Sie bieten ein Produkt an, das bei Nutzung Daten sammelt – oder Sie betreiben einen Datenverarbeitungsdienst, wie z.B. eine Cloud für Ihre Kunden? Dann sollten Sie das Datum 12.09.2025 kennen!
Ab dem 12. September 2025 wird der Data Act EU-weit wirksam und regelt mehrere große Themen, die für einige Änderungen sorgen.
(Update vom 13.09.2024: FAQ der EU-Kommission zum Data Act)
Wen betrifft der Data Act?
Der Data Act betrifft branchenunabhängig jedes Unternehmen, das vernetzte Nutzungsdaten erfasst und verarbeitet. Dies gilt sowohl im B2C als auch im B2B Bereich und gleichermaßen für europäische wie auch für nicht-europäische Unternehmen, sofern diese in der EU tätig sind („Marktortprinzip“).
Von den Pflichten des Art. 3 bis 6 Data Acts ausgenommen sind jedoch
a) Kleinst- und Kleinunternehmen, also Unternehmen mit weniger als 50 Angestellten und unter 10 Millionen Euro Jahresumsatz. Diese Ausnahme gilt allerdings nur, wenn die Kleinunternehmen keine Partner- oder sonstige verbundene Unternehmen haben, die dieses Größenkriterium übersteigen.
b) Das Gleiche gilt für Daten, die durch die Nutzung von vernetzten Produkten generiert werden, die von einem Unternehmen
hergestellt werden, das seit weniger als einem Jahr als mittleres Unternehmen Sinne des Artikels 2 des Anhangs der
Empfehlung 2003/361/EG eingestuft ist,
c) oder für verbundene Dienste, die von einem solchen Unternehmen erbracht
werden,
d) und für vernetzten Produkte für ein Jahr nach dem Zeitpunkt ihres Inverkehrbringens durch ein mittleres
Unternehmen.
Neue Regelungen für Datenverarbeitungsdienste: Wechseln einfach gemacht!
Der Data Act regelt, dass Kunden problemlos zwischen verschiedenen Datenverarbeitungsdiensten wechseln können sollen und ihre Verträge unter erleichterten Bedingungen und schneller kündigen können.
Ein Datenverarbeitungsdienst im Kontext des Data Act bezieht sich auf Dienstleistungen, die das Speichern, Verarbeiten und Verwalten von Daten umfassen. Diese Dienste können Cloud-Computing-Dienste (wie Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS)) sowie Edge-Computing-Dienste umfassen.
Um die Regelungen für den „einfachen Wechsel“ zu verwirklichen, werden Cloud- und Edge-Anbieter aber grundsätzlich
- ihre Vertragsbedingungen anpassen,
- Informationspflichten erfüllen,
- den Kunden beim Wechsel unterstützen und
- harmonisierte Interoperabilitätsstandards umsetzen müssen.
Im Kündigungsfall muss ein Cloudanbieter beispielsweise dafür Sorge tragen, dass eine notwendige Datenübertragung an einen anderen Cloudanbieter sowohl in gängigen Standardformaten erfolgen kann, als auch den aktuellen Sicherheitsstandards entspricht (sog. Cloud-Switching). Nach der Umstellung ist der alte Anbieter zusätzlich verpflichtet, sämtliche gesammelten Daten und Metadaten zu löschen. Über die Löschung muss weiterhin ein Nachweis geführt werden. Für die Übermittlung der Nutzerdaten beim Anbieterwechsel dürfen außerdem nur reduzierte Entgelte verlangt werden.
Der Data Act gibt in Art. 25 einige Vertragsinhalte vor, die eingehalten werden müssen:
(1) Die Rechte des Kunden und die Pflichten des Anbieters von Datenverarbeitungsdiensten in Bezug auf den Wechsel zwischen Anbietern solcher Dienste oder gegebenenfalls zu einer IKT-Infrastruktur in eigenen Räumlichkeiten werden eindeutig in einem schriftlichen Vertrag festgelegt. Der Anbieter von Datenverarbeitungsdiensten stellt dem Kunden diesen Vertrag vor der Vertragsunterzeichnung so bereit, dass er den Vertrag speichern und reproduzieren kann.
(2) Unbeschadet der Richtlinie (EU) 2019/770 enthält der in Absatz 1 dieses Artikels genannte Vertrag mindestens Folgendes:
a) Klauseln, die es dem Kunden ermöglichen, auf Verlangen zu einem Datenverarbeitungsdienst zu wechseln, der von einem anderen Anbieter von Datenverarbeitungsdiensten angeboten wird, oder alle exportierbaren Daten und digitalen Vermögenswerte unverzüglich und in keinem Fall zu einem späteren Zeitpunkt als nach Ablauf der verbindlichen Übergangsfrist von höchstens 30 Kalendertagen ab Ablauf der in Buchstabe d genannten maximalen Kündigungsfrist auf eine IKT-Infrastruktur in eigenen Räumlichkeiten zu übertragen, wobei der Anbieter von Datenverarbeitungsdiensten in dieser Frist
i) dem Kunden und von ihm autorisierten Dritten beim Vollzug des Wechsels angemessene Unterstützung leistet;
ii) mit der gebotenen Sorgfalt handelt, um die Kontinuität des Geschäftsbetriebs aufrechtzuerhalten und die Erbringung der vertragsmäßigen Funktionen oder Dienste fortzusetzen;
iii) eindeutig über bekannte Risiken für die unterbrechungsfreie Erbringung der Funktionen oder Dienste unterrichtet, die auf den ursprünglichen Anbieter der Datenverarbeitungsdienste zurückgehen;
iv) während der Wechsel vollzogen wird, für ein hohes Maß an Sicherheit sorgt; dies gilt insbesondere für die Sicherheit der Daten während ihrer Übertragung und die kontinuierliche Sicherheit der Daten während des in Buchstabe g genannten Abrufzeitraums im Einklang mit dem geltenden Unionsrecht oder dem nationalen Recht;
b) die Verpflichtung des Anbieters von Datenverarbeitungsdiensten, die für die vertraglich vereinbarten Dienste relevante Ausstiegsstrategie des Kunden zu unterstützen, unter anderem durch Bereitstellung aller einschlägigen Informationen;
c) eine Klausel, in der festgelegt ist, dass der Vertrag als beendet gilt und der Kunde über die Kündigung in einem der folgenden Fälle unterrichtet wird:
i) gegebenenfalls, nachdem der Wechsel erfolgreich vollzogen ist;
ii) nach Ablauf der in Buchstabe d genannten maximalen Kündigungsfrist, wenn der Kunde nicht wechseln, sondern seine exportierbaren Daten und digitalen Vermögenswerte nach Beendigung des Dienstes löschen möchte,
d) eine maximale Kündigungsfrist für die Einleitung des Wechsels, die zwei Monate nicht überschreiten darf;
e) eine erschöpfende Auflistung aller Kategorien von Daten und digitalen Vermögenswerten, die während des Wechselvollzugs übertragen werden können, einschließlich mindestens aller exportierbaren Daten;
f) eine erschöpfende Liste der Datenkategorien, die für die interne Funktionsweise des Datenverarbeitungsdienstes des Anbieters spezifisch sind und von den exportierbaren Daten gemäß Buchstabe e des vorliegenden Absatzes ausgenommen werden, wenn die Gefahr einer Verletzung von Geschäftsgeheimnissen des Anbieters besteht, vorausgesetzt solche Ausnahmen behindern oder verzögern den Wechsel nach Artikel 23 Buchstabe c nicht;
g) eine Mindestfrist für den Datenabruf von mindestens 30 Kalendertagen, der nach dem Ablauf des zwischen dem Kunden und dem Anbieter der Datenverarbeitungsdienste gemäß Buchstabe a des vorliegenden Absatzes und Absatz 4 vereinbarten Übergangszeitraums beginnt;
h) eine Klausel, die garantiert, dass alle exportierbaren Daten und digitalen Vermögenswerte, die direkt vom Kunden generiert werden oder sich direkt auf den Kunden beziehen, nach Ablauf des unter Buchstabe g genannten Abrufzeitraums oder nach Ablauf eines vereinbarten alternativen Zeitraums zu einem späteren Zeitpunkt als dem Ablaufdatum des in Buchstabe g genannten Abrufzeitraums vollständig gelöscht werden, sofern der Wechsel erfolgreich vollzogen ist;
i) Wechselentgelte, die von Anbietern von Datenverarbeitungsdiensten gemäß Artikel 29 erhoben werden können.(3) Der in Absatz 1 genannte Vertrag muss Klauseln enthalten, wonach der Kunde den Anbieter von Datenverarbeitungsdiensten nach Ablauf der maximalen Kündigungsfrist gemäß Absatz 2 Buchstabe d über seine Entscheidung unterrichten kann, eine oder mehrere der folgenden Maßnahmen durchzuführen:
a) Wechsel zu einem anderen Anbieter von Datenverarbeitungsdiensten, wobei der Kunde in diesem Fall die erforderlichen Angaben zu diesem Anbieter macht;
b) Wechsel zu einer IKT-Infrastruktur in eigenen Räumlichkeiten;
c) Löschung seiner exportierbaren Daten und digitalen Vermögenswerte.(4) Ist der verbindliche maximale Übergangszeitraum nach Absatz 2 Buchstabe a technisch nicht durchführbar, so teilt der Anbieter von Datenverarbeitungsdiensten dies dem Kunden innerhalb von 14 Arbeitstagen nach der Beantragung des Wechsels mit und begründet ordnungsgemäß die technische Undurchführbarkeit und gibt einen alternativen Übergangszeitraum an, der sieben Monate nicht überschreiten darf. Im Einklang mit Absatz 1 wird die Kontinuität des Dienstes während des alternativen Übergangszeitraums gegebenenfalls sichergestellt.
(5) Unbeschadet des Absatzes 4 enthält der in Absatz 1 genannte Vertrag Klauseln, wonach der Kunde berechtigt ist, den Übergangszeitraum einmal um einen Zeitraum zu verlängern, den er für seine eigenen Zwecke für angemessener hält.
Wem gehören die Daten? Wenn der Staubsaugerroboter Nutzungsdaten generiert…
Der Data Act kümmert sich in einem weiteren großen Themenbereich um Daten, die mit der Nutzung von vernetzten Produkten (die oft auch als IoT-Geräte bezeichnet werden; dies kann von Fahrzeugen über Haushaltsgeräte, Konsumgüter, bis zu Lifestyle-Geräten alles sein) und auch mit ihnen verbundenen digitalen Diensten erzeugt werden. Dabei unterscheidet der Data Act aber nicht zwischen personenbezogenen und nicht-personenbezogenen Daten – es werden alle Daten umfasst!
Wer darf über die Daten bestimmen?
Bisher konnten Hersteller die bei der Nutzung ihrer IoT-Geräte anfallenden Daten exklusiv nutzen. Der EU Data Act ändert dies, indem er das Ziel verfolgt, diese wertvollen Daten einer breiteren Interessentengruppe zugänglich zu machen. Zukünftig sind Hersteller und Anbieter verpflichtet, die gesammelten Daten auch anderen Unternehmen zur Verfügung zu stellen.
Die Nutzer der jeweiligen Geräte und Anwendungen können selbst bestimmen, wer Zugang zu ihren Daten erhält. Dies gilt auch für den Hersteller des Geräts: Während er bisher automatisch Zugriff auf die Nutzungsdaten hatte, darf er sie künftig nur noch dann für eigene Zwecke verwenden, wenn der jeweilige Nutzer ausdrücklich zugestimmt hat. Dadurch werden die Rechte von Privatpersonen an ihren Daten gestärkt.
Umfangreiche Informations- und Auskunftspflichten!
Der Hersteller bzw. Anbieter muss die Nutzer über den Datenzugang und die Möglichkeit zur Weitergabe der Nutzungsdaten informieren, und zwar schon bevor der Vertrag abgeschlossen wird. Außerdem haben die Nutzer jederzeit das Recht, Auskunft über die Art und den Umfang der Daten zu erhalten, die bei der Nutzung des Produktes erhoben werden. Darüber hinaus können sie auch erfragen, ob der Anbieter die gesammelten Daten selbst nutzt oder ob diese weitergegeben werden.
Mit dem EU Data Act sind missbräuchliche Vertragsklauseln ab sofort gemäß Artikel 13 ausdrücklich verboten. Eine Klausel gilt dann als missbräuchlich, wenn sie erheblich von der „guten Geschäftspraxis“ abweicht und „gegen Treu und Glauben und den redlichen Geschäftsverkehr“ verstößt.