Direkt zum Inhalt
Filter by categories
Group 2 Created with Sketch.
Rechtsberatung
Software, Hardware und Daten
von
Lars Meyer
Maximilian Wurzel

Der Data Act gilt – Was Unternehmen jetzt zum Umgang mit Daten vernetzter Produkte wissen müssen

Ab Freitag, 12. September 2025 findet der Data Act Anwendung. Spätestens jetzt wird es Zeit, sich mit den Regelungen des Data Acts für die Nutzung und Bereitstellung von Daten, die bei der Nutzung von mit dem Internet verbundenen Gegenständen (Internet of Things, IoT) entstehen, auseinanderzusetzen. Für Unternehmen ergeben sich daraus neben Pflichten auch Chancen, für das eigene Unternehmen Mehrwerte aus diesen Daten zu generieren.

Worum geht es konkret?

Der Data Act – vollständig: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) – enthält unter anderem Regelungen, die mit dem Internet verbundene Gegenstände, sog. „vernetzte Produkte“, und damit zusammenhängende digitale Dienste, sog. „verbundene Dienste“, betreffen.

Ein „vernetztes Produkt“ ist nach dem Data Act jeder Gegenstand, der Daten über seine Nutzung oder Umgebung generiert und diese Produktdaten direkt am Gerät bereitstellen oder durch eine externe Verbindung übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist (Art. 2 Nr. 5 Data Act). Solche Gegenstände sind mittlerweile weit verbreitet, zum Beispiel in Form von Fahrzeugen, Haushaltsgeräten, medizinischer Ausrüstung oder landwirtschaftlichen und industriellen Maschinen und Anlagen. Der Data Act betrifft daher längst nicht nur klassische IoT-Geräte wie „smarte“ Kühlschränke. Auch Gabelstapler, Generatoren, Turbinen und Motoren sowie große Produktionsanlagen können in den Anwendungsbereich des Data Acts fallen – um nur einige Beispiele zu nennen.

Bei „verbundenen Diensten“ handelt es sich um digitale Dienste, die so mit dem vernetzten Produkt verbunden sind, dass das vernetzte Produkt ohne den digitalen Dienst mindestens eine seiner Funktionen nicht ausführen könnte (Art. 2 Nr. 6 Data Act). Beispielsweise können Apps, die der Steuerung eines IoT-Geräts dienen, unter diese Kategorie fallen.

Die sich aus dem Data Act im Zusammenhang mit vernetzten Produkten und verbundenen Diensten ergebenden Pflichten treffen überwiegend die sog. „Dateninhaber“ (Art. 2 Nr. 13 Data Act). Wer Dateninhaber ist, ist aufgrund einer unklaren gesetzlichen Definition häufig nicht leicht zu bestimmen. Als Faustformel kann man jedoch davon ausgehen, dass Dateninhaber derjenige ist, der die tatsächliche oder rechtliche Verfügungsbefugnis über die von einem vernetzten Produkt oder verbundenem Dienst generierten Daten hat. Das ist häufig – aber nicht immer – der Hersteller eines vernetzten Produkts bzw. der Anbieter eines verbundenen Dienstes. Zudem kann es im Einzelfall auch mehrere Dateninhaber geben.

Zentrale Regelungsaspekte

Datenzugang

Die durch die Nutzung eines vernetzten Produkts bzw. eines damit verbundenen Dienstes entstandenen Produktdaten (Art. 2 Nr. 15 Data Act) bzw. verbundenen Dienstdaten (Art. 2 Nr. 16 Data Act) sind dem Nutzer einfach, sicher und unentgeltlich direkt am vernetzten Produkt oder verbundenen Dienst zugänglich zu machen (Art. 3 Abs. 1 Data Act). Insofern besteht also eine Pflicht, die vernetzten Produkte und verbundenen Dienste entsprechend technisch zu konzipieren und herzustellen/zu erbringen (access by design).

Nicht vom kostenlosen Datenzugang umfasst sind abgeleitete Daten. Dies sind solche Daten, die aus den Rohdaten, die bei der Nutzung des verbundenen Produktes/verbundenen Dienstes entstehen, abgeleitet sind. Wo diesbezüglich im Einzelfall die Grenze zwischen den einzelnen Datenpunkten verläuft, kann nicht pauschal gesagt werden und muss im Einzelfall geprüft werden. Die genaue Analyse kann insbesondere mit Blick auf die weiterhin bestehende Möglichkeit, abgeleitete Daten entgeltlich zu vermarkten, für den Dateninhaber interessant sein.

„Nutzer“ ist jede natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt (Art. 2 Nr. 12 Data Act). Der Data Act gilt also nicht nur zugunsten von Verbrauchern, sondern insbesondere auch zugunsten von Unternehmen, die vernetzte Produkte nutzen.

Der Nutzer muss zudem vor Vertragsschluss über wesentliche Parameter der Datenerhebung und des Datenzugangs informiert werden (Art. 3 Abs. 2 und Abs. 3 Data Act).

Ist ein direkter Zugriff auf die Daten technisch nicht möglich, müssen diese dem Nutzer auf dessen Verlangen durch den Dateninhaber – ebenfalls unentgeltlich – kontinuierlich und in Echtzeit bereitgestellt werden (Art. 4 Abs. 1 Data Act).

Ausnahmen hiervon sieht der Data Act nur in sehr begrenztem Umfang vor, wie zum Beispiel zum Schutz von Geschäftsgeheimnissen oder personenbezogener Daten (vgl. Art. 4 Abs. 6 und 7 Data Act).

Datenbereitstellung an Dritte 

Auf Verlangen des Nutzers sind die Produkt- und verbundenen Dienstdaten darüber hinaus grundsätzlich Dritten, sog. „Datenempfängern“ (Art. 5 Abs. 1 Data Act), bereitzustellen. Bei diesen Dritten bzw. Datenempfängern kann es sich beispielsweise um Werkstätten oder Versicherungen, aber auch um Wettbewerber des Dateninhabers handeln.

Während die Datenbereitstellung für den Nutzer kostenfrei sein muss, kann von einem Datenempfänger, der Unternehmer ist, eine Gegenleistung verlangt werden, die auch eine Marge enthalten kann (Art. 9 Abs. 1 Data Act). Die Bereitstellung der Daten muss jedoch unter fairen, angemessenen und nichtdiskriminierenden Bedingungen erfolgen (Art. 8 Abs. 1 Data Act). Bestimmte sog. „missbräuchliche Vertragsklauseln“ sind wirkungslos (Art. 8 Abs. 2 i. V. m. Art. 13 Data Act).

Auch insofern kann nur in sehr begrenzten Ausnahmefällen eine Datenbereitstellung an Dritte verweigert werden. Den Dritten treffen jedoch bestimmte Pflichten bei dem Umgang mit den ihm bereitgestellten Daten (Art. 6 Data Act). Zum Beispiel darf der Dritte die Daten nur für die Zwecke nutzen, die er mit dem Nutzer vereinbart hat. Auch darf er die Daten nicht nutzen, um ein Produkt zu entwickeln, das mit dem vernetzten Produkt, von dem die Daten stammen, im Wettbewerb steht. Dateninhaber dürfen geeignete technische Schutzmaßnahmen implementieren und können Im Fall einer unbefugten Nutzung mit rechtlichen Mitteln gegen den Dritten vorgehen (Art. 11 Data Act).

Nutzung und Weitergabe der Daten durch den Dateninhaber 

Der Dateninhaber darf (nicht personenbezogene) Daten grundsätzlich nur auf Grundlage eines Vertrags mit dem Nutzer selbst verwenden (Art. 4 Abs. 13 Data Act). Dies betrifft zum Beispiel die Verwendung der Daten für die Produktentwicklung. Die Weitergabe an nicht vom Nutzer bestimmte Dritte ist nur zulässig, soweit dies zur Erfüllung des Vertrags mit dem Nutzer erforderlich ist (Art. 4 Abs. 14 Data Act). Der Dateninhaber darf zukünftig also nicht frei über die von einem vernetzten Produkt bzw. vernetzten Dienst generierten Daten verfügen, sondern muss sich vom Nutzer entsprechende Rechte einräumen lassen (Datenlizenz).

Ausnahmen nur für Kleinstunternehmen

Nur für Kleinst- und Kleinunternehmen (weniger als 50 Beschäftigte und Jahresumsatz bzw. Jahresbilanz nicht über 10 Mio. EUR) sind Erleichterungen vorgesehen: Sie sind unter bestimmten Voraussetzungen von den vorstehend skizzierten Pflichten befreit (Art. 7 Data Act). Auch als Datenempfänger genießen sie Privilegierungen.

Handlungsbedarf

Analyse des eigenen Produktportfolios 

Unternehmen sollten spätestens jetzt prüfen, welche ihrer Produkte und digitalen Dienste vernetzte Produkte bzw. verbundene Dienste im Sinne des Data Acts sind. Für diese muss sodann aufgeklärt werden, welche Produkt- und verbundenen Dienstdaten überhaupt erhoben werden und wie diese Daten gegebenenfalls zugänglich gemacht bzw. bereitgestellt werden können. Hierbei sollte auch sorgfältig analysiert werden, welche Auswirkungen der Data Act möglicherweise auf die eigenen datenbasierten Geschäftsmodelle hat. Insbesondere müssen Geschäftsmodelle, die auf eine Monetarisierung von Produkt- und verbundenen Dienstdaten gerichtet sind, hinsichtlich ihrer zukünftigen Tragfähigkeit auf den Prüfstand gestellt werden.

Besonders wichtig ist zudem eine Überprüfung der vertraglichen Vereinbarungen mit den Nutzern, ob diese bereits eine Verwendung der Produkt- und verbundenen Dienstdaten für eigene Zwecke des Unternehmens gestatten.

Umsetzung der notwendigen Maßnahmen 

Basierend auf dieser Analyse müssen dann die erforderlichen Maßnahmen und Prozesse geplant und umgesetzt werden, um die Datenbereitstellungs- sowie die Informationspflichten unter dem Data Act erfüllen zu können und um bestehende oder geplante datenbasierte Geschäftsmodelle ggf. neu zu justieren. Hierbei sind ein strukturiertes Vorgehen und eine gute Vorbereitung, insbesondere durch die Erarbeitung standardisierter Prozesse, unerlässlich. Denn ein Verstoß gegen den Data Act ist insbesondere bei einem improvisierten Umgang mit Datenzugangs- und Bereitstellungsverlangen von Nutzern vorprogrammiert. Zudem müssen vernetzte Produkte und die mit ihnen verbundenen Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden, so konzipiert werden, dass die Produkt- bzw. verbundenen Dienstdaten für den Nutzer direkt zugänglich sind. Dies erfordert eine vorausschauende Planung.

Unternehmen sollten nicht das Risiko eines Verstoßes gegen den Data Act eingehen, so können Verstöße insbesondere mit Bußgeldern geahndet werden. Der Rahmen für diese Bußgelder ist derzeit noch unklar. Der gegenwärtig in der Beratung befindliche Entwurf für ein Data-Act-Durchführungsgesetz sieht für Verstöße des Dateninhabers gegen den Data Act in Deutschland jedoch erhebliche Bußgelder bis zu 500.000 Euro pro Verstoß vor.

Fazit

Obwohl der Data Act für Unternehmen, die Dateninhaber im Sinne des Data Acts sind, eine Fülle an Pflichten normiert, sollte jedoch auch das wirtschaftliche Potenzial nicht unberücksichtigt bleiben: Unternehmen nutzen in der Regel verschiedene vernetzte Produkte und verbundene Dienste anderer Unternehmen. Insofern stehen ihnen zukünftig grundsätzlich Ansprüche auf die entgeltfreie Zugänglichmachung oder Bereitstellung der entsprechenden Produktdaten und verbundenen Dienstdaten zu. So können die durch eigene Nutzung generierten Produkt- und verbundenen Dienstdaten für eigene datengetriebene Wertschöpfung kostenfrei genutzt werden, wo vorher möglicherweise keine oder nur eine entgeltliche Nutzung dieser Daten möglich war. Zudem bieten auch die Datenbereitstellungsansprüche der Nutzer eine interessante Möglichkeit für Unternehmen, sich zukünftig neue Datenquellen zu erschließen.

Wir unterstützen Sie nicht nur dabei, die mit dem Data Act verbundenen Herausforderungen effizient zu meistern, sondern auch die hiermit verbundenen Potenziale für Ihr Unternehmen zu heben.

Ansprechpartner