Data Act - FAQ

Der Data Act soll als Erweiterung zur Datenschutz-Grundverordnung (DSGVO) (Verordnung (EU) 2016/679), die hauptsächlich personenbezogene Daten schützt, nun auch nicht personenbezogene Daten schützen und die freie Datenverfügbarkeit sicherstellen. Durch die Regelungen soll ein fairer Binnenmarkt für Daten geschaffen, Innovation gefördert und Lock-In-Effekte verhindert werden (vgl. Erwägungsgrund (4) ff. Data Act).

Der Data Act trifft Regelungen für Hersteller vernetzter Produkte und Anbieter verbundener Dienste sowie für Datenverarbeitungsdienste.

Der Data Act trat am 11.01.2024 in Kraft und gilt gemäß Art. 50 DA grundsätzlich ab dem 12. September 2025.

Allerdings gibt es einige Ausnahmen:

• Die Pflicht zur Zugänglichmachung von Produktdaten und verbundenen Dienstdaten gemäß Art. 3 Abs. 1 Data Act findet nur auf vernetzte Produkte und verbundene Dienste Anwendung, die nach dem 12. September 2026 in Verkehr gebracht werden.

• Kapitel III gilt nur für unionsrechtliche oder nationale Datenbereitstellungspflichten, die nach dem 12. September 2025 in Kraft treten.

• Die Regelungen für die Wirksamkeit von AGB zwischen Unternehmern nach Kapitel IV gelten erst ab dem 12. September 2027 für Verträge, die nach dem 12. September 2025 geschlossen wurden oder die vor dem 12. September 2025 geschlossen wurden, aber eine unbefristete Laufzeit haben oder deren Laufzeit frühestens am 11. Januar 2034 endet.

• Bis zum 12. Januar 2027 ist es erlaubt, ermäßigte Wechselentgelte für die Durchführung eines Anbieterwechsels zu erheben. Ab dann dürfen nach Art 29 Data Act keine Wechselentgelte mehr angesetzt werden.

Wenn Anbieter von Cloud-Services (Datenvermittlungsdiensten), verbundenen Diensten oder vernetzten Produkten ihre Verträge und Produkte nicht rechtzeitig an den Data Act anpassen, steigt die rechtliche Angreifbarkeit der Anbieter deutlich.

Zwar bestimmt der Data Act selbst keine direkten Strafen, doch werden nationale Behörden ermächtigt, Sanktionen wie z.B. Bußgelder vorzusehen. In Deutschland ist das zwar bisher nicht erfolgt, nach deutschem Recht drohen aber unabhängig davon erhebliche rechtliche Risiken.

Der Data Act enthält zahlreiche Pflichten, etwa zu Datenzugang, Interoperabilität, Transparenz, vorvertraglichen Informationspflichten und Mindestangaben in Kundenverträgen. Werden diese Pflichten nicht eingehalten, drohen zivilrechtliche Ansprüche von Kunden oder Geschäftspartnern. Verstöße gegen Transparenz- oder Informationspflichten können Pflichtverletzungen oder mangelhafte Leistungen darstellen. Unzureichend angepasste oder dem Data Act widersprechende Vertragsklauseln können unwirksam sein. In manchen Fällen kann der gesamte Vertrag betroffen sein. Auch dies kann zu Pflichtverletzungen oder Mängeln in den Produkten führen. Zudem gelten die Regelungen des Data Acts unmittelbar, auch wenn Verträge nicht angepasst werden.

Durch diese Unwirksamkeit drohen wichtige vertraglich vereinbarte Regelungen etwa zu Kündigungsfristen, Laufzeiten, Vergütung oder Haftungsbegrenzungen aber auch produkt- und leistungsgestaltende Regelungen zu entfallen. Entstehende Pflichtverletzungen oder Mängel in den Produkten können zu Schadensersatzforderungen, Minderungen, Rücktritt oder Kündigung durch Kunden führen. Zudem können Ansprüche auf Herausgabe, Nutzung oder Zugang zu Daten folgen.

Zur Durchsetzung des Data Acts haben die Mitgliedstaaten der EU gem. 37 ff. Data Act zuständige nationale Behörden zu benennen. Die Mitgliedsstaaten sollen dazu Durchführungsrechtsakte erlassen. In Deutschland liegt ein solcher Rechtsakt bisher nur im Entwurfsstadium vor (DA-DG-Entwurf). Dieser sieht die Bundesnetzagentur (BNetzA) als zentrale Aufsichtsbehörde für den Data Act vor. In Datenschutz-Angelegenheiten im Anwendungsbereich des Data Acts soll der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) unterstützen.