicherstellen soll, sind Geschäftsgeheimnisse nicht schutzlos. Es ist vorgesehen, dass vor einer Offenlegung Vereinbarungen über angemessene technische und organisatorische Maßnahmen abgeschlossen werden. Eine Ablehnung der Offenlegung ist nur in Ausnahmefällen zulässig, etwa bei hoher Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens. Auch darf eine Übermittlung unterbleiben, wenn keine Einigung zwischen Nutzer oder Drittem und Geheimnisinhaber erfolgt, die vereinbarten Maßnahmen nicht umgesetzt werden oder es zu einer Verletzung von Geschäftsgeheimnissen kommt.
Wie sind Geschäftsgeheimnisse in der Praxis zu schützen?
In der Praxis sind NDAs das Mittel der Wahl, um Geschäftsgeheimnisse zu schützen. Ihre Wirksamkeit hängt jedoch maßgeblich von ihrer Ausgestaltung ab. Zusätzlich sind entsprechende Monitoring-Prozesse erforderlich, denn auch mit abgeschlossenen Vertraulichkeitsvereinbarungen lassen sich Verstöße nur schwer kontrollieren – insbesondere bei einer großen Nutzerzahl.
Wie ist das Spannungsverhältnis zur DSGVO ausgestaltet?
Die Datenverordnung gilt unbeschadet der DSGVO und schafft keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für jede Verarbeitung bleibt daher Art. 6 DSGVO maßgeblich. Ist der Nutzer zugleich betroffene Person (z. B. Privatkunde), kann sein Datenbereitstellungsverlangen im Einzelfall als (konkludente) Einwilligung dienen – aber nur, wenn die DSGVO-Anforderungen (informiert, freiwillig, spezifisch, widerruflich, dokumentiert) eingehalten sind. Ist der Nutzer nicht betroffene Person (z. B. Flottenbetreiber, Vermieter), agiert er als Verantwortlicher und benötigt eine eigene Rechtsgrundlage (regelmäßig berechtigtes Interesse oder Vertragserfüllung) und muss die weiteren Vorgaben der DSGVO beachten.
Bei Mischdatensätzen genügt ein personenbezogenes Datum, damit der gesamte Datensatz der DSGVO unterfällt (ErwG 34). Praktisch heißt das: personenbezogene und nicht-personenbezogene Ströme möglichst früh trennen, technisch filtern, pseudonymisieren/anonymisieren (mit Re-Identifikationsrisiko-Prüfung) und nur tatsächlich erforderliche Daten teilen. Die ePrivacy-Regeln zum Endgerätezugriff bleiben zusätzlich zu beachten.
Wie sind Datennutzungsvertäge nach der Datenverordnung zu konzipieren?
In der Vertragsgestaltung eröffnet die Datenverordnung einerseits Spielräume (keine Zweckbindungspflicht und kein Kopplungsverbot nach der Verordnung selbst), andererseits gelten für personenbezogene Daten weiterhin DSGVO-Zweckbindung, Transparenz und Rechtsgrundlage.
Empfehlenswert sind daher „Dual-Layer“-Vereinbarungen: eine Datennutzungsvereinbarung (Zugangs-, Format-, Service- und Geheimnisschutzregeln) plus ein DSGVO-Teil (Zwecke, Rechtsgrundlage, Empfänger, Speicherfristen, TOMs, Betroffenenrechte).
Organisatorisch sollten Hersteller/Anbieter Prozesse für Nutzer-Zugänge (Art. 3–5 DA) mit DSGVO-Prozessen verzahnen. Bei Mischdatensätzen genügt ein personenbezogenes Datum, damit der gesamte Datensatz der DSGVO unterfällt (ErwG 34).
Praktisch heißt das: personenbezogene und nicht-personenbezogene Ströme möglichst früh trennen, technisch filtern, pseudonymisieren/anonymisieren (mit Re-Identifikationsrisiko-Prüfung) und nur tatsächlich erforderliche Daten teilen.
Welche Pflichten treffen Dritte, die Daten auf Verlangen des Nutzers erhalten?
Dritte dürfen die Daten ausschließlich zu den mit dem Nutzer vereinbarten Zwecken verarbeiten; eine Weitergabe an weitere Dritte setzt die ausdrückliche Einwilligung des Nutzers voraus. Daten sind zu löschen, wenn sie für den Zweck nicht mehr erforderlich sind. Profiling ist untersagt, es sei denn, es ist unbedingt zur Diensterbringung erforderlich. Verboten ist die Nutzung zur Entwicklung eines konkurrierenden vernetzten Produkts. Dark Patterns in Nutzerinterfaces, die Entscheidungen über Datenoffenlegung manipulieren, sind unzulässig.
Wann dürfen Behörden Daten verlangen?
Die Datenverordnung erlaubt Behörden nur in eng begrenzten Ausnahmefällen den Zugriff auf Unternehmensdaten: Dies ist nur bei außergewöhnlicher Notwendigkeit der Fall, beispielsweise bei öffentlichem Notstand oder klar gesetzlich definierten Aufgaben im öffentlichen Interesse, sofern die Daten nicht rechtzeitig auf anderem Wege beschafft werden können. Ein Datenverlangen muss spezifisch, transparent, zweckgebunden und verhältnismäßig sein. Es muss darlegen, dass gleichwertige Daten nicht rechtzeitig auf anderem Wege verfügbar sind.
Wer setzt die Datenverordnung durch und welche Rechtsbehelfe/Sanktionen bestehen?
Die Mitgliedstaaten benennen zuständige Behörden und einen Datenkoordinator. Diese kooperieren grenzüberschreitend miteinander. Betroffene haben ein Beschwerderecht und Zugang zu wirksamem gerichtlichem Rechtsschutz. Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Einstweilige Maßnahmen sind möglich. Der Europäische Dateninnovationsrat (EDIB) unterstützt die Koordinierung, die Sanktionskonvergenz und die Normungsfragen. Die Kommission kann Mustervertrags- bzw. Standardklauseln veröffentlichen. Unternehmen sollten interne Beschwerde- und Behördenprozesse, Litigation-Hold- und Audit-Trails sowie Compliance-Schulungen zu Zugangs- und Weitergabeverlangen implementieren.
Was sollten Unternehmen jetzt tun?
Angesichts der vielfältigen und komplexen Anforderungen sollten Unternehmen zunächst prüfen, ob sie vom Anwendungsbereich der Datenverordnung betroffen sind, und anschließend klären, welche Rolle sie in der Wertschöpfungskette einnehmen. Falls die Datenverordnung anwendbar ist, ist eine Bestandsaufnahme der bei der Nutzung generierten, erhobenen oder empfangenen Daten erforderlich. In einer Gap-Analyse ist anschließend zu prüfen, welche Anforderungen bereits erfüllt sind und welche noch umgesetzt werden müssen. Besonderes Augenmerk sollte auf eine umfangreiche Vertragsprüfung gelegt werden, um die unternehmerischen Interessen im Rechtsverkehr bestmöglich zu vertreten.