Der Data Act regelt einen fairen Datenzugang und eine faire Datennutzung und soll die wirtschaftliche Verwertbarkeit von Daten innerhalb der EU verbessern. Insbesondere für Anbieter vernetzter Produkte und Dienste enthält die neue EU-Verordnung weitreichende rechtliche Anforderungen. Dass der Data Act auch nicht-personenbezogene Daten in den regulatorischen Fokus rückt, stellt ein Novum dar. Die Anforderungen des Data Act gelten schrittweise ab dem 12. September 2025.
Datenzugang für Nutzer
Vernetzte Produkte und Dienste dürfen nur noch in Verkehr gebracht werden, wenn sie dem Nutzer standardmäßig einen einfachen und kostenlosen Zugang zu Produkt- bzw. Dienstdaten ermöglichen (Access by Design). Der Data Act macht deshalb Anpassungen bei zahlreichen Produkten und Diensten aus den unterschiedlichsten Bereichen erforderlich und stellt Unternehmen angesichts der wachsenden Anzahl von IoT-Geräten bereits in der Produkt- bzw. Dienstkonzipierung vor Herausforderungen. Daten, auf die der Nutzer keinen unmittelbaren Zugriff hat, müssen in Echtzeit und maschinenlesbar zur Verfügung stehen. In der Regel wird die Bereitstellung über eine Online-Plattform oder eine App erfolgen. Neben dem Recht auf Datenzugang können Nutzer zudem verlangen, dass ihre Daten an Dritte weitergegeben werden. Für diesen Fall enthält der Data Act neben Regelungen im Verhältnis Nutzer – Dateninhaber auch strenge Vorgaben für das Verhältnis Dateninhaber – Datenempfänger. Letztere müssen ebenfalls neue Pflichten beachten.
Vertragsanpassungen erforderlich
Der Data Act macht neue Vertragsregelungen für ein Unternehmen erforderlich. Anbieter von vernetzten Produkten und Diensten müssen mit ihren Nutzern einen Datennutzungsvertrag abschließen, wenn sie Daten, bei denen es sich nicht um personenbezogene Daten handelt, nutzen wollen. Bei Abschluss eines Kauf‑, Miet- oder Leasingvertrages über ein vernetztes Produkt oder eine Dienstleistung sind daher mindestens die drei folgenden Aspekte zu beachten:
- Hauptvertrag über das Produkt, also Kauf‑, Miet- oder Leasingvertrag;
- Rechtsgrundlage für die Verarbeitung personenbezogener Daten;
- Vertrag über die Nutzung nicht-personenbezogener Daten.
Insbesondere die Frage, ob es sich bei den Daten um personenbezogene Daten handelt, erhält nun zusätzliche Relevanz. Konnte man bisher im Zweifelsfall Daten als personenbezogene Daten behandeln und für diese Daten eine Einwilligung einholen, muss nun gerade für nicht-personenbezogene Daten ein Datennutzungsvertrag abgeschlossen werden. Zur Transparenz – auch bei der Nutzung von nicht-personenbezogenen Daten – sind mit der Anwendbarkeit des Data Act zudem weitgehende Informationen über die Datennutzung vor Vertragsschluss erforderlich.
Fazit
Unternehmen sollten spätestens jetzt prüfen, ob und in welchem Umfang ihre Produkte bzw. Dienste von den neuen Anforderungen des Data Act betroffen sind. Anpassungen der eigenen Produkte bzw. Dienste können aufwändig sein und einen längeren Vorlauf benötigen. Gleiches gilt für die Überprüfung und Anpassung der bestehenden Vertrags- und Informationsdokumente sowie die Compliance in der Lieferkette. Unternehmen sollten sich daher frühzeitig vorbereiten und entsprechende Vertragswerke und Prozesse erarbeiten. Bestehende Regelwerke, wie z.B. AGB, sind zudem auf die neuen Vorgaben des Data Act zu überprüfen und das Verbot von missbräuchlichen Vertragsklauseln sowie das allgemeine Verbraucherrecht zu berücksichtigen.
Unseren Onepager zum Data Act finden Sie hier.
zurück