Zum Inhalt springen
Darstellung von Computerplatinen: Kleine schwarze, quadratische, etwas erhobener Felder in der linken Bildhälfte. In der rechten Bildhälfte sind Striche und Verbindungen, die zu den schwarzen Feldern führen.
© spainter_vfx | stock.adobe.com

Data Act – das Datengesetz der EU – im Detail

Übersicht über die wesentlichen Inhalte, und was im Besonderen zu beachten ist

Lesedauer: 17 Minuten

Stand: 25.02.2026

1. Allgemeines

Die EU-Verordnung 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act) gilt grundsätzlich ab dem 12.9.2025.

Ziel des Data Act ist es, die Informationsversorgung vor allem auf Sekundärmärkten zu verbessern, um zusätzliche Dienstleistungen und Produkte im Interesse der Innovation zu fördern. Das heißt, es soll ein „Binnenmarkt für Daten“ zu fairen Bedingungen geschaffen werden – über das Konzept: Datennutzungsrechte (mehr dazu Punkt 4 - Rollenbilder).

Zweck des Data Act soll daher sein, „Hindernisse bei der Datenweitergabe“ zu überwinden, um „den Bedürfnissen der digitalen Wirtschaft gerecht zu werden und die Hindernisse für einen reibungslos funktionierenden Binnenmarkt für Daten zu beseitigen“ (Erwägungsgründe 2 und 4).
Die DSGVO gilt nebenher uneingeschränkt weiter.

Achtung

Die Zielsetzungen von Data Act und DSGVO sind teilweise konträr. Während der Data Act den möglichst freien Fluss aller Daten anstrebt, strebt die DSGVO die restriktive und sparsame Handhabung von personenbezogenen Daten an. Da der Data Act explizit ausspricht, die DSGVO unberührt zu lassen (Art 1 Abs 5), ist davon auszugehen, dass im Konfliktfall die DSGVO vorgehen wird (mehr dazu Punkt 9.1 [Betriebs- und Geschäftsgeheimnisse]).

2. Behörden und Gerichte

Die allgemeine Zuständigkeit liegt im Bundeskanzleramt. Eine speziell für den Data Act „zuständige Behörde“ im Sinne von Art 37 wurde bisher nicht eingerichtet. Entsprechend gibt es (derzeit) noch keine (speziellen) nationalen Strafbestimmungen – unbeschadet des geltenden Datenschutzrechts und der Zuständigkeit der Datenschutzbehörde.

Da der Data Act aber eine starke zivilrechtliche Komponente aufweist, ist er schon jetzt von den Gerichten anzuwenden – etwa bei der Auslegung von Verträgen, AGB oder Streitigkeiten über die Wirksamkeit von Vertragskündigungen. Das heißt, auch wenn (derzeit) noch keine Verwaltungsstrafen drohen, steht schon jetzt die Möglichkeit von Schadenersatzforderungen im Raum, wenn die neuen Maßstäbe des Data Act im privatrechtlichen Bereich ignoriert oder übersehen werden.

3. Betroffenheit (Prüfschema 1)

Die wesentlichen Anknüpfungspunkte zum Data Act sind in erster Linie grundsätzlich nicht personenbezogen – das heißt, es wird hinsichtlich seiner Geltung zunächst nicht danach gefragt, ob jemand Konsument oder Unternehmer, Händler oder Hersteller o. Ä. ist. Der Data Act betrifft grundsätzlich

  • vernetzte Produkte (einschließlich der damit verbundenen Dienste) (Art 1 Abs 1 lit a) und
  • Datenverarbeitungsdienste (Art 1 Abs 1 lit b).

(Zu den näheren Definitionen siehe Punkt 5 [vernetzte Produkte] und Punkt 6 [Datenverarbeitungsdienste]).

Erst aus diesem Kontext heraus erschließen sich die personenbezogenen Rollenbilder nach Art 1 Abs 3 (Siehe Punkt 4 [Rollenbilder]).

Das heißt, als Unternehmen prüft man zuerst,

  • ob sein Geschäft etwas mit vernetzten Produkten zu tun hat (als Hersteller, als Händler, als Anbieter des verbundenen Dienstes, oder als jemand, der als Dritter mit Daten, die er aus verbundenen Diensten empfängt, arbeitet), oder
  • ob sein Geschäft etwas mit Datenverarbeitungsdiensten zu tun hat (als Anbieter eines Datenverarbeitungsdienstes, oder als jemand, der als Dritter mit Daten, die er aus einem Datenverarbeitungsdienst empfängt, arbeitet).

Trifft eines der beiden Dinge zu, ist der Data Act für das Unternehmen relevant. Es könnte aber sein, dass bestimmte Ausnahmen auf das Unternehmen anwendbar sind – das heißt, man prüft weiters:

  • Fällt man als Hersteller unter die Ausnahme des Art 7 (Ausnahmen für geringe Unternehmensgrößen)?
  • Fällt man als Datenverarbeitungsdienst unter die Ausnahme des Art 31 (kundenspezifischer Datenverarbeitungsdienst)?

Mehr zu den Ausnahmen und ihrer Reichweite in den Hinweisen unter Punkt 7 (Pflichten für Händler, Hersteller und Anbieter) und Punkt 10 (Verpflichtungen für Datenverarbeitungsdienste zur Beseitigung von Hindernissen beim Anbieterwechsel).

4. Rollenbilder (Prüfschema 2)

Erst in zweiter Linie ist es zielführend, die persönliche Rolle (Personenbezogenheit) zu prüfen. Der Data Act unterscheidet insbesondere zwischen:

  • Dateninhabern (Art 1 Abs 3 lit c)
  • Nutzern (Art 1 Abs 3 lit b)
  • Dritten (Datenempfängern) (Art 1 Abs 3 lit d)
Achtung

Diese Rollen sind nicht ohne weiteres auf die aus dem Konsumentenschutzrecht bekannten Rollen: Hersteller, Händler, Konsument umlegbar (Siehe bereits Punkt 3 [Betroffenheit]). Mehr dazu im Weiteren – insb. unter Punkt 7 (Pflichten für Händler, Hersteller und Anbieter).

Hinweis
Der Anbieter (Art 1 Abs 3 lit f) ist bei einem Datenverarbeitungsdienst in der Regel das, was der Hersteller (Art 1 Abs 3 lit a) bei einem (physischen) Produkt ist.

Herr der Rohdaten, die ein vernetztes Produkt oder ein Datenverarbeitungsdienst generiert, soll stets dessen Nutzer sein. Ihm steht der Dateninhaber gegenüber, der – im Gegensatz dazu - den faktischen Zugang zu den Daten hat. Um das angestrebte Rollenverhältnis bei an sich umgekehrter technischer Ausgangslage zu gewährleisten, soll der Data Act den Rahmen für das privatrechtliche Verhältnis zwischen Nutzer und Dateninhaber vorgeben.

Das heißt, der Data Act schafft den Rahmen, innerhalb dessen der Nutzer auf privatrechtlicher Basis selbstbestimmt verfügen können soll, inwiefern und inwieweit er wem die Nutzungsrechte an jenen Daten einräumt, die sein Produkt oder seine App generiert. Der Nutzer kann diese Datennutzungsrechte zum Beispiel auch Dritten (Datenempfängern) einräumen. Der Dateninhaber muss in diesem Fall – auf Ersuchen des Nutzers – dem Dritten die Daten weitergeben, wie zwischen Nutzer und Drittem vereinbart (Art 5 Abs 1: Datenweitergabeverlangen). Zu den Einschränkungen - Siehe Punkt 9 (Betriebs- und Geschäftsgeheimnisse).

Hinweis
Der Rahmen für die privatautonome Vertragsgestaltung ist in weiten Teilen sehr umfänglich reguliert. Er umfasst zum Beispiel Vorgaben über Art und Weise der Datenbereitstellung (Art 8) und Entgelt (Art 9) sowie einen Katalog sowohl zwingender Vertragsklauseln (Art 25) als auch verpönter missbräuchlicher Vertragsklauseln (Art 13), die hier im Detail nicht dargestellt werden können. Es wird auf die Mustervertragsklauseln der Europäischen Kommission verwiesen – Siehe Punkt 12 (Mustervertragsklauseln).

Tipp:
Verträge (AGB) in Hinblick auf den Data Act unbedingt überprüfen lassen (vgl. auch Punkt 2 [Gerichte]).

5. vernetzte Produkte (einschließlich der damit verbundenen Dienste)

Ein vernetztes Produkt ist ein „Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann ...“ (Art 2 Z 5).

Ein verbundener Dienst ist ein „digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“ (Art 2 Z 6).

Nicht umfasst sind allgemeine, reine elektronische Kommunikationsdienste wie SMS der Mobilfunkbetreiber oder WhatsApp, Signal oder Ähnliches. Diese Dienste werden durch andere EU-Vorgaben reguliert.

Beispiel:
Eine Wetterstation, die automatisiert Wetterdaten via SMS an die Telefonnummer eines Empfängers übermittelt, ist nicht umfasst. Sehr wohl aber eine Wetterstation, die über eine eigene App, die vom Käufer installiert werden muss, betrieben und ausgelesen wird. In diesem Fall ist die Wetterstation das vernetzte Produkt – die App der verbundene Dienst.

6. Datenverarbeitungsdienste 

Ein Datenverarbeitungsdienst ist „eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.“ (Art 2 Z 8).

Beispiele:
Clouds, Server, Cloud-basierte Software (SaaS), aber auch „digitale Vermögenswerte“ (vgl. zu Letzterem Erwägungsgründe 83, 84 und 86).

Tipp:
Die Komplexität der Definition kann Interpretationsspielräume dahingehend eröffnen, gar nicht unter den Data Act zu fallen. Es wird aber dringend nahegelegt, juristische Unterstützung zu suchen, ehe man seinen Unternehmensgegenstand als nicht umfasst betrachtet und danach handelt (bzw. nicht handelt). 

7. Pflichten für Händler, Hersteller und Anbieter

Der Data Act normiert in Art 3 teils an die Hersteller, teils an die Händler, teils an beide gerichtete Informationspflichten.

Hinweis
Diese Verpflichtungen gelten nicht für Klein- und Kleinstunternehmen als Hersteller, 
 sofern sie selbständig und nicht Bestandteil eines Konzerns sind, und
sofern sie nicht als Subauftragnehmer tätig sind.

Die Ausnahme dauert noch ein Jahr an, wenn diese Unternehmen zwischenzeitig zu mittleren Unternehmen (weniger als 250 Beschäftigte und weniger als 50 Mio. Euro Jahresumsatz) herangewachsen sind (Art 7). Dem EU-Gesetzgeber schwebten bei dieser Ausnahmebestimmung also sogenannte „echte“ („Garagen“-)Start-Ups sowie daraus keimende „Einhörner“ vor.

7.1 „Gemischte“ Informationspflichten (Transparenzpflichten)

Vor dem Verkauf ist der Kunde darüber aufzuklären,

  • dass es sich um ein vernetztes Produkt handelt,
  • welche Daten es generiert,
  • ob und wie und was es speichert, und
  • wie der Kunde auf die Daten zugreifen kann.

(Art 3 Abs 2). Diese Verpflichtungen werden in erster Linie zunächst den Händler betreffen, aber der Hersteller muss diese Informationen natürlich zur Verfügung stellen (beigelegte Unterlagen).
Vor Abschluss eines Vertrages über den verbundenen Dienst ist der Kunde über Verschiedenes aufzuklären, insbesondere:

  • Wie man auf die Daten zugreifen und sie speichern kann;
  • die Identität des Dateninhabers;
  • wie der Kunde beantragen kann, die Daten an Dritte weiterzugeben;
  • sein Recht, sich an die zuständige Behörde zu wenden (“Rechtsmittelbelehrung“).

Bitte lesen Sie Art 3 Abs 3 im Detail. Diese Verpflichtungen richten sich an jenen, der die verbundene App zur Verfügung stellt („anbietet“). Das wird in der Praxis oft der Hersteller sein, aber es ist auch denkbar, dass der Hersteller den Betrieb der mit seinem Produkt verbundenen App an Dritte „ausgelagert“ hat; dann trifft die Informationsverpflichtung diesen dritten „Anbieter des verbundenen Dienstes“.

Hinweis
Die Verpflichtung, den Kunden aufzuklären, wie er „darum ersuchen kann, dass die Daten an einen Dritten weitergegeben werden“, berührt das Herzstück der Idee des Data Act, das Datenweitergabeverlangen (Siehe oben Punkt 1 Allgemeines und Punkt 4 Rollenbilder): Die Idee liegt darin, dass Nutzer die Daten, die ihre Geräte oder Apps generieren, an Dritte (Datenempfänger) weitergeben (weiterverkaufen) können. Um das zu ermöglichen, müssen die Dateninhaber Möglichkeiten schaffen, dass diese Daten auch tatsächlich weitergegeben können, wenn der Nutzer solch ein Datenweitergabeverlangen stellt.

Beispiel:
Nutzer nehmen das Angebot eines Start-Up an, diesem die Wetterdaten ihrer privaten, häuslichen Wetterstation gegen ein Entgelt laufend zu übermitteln. Das Start-Up als dritter Datenempfänger trainiert damit eine KI-gestützte Wetter-App. Man könnte das als „Crowd-Datensharing“ bezeichnen.

7.2 Designpflicht für Hersteller

„Vernetzte Produkte werden so konzipiert und hergestellt und verbundene Dienste werden so konzipiert und erbracht, dass die Produktdaten und verbundenen Dienstdaten … standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.“ (Art 3 Abs 1)

Diese Bestimmung gilt ausnahmsweise erst ab 12.9.2026, um den Herstellern Zeit zu geben, ihre Produktdesigns entsprechend anzupassen (Art 50 3. Absatz).

7.3 Pflichten der Anbieter von Datenverarbeitungsdiensten

Datenverarbeitungsdienste treffen die Verpflichtungen nach Punkten 7.1 (Informationspflichten) und 7.2 (Designpflicht) nicht explizit, da sie in Art 3 nicht vorkommen.

Sie treffen allerdings alle Verpflichtungen als Dateninhaber, wie sie sich in Art 4 und Art 5 finden – insb. die Verpflichtung vorzusehen, dass der Nutzer seine Daten an Dritte (Datenempfänger) weitergeben kann (Art 5 Abs 1: Datenweitergabeverlangen). Mehr dazu Punkt 8 (Pflicht zum Vertragsabschluss mit dem Nutzer).

8. Pflicht zum Vertragsabschluss mit dem Nutzer

„Der Dateninhaber darf ohne Weiteres verfügbare Daten, bei denen es sich um nicht-personenbezogene Daten handelt, nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen“ (Art 4 Abs 13 1. Satz).

Hinweis
Diese Verpflichtung gilt nicht für Klein- und Kleinstunternehmen als Hersteller, 
 sofern sie selbständig und nicht Bestandteil eines Konzerns sind, und
sofern sie nicht als Subauftragnehmer tätig sind.

Die Ausnahme dauert noch ein Jahr an, wenn diese Unternehmen zwischenzeitig zu mittleren Unternehmen (weniger als 250 Beschäftigte und weniger als 50 Mio. EUR Jahresumsatz) herangewachsen sind (Art 7).

Tipp:
Diese Verpflichtung trifft den, der als Dateninhaber ausgewiesen wird. Das heißt, bei verbundenen Diensten ist es in allfälligen Auslagerungskonstellationen tunlich, im Innenverhältnis klar auszumachen, wer als Dateninhaber und damit als Verpflichteter nach außen auftritt.

Diese Verpflichtung ist für Hersteller vernetzter Produkte wie für Anbieter von Datenverarbeitungsdiensten von besonderer Brisanz: Sie bedeutet, dass Daten, die ein Produkt oder eine App laufend generiert, nicht ohne weiteres vom Hersteller bzw. Anbieter zur Weiterentwicklung seines Produkts verwendet werden dürfen – auch wenn sie nicht personenbezogen sind.

Achtung

Hier könnte eine Kollision mit Art 9 Abs 4 und 8 EU-ProduktsicherheitsVO vorliegen. Im Rahmen der Produktsicherheitsvorschriften haben die Hersteller ihre Produkte auch nach dem Inverkehrbringen in Hinblick auf ihre Sicherheit zu beobachten. 

Es empfiehlt sich daher dringend, auf jeden Fall einen Vertrag mit dem Nutzer abzuschließen, der dem Hersteller bzw. Betreiber die Nutzung dieser Daten erlaubt.


Tipp:
Üblicherweise werden Nutzungsvereinbarungen durch Setzen von Häkchen beim erstmaligen Anmelden in einer App (gleich ob verbundener Dienst oder Datenverarbeitungsdienst) ohnedies abgeschlossen. Die AGB wären um diese Erlaubnis (Erlaubnis nach Art 4 Abs 13) zu ergänzen.

9. Betriebs- und Geschäftsgeheimnisse

Grundsätzlich gilt die DSGVO uneingeschränkt (für personenbezogene Daten). Das heißt, Einwände nach DSGVO gegen Datenweitergaben haben weiterhin Gültigkeit – auch wenn sich im Data Act dazu nichts (explizit) findet.

Der Data Act regelt darüber hinaus, also auch für nicht-personenbezogene Daten:

  • den Schutz der Betriebs- und Geschäftsgeheimnisse des Herstellers vernetzter Produkte bzw. des Anbieters eines Datenverarbeitungsdienstes einerseits, und
  • den Schutz des Nutzers andererseits.
Hinweis
Auch aus anderen Regularien heraus können sich Restriktionen für die Datenweitergabe (Ablehnungsgründe) ergeben. Zu nennen ist zum Beispiel die NIS-Rechtslage.

9.1 Betriebs- und Geschäftsgeheimnisse der Hersteller und Datenverarbeitungsdienste

Art 4 Abs 8 (bitte im Detail lesen) erlaubt Dateninhabern (Herstellern bzw. Datenverarbeitungsdiensten) unter außergewöhnlichen Umständen und bestimmten Bedingungen, Datenzugangs- und -weitergabeverlangen von Nutzern abzulehnen, wenn Betriebs- und Geschäftsgeheimnisse gefährdet sind.

Einwände nach DSGVO gelten weiterhin – das heißt, sie dürfen nicht nur zusätzlich vorgebracht werden, sondern sie müssen vorgebracht werden, wenn sie stichhaltig sind.

Achtung

Können personenbezogene Daten mit „verhältnismäßigen“ technischen und organisatorischen Maßnahmen pseudonymisiert oder anonymisiert werden, könnten die DSGVO-Einwände dennoch ins Leere gehen: Diesfalls müsste eben pseudonymisiert oder anonymisiert werden (Erwägungsgrund 7).

Hinweis
Da es – außer bei Datenweitergabeverlangen öffentlicher Stellen (Siehe Punkt 11) – dazu keine explizite Regelung, sondern nur Erwägungsgrund 7 gibt, kann die Auslegung im Einzelfall großen Spielraum eröffnen. Im Zweifel wird der Schutzzweck der DSGVO dem Zweck des Data Acts, Hindernisse bei der Datenweitergabe zu beseitigen, vorgehen. Ausfluss dieses Schutzzweckes ist zum Beispiel das Prinzip der Datensparsamkeit. Das Überwiegen des Schutzzwecks der DSGVO zeigt sich auch darin, dass die Datenschutzbehörde im Rahmen ihrer (unveränderten) Zuständigkeit bei „Verstößen gegen die Pflichten der Kapitel II, III und V“ selbst Strafen verhängen kann (während es derzeit noch keine spezielle Data Act-Behörde gibt, die strafen könnte – Siehe Punkt 2).

Art 5 Abs 3 verbietet Torwächtern (Gatekeepern nach der Definition des Digital Market Act) generell, Daten von Nutzern zu erhalten. Das heißt, Torwächtern (Gatekeepern) gegenüber sind die Daten ohnedies absolut geschützt – ein entsprechendes Datenweitergabeverlangen eines Nutzers wäre daher schon unter bloßen Hinweis auf das Verbot abzulehnen.

Hinweis
Nutzern wäre es nach der Textierung nicht explizit verboten, solche Daten an Torwächter (Gatekeeper) weiterzuleiten. Das Verbot gilt für Torwächter (Gatekeeper), solche Daten von Nutzern anzufordern, für eine Übermittlung Werbung zu machen oder sie tatsächlich anzunehmen. Damit wollte man wohl verhindern, dass eine „versehentliche“ (oder auch absichtliche) Weiterleitung durch Nutzer bei diesen selbst geahndet werden kann. Sanktionen sollen nur die Torwächter (Gatekeeper) treffen, und niemals die Nutzer. Das gilt aber nicht für den Bereich der DSGVO: Das heißt, den Schutz persönlicher Daten hat nach DSGVO auch der Nutzer zu achten, und er muss in diesem Bereich – wie bisher – sehr wohl auch mit Sanktionen rechnen.

9.2 Betriebs-, Geschäfts- und sonstige Geheimnisse von Nutzern

„Der Dateninhaber darf [nicht-personenbezogene] Daten nicht verwenden, um daraus Einblicke in die wirtschaftliche Lage, Vermögenswerte und Produktionsmethoden des Nutzers oder in die Nutzung durch den Nutzer auf jegliche andere Art, die die gewerbliche Position dieses Nutzers auf Märkten, auf denen dieser tätig ist, untergraben könnte, zu erlangen“ (Art 4 Abs 13 2. Satz).

Tipp:
Die Bestimmung erweckt den Eindruck, als ob sie nur für Nutzer, die selbst Unternehmer sind, gilt. Diesfalls bestünde eine Schutzlücke für „private“ Nutzer. Es wird dringend abgeraten, auf eine solche Schutzlücke tatsächlich zu rechnen – zumal Kapitel II (in dem sich Art 4 findet) für alle Daten ausnahmslos gilt (Art 1 Abs 2 lit a). Eindeutige Klarheit wird freilich erst EuGH-Judikatur liefern. 

9.3 Pflichten der Datenempfänger (Dritten) - Konkurrenzklausel

Datenempfängern (Dritten) ist es grundsätzlich verboten, jene Daten, die sie von Nutzern erhalten, an weitere Dritte weiterzugeben, insb. nicht an Torwächter. Sie dürfen mit diesen Daten auch kein Produkt entwickeln, das mit jenem, von dem die Daten stammen, im Wettbewerb steht (Art 6 Abs 2) (Konkurrenzklausel).

Generell darf die Datennutzung durch jene Dritte nur in dem Umfang erfolgen, der vertraglich vereinbart wurde (Art 6 Abs 1).

Achtung

Der Datenempfänger (Dritte) darf sich niemals als „Eigentümer“ der Daten verstehen, mit denen er nach Gutdünken schalten und walten dürfte – auch wenn er für diese bezahlt hat.

10. Verpflichtungen für Datenverarbeitungsdienste zur Beseitigung von Hindernissen beim Anbieterwechsel

Diese Verpflichtungen betreffen Datenverarbeitungsdienste und regeln den Vertragswechsel in ähnlicher Weise wie schon jetzt bei den Mobilfunkern. Die Bestimmungen gelten auch für digitale Vermögenswerte (Kapitel VI).

10.1 Allgemeines

Vertragswechselgebühren werden schrittweise abgeschafft und Knebelklauseln verboten. Es finden sich Bestimmungen zur Interoperabilität und Datenportabilität wie zu Information und Transparenz.

Nutzer sollen ihre Daten und digitalen Vermögenswerte nach einem Wechsel ohne erhebliche Funktionseinschränkungen weiterverwenden können. Anbieter sind verpflichtet, den Wechselprozess so zu gestalten, dass eine möglichst hohe Übereinstimmung der Funktionen zwischen dem bisherigen und dem neuen Dienst gewährleistet wird. Dies zielt auf die Beseitigung organisatorischer, technischer, kommerzieller und vertraglicher Einschränkungen, die einen effektiven Wechsel erschweren können.

Hinweis
Art 31 sieht einzelne Ausnahmen vor für:
kundenspezifische Datenverarbeitungsdienste, das heißt solche, die nicht von der Stange sind und ohne vorherige Anpassung an die Bedürfnisse und das Ökosystem des Nutzers nicht funktionieren würden;
→ Testversionen.

In beiden Fällen ist der Kunde über das Vorliegen der Ausnahme vor Vertragsabschluss aufzuklären.

10.2 Jederzeitige Kündigung - Fristen

Insbesondere muss im Vertrag (in den AGB) die jederzeitige Kündigung eingeräumt werden, wobei die Kündigungsfrist zwei Monate nicht überschreiten darf (Art 25 Abs 2 lit d). Dem Unternehmen wird eingeräumt, im Vertrag (in den AGB) festzulegen, dass nach Ablauf der Kündigungsfrist noch eine Übergangsfrist gilt, die 30 Kalendertagen nicht überschreiten darf (Art 25 Abs 2 lit a).

Achtung

Die Ausnahme nach Art 31 gibt es hier nicht.

Tipp:
Es wird dringend empfohlen, die Fristen im Vertrag (in den AGB) voll auszuschöpfen. Zusammen bringen sie 3 Monate Spielraum. Wird dagegen vergessen, Kündigungsfristen festzulegen, obliegt die Beurteilung der „angemessenen“ Kündigungsfrist den Gerichten im jeweiligen Einzelfall (ist also schwer absehbar). Wird weiters vergessen, Übergangsfristen festzulegen, ist absehbar, dass die Gerichte im Einzelfall davon ausgehen werden, dass es eben keine Übergangsfrist gibt.

11. Datenbereitstellungsverlangen öffentlicher Stellen

„Wenn eine öffentliche Stelle, die Kommission, die Europäische Zentralbank oder eine Einrichtung der Union den Nachweis dafür erbringt, dass im Hinblick auf die Erfüllung ihrer rechtlichen Aufgaben im öffentlichen Interesse die außergewöhnliche Notwendigkeit der Nutzung bestimmter Daten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen betreffenden Metadaten – … besteht, stellen die Dateninhaber, bei denen sich diese Daten befinden und bei denen es sich um andere juristische Personen als öffentliche Stellen handelt, diese Daten auf ordnungsgemäß begründeten Antrag bereit“ (Art 14).

Das Nähere regelt Kapitel V insgesamt.

Art 17 regelt ausführlich, welche Begründungen und Inhalte das Verlangen der öffentlichen Stellen aufweisen müssen, und weiters die Transparenzpflichten derselben.
Betroffene Unternehmen müssen „die Daten unverzüglich bereit[stellen], wobei die erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen berücksichtigt werden.“ (Art 18 Abs 1) Das heißt, die „Unverzüglichkeit“ definiert sich im Einzelfall nach den Umständen der „erforderlichen technischen, organisatorischen und rechtlichen Maßnahmen“.

Hinweis
Bei Konkurrenz mit der DSGVO können diese Maßnahmen sehr komplex werden – und sich entsprechend auf die individuelle „Dauer“ der Unverzüglichkeit auswirken.

12. Mustervertragsklauseln

Im Rahmen der Data Union Strategy legte die Europäische Kommission auch Mustervertragsklauseln vor (derzeit nur englisch).

13. Ausblick

Mit dem Digital Omnibus (Omnibus VII) werden auch Änderungen des Data Acts einher gehen. Die zentralen Elemente des Data Acts werden davon voraussichtlich aber nicht betroffen sein (Punkte 1-8 und 10). Hinsichtlich der Betriebs- und Geschäftsgeheimnisse (Punkt 9) sind klarstellende Neu- und Umformulierungen geplant, aber keine inhaltlichen Änderungen. Ähnliches gilt für Datenbereitstellungsverlangen öffentlicher Stellen (Punkt 11). Das wird anhand der neuen Textvorschläge zu prüfen sein.

Kernstück der Novellierung des Data Act durch den Digital Omnibus (Omnibus VII) wird vielmehr sein, in diesen die Verordnung über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten (EU 2018/1807), die Open Data-Direktive (EU 2019/1024) und den Data Governance Act (DGA) (EU 2022/868) zu integrieren und die genannten Rechtsakte in der Folge aufzuheben. Das heißt, dass alle EU-Datenrechtsakte der vergangenen Jahre dann in einem einzigen Rechtsakt zusammengefasst sein werden: dem Data Act.

Die Bestimmungen der genannten Rechtsakte werden freilich nicht eins zu eins übernommen, sondern es ist mit Aktualisierungen (Novellierungen) zu rechnen. Mit der Überführung der Bestimmungen der Open-Data Direktive in den Data Act, der eine Verordnung ist, werden dieser unmittelbar anwendbar werden.