Die Datenverordnung (Verordnung der EU 2023/2854, engl. Data Act) regelt künftig die Nutzung und den Austausch von Daten innerhalb des Europäischen Wirtschaftsraums. Die Verordnung gilt ab dem 12. September 2025 unmittelbar. Sie bestimmt Pflichten zur Datenweitergabe, zum Abschluss von Datenlizenzverträgen, aber auch zur Implementierung bestimmter Schutzmaßnahmen. Ihre Regelungen betreffen insbesondere Daten, die bei der Nutzung von digitalen Diensten und vernetzten Produkten (IoT) entstehen. Der folgende Beitrag gibt einen Überblick über die neue Verordnung.
Erklärtes Ziel der Datenverordnung ist es einerseits, die wirtschaftliche Nutzbarkeit von Daten zu erhöhen und zu vereinfachen. Andererseits sollen die Nutzer dieser Daten und entsprechender Technologien in ihren Rechten gestärkt und geschützt werden. Um diese Ziele zu erreichen, ergänzt die Datenverordnung die Daten-Governance-Verordnung (in Kraft seit September 2023) und legt fest, welcher Akteur welche Daten unter welchen Voraussetzungen verwenden darf.
So stärkt die Datenverordnung die rechtliche Position derjenigen, die vernetzte Produkte nutzen: Das sind Einzelpersonen oder Unternehmen, die die entsprechenden Produkte besitzen, leasen oder mieten („Nutzer“). Die Datenverordnung ermöglicht die selbstbestimmte Entscheidung darüber, was mit den erhobenen Daten geschehen soll. Die Personen, die Produkte bereitstellen oder Dienste erbringen, bei denen Daten erhoben oder generiert werden („Dateninhaber“), müssen zum einen die Interessen der Nutzer berücksichtigen, erhalten zum anderen aber die Möglichkeit, die Daten in einem bestimmten Rahmen an Dritte („Datenempfänger“) weiterzugeben.
Die Nutzer vernetzter Produkte und damit verbundener Dienstleistungen (z. B. vernetzte Geräte im Smart-Home und entsprechende Apps zu ihrer Steuerung) haben künftig ein Recht darauf, auf die durch die Nutzung generierten Daten zuzugreifen. Daraus können sich einerseits neue Geschäftsfelder ergeben, andererseits sind damit aber auch zusätzliche Anforderungen verbunden. Denn die Dateninhaber müssen einer Aufforderung zur Bereitstellung der Daten nicht nur nachkommen, sondern bereits im Vorfeld die Voraussetzungen dafür schaffen. Dazu gehört etwa die Information der Nutzer darüber, welche Daten generiert werden und die Integration eines einfachen Verfahrens, um Zugang zu den Daten zu beantragen. Die Daten sind den Nutzern kostenlos bereitzustellen.
Die Datenverordnung ermöglicht die (gemeinsame) Nutzung aber nicht nur, sondern setzt ihr auch Grenzen. Es gilt weiterhin die DS-GVO, sodass personenbezogene Daten nur bei entsprechender Rechtsgrundlage, bspw. einer Einwilligung, weitergegeben werden können. Dateninhaber erhalten die Möglichkeit, vertragliche Regelungen zum Schutz ihrer Geschäftsgeheimnisse zu vereinbaren. Notfalls kann die Datenweitergabe unter bestimmten Umständen auch verweigert werden. Dafür ist jedoch eine Mitteilung an die zuständige nationale Behörde – nach jetzigem Stand die Bundesnetzagentur1 – und der Nachweis eines mit hoher Wahrscheinlichkeit drohenden schweren wirtschaftlichen Schadens erforderlich.
Bei der Verpflichtung zur Weitergabe von Daten an Datenempfänger können Dateninhaber eine (angemessene) Entschädigung verlangen. Diese bemisst sich beispielsweise an den Kosten für die Bereitstellung der Daten oder den getätigten Investitionen in die Generierung der Daten und kann eine Marge enthalten. Zu beachten ist in diesem Zusammenhang die Privilegierung bestimmter Akteure, etwa kleiner und mittlerer Unternehmen („KMU“), denen allenfalls Kosten für die Bereitstellung der Daten in Rechnung gestellt werden dürfen.
Notwendig wird in der Folge eine entsprechende vertragliche Regelung in Form eines Datenlizenzvertrages zwischen Dateninhaber und Nutzer, in dem die Rechte und Pflichten bezüglich des Zugriffs und der (gemeinsamen) Nutzung der (Roh-)Daten festgelegt werden, die bei der Nutzung eines vernetzen Produktes oder verbundenen Dienstes entstehen.
Aber auch mit den Datenempfängern ist ein entsprechender Datenlizenzvertrag abzuschließen. Die Datenverordnung macht hierfür aber bestimmte Vorgaben, insb. um KMU in der Rolle des Datenempfängers vor missbräuchlichen Vertragsklauseln zu schützen, bspw. vor bestimmten Haftungsausschlüssen.
Die Datenverordnung schützt die Dateninhaber aber auch bei der Preisgabe der Daten, etwa vor dem unrechtmäßigen Zugriff auf Daten. Dieser kann beispielsweise durch Dritte erfolgen oder durch Nutzer, die Daten unrechtmäßig verwenden. In einem solchen Szenario können Dateninhaber die Unterlassung des Verhaltens, die Vernichtung der erhaltenen Daten oder eine Entschädigung verlangen.
Schutz erfahren Dateninhaber zudem dadurch, dass die Daten nicht zur Entwicklung von konkurrierenden vernetzten Produkten genutzt werden dürfen. Zur Weitergabe an Dritte mit Sitz außerhalb der EU können Dateninhaber nicht verpflichtet werden. Hinsichtlich konkurrierender Dienstleistungen sieht die Datenverordnung hingegen keine Beschränkung des Wettbewerbs vor.
Unternehmen, die im Besitz von Daten sind, können von öffentlichen Stellen zur Bereitstellung der Daten aufgefordert werden und müssen dieser Aufforderung unter den Voraussetzungen der Datenverordnung nachkommen. Nicht personenbezogene Daten können dabei bei außergewöhnlichen Bedürfnissen angefordert werden, personenbezogene hingegen nur, wenn dies bei einem öffentlichen Notfall erforderlich ist.
Die Datenverordnung sieht ebenfalls Anforderungen an die Interoperabilität bestimmter Dienste vor, etwa für Teilnehmer von Datenräumen, Anbieter von Smart Contracts und von Datenverarbeitungsdiensten. In Zukunft sind hierzu harmonisierte Normen oder jedenfalls gemeinsame Spezifikationen der Kommission mit detaillierten Anforderungen an die technische Gestaltung zu erwarten.
Ziel der Herstellung einer Interoperabilität ist es auch, Kunden den Wechsel zwischen Datenverarbeitungsdiensten zu ermöglichen. Die Datenverordnung formuliert deshalb Mindestanforderungen an den Inhalt von Cloud-Verträgen, wie das Bereitstellen offener Schnittstellen, den Export von Daten in einem gängigen und maschinenlesbaren Format oder die Sicherstellung funktionaler Äquivalenz – Kunden dürfen fortan bei ähnlichen Funktionen vergleichbare Ergebnisse erwarten.
Die Mitgliedstaaten werden durch die Datenverordnung zum Erlass von Vorschriften über wirksame, verhältnismäßige und abschreckende Sanktionen verpflichtet. Der Referentenentwurf des BMWK von Februar 2025 sieht für Verstöße gegen die Datenverordnung gestaffelte Bußgelder vor: Bei Verstößen gegen bestimmte Regelungen für sogenannte Torwächter kann eine Geldbuße i. H. v. bis zu € 5 Millionen oder 4 % des in der EU erzielten Jahresumsatzes verhängt werden. Eine missbräuchliche Datennutzung durch den Dateninhaber zu Lasten des Nutzers kann mit einer Geldbuße i. H. v. bis zu € 500.000 geahndet werden und zum Beispiel für die Vereinbarung unzureichender technisch-organisatorischer Maßnahmen zum Schutz von Geschäftsgeheimnissen, die der Dateninhaber mit dem Nutzer zu treffen hat, drohen Bußgelder i. H. v. bis zu € 100.000. Für weitere Verstöße wie z. B. eine unterlassene oder nicht rechtzeitige Mitteilung über die Verweigerung der Datenweitergabe kann ein Bußgeld i. H. v. bis zu € 50.000 verhängt werden.
Mit der Datenverordnung geht eine disruptive Veränderung der Datenwirtschaft einher, die von den betroffenen Akteuren technische und rechtliche Anpassungen erfordert. Wird diesen Herausforderungen nicht adäquat begegnet, können empfindliche Sanktionen drohen. Orientierung bieten die für Herbst 2025 angekündigten Muster- und Standardvertragsklauseln der Kommission, die jedoch für die spezifische Situation des betroffenen Unternehmens anzupassen sind.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.