RI Wiki - Benutzerbeiträge [de]

Data Governance Act (DGA)

2025-11-26T08:41:49Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

=== Digital Omnibus ===
Die Europäische Kommission plant eine weitgehende Anpassung digitaler Rechtsakte mit dem Digital Omnibus, die auch für den DGA und dessen Regelungsgehalt weitreichende Folgen hätte.<ref>European Commission, Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal (abgerufen 20.11.2025).</ref>

Konkret sollen die Bestimmungen des DGA aufgehoben und '''in den [[Data Act (DA)|Data Act]] integriert''' werden.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy (19.11.2025), https://digital-strategy.ec.europa.eu/en/policies/data-union.</ref>

In Bezug auf Datenvermittlungsdienste und Datenaltruistische Organisationen werden im Entwurf folgende Änderungen vorgeschlagen:

* Aus dem obligatorischen Notifizierungsregime für Datenvermittlungsdienste wird ein freiwilliger Registrierungsrahmen.
* Die Pflicht zur rechtlichen Trennung von Datenvermittlungsdiensten und anderen Diensten wird durch eine funktionale Trennung ersetzt.
* Bei Datenaltruismus-Organisationen entfallen ua Berichts- und Transparenzpflichten. Die Regelung, die Bestimmungen des DGA durch ein „Regelwerk“ (Art 22 DGA) mit detaillierten Vorschriften zu ergänzen, wird aufgehoben.
* Statt nationaler Register soll es nur noch ein Unionsregister geben.

In einem neuen Kapitel VIIc sollen die Regeln zur Weiterverwendung geschützter Daten aus dem DGA mit den Vorgaben der Open Data-RL vereint werden. Neu wäre dabei insb, dass öffentliche Stellen höhere Gebühren und besondere Bedingungen für die Weiterverwendung durch sehr große Unternehmen (insb Gatekeeper iSd [[Digital Markets Act (DMA)|Digital Markets Act]]) festlegen können.

Die Regelungen zum Europäischen Dateninnovationsrat (EDIB) werden in den Data Act integriert und die Zusammensetzung um Vertreter*innen der nationalen Politikgestaltung erweitert.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 25.11.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Datenstrategie

2025-11-26T08:38:16Z

Georg.froewis: /* Weiterführende Literatur und Links */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund: Die Europäische Datenstrategie ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer '''Datenstrategie'''<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, [https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained] (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand 2.10.2024).</ref>

Eine zentrale Weiterentwicklung erfährt die Europäische Datenstrategie mit der '''Strategie der Europäischen Datenunion''' (European Data Union Strategy).<ref>Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final; ''Europäische Kommission,'' Strategie der Europäischen Datenunion, https://digital-strategy.ec.europa.eu/de/policies/data-union?utm_source=chatgpt.com (Stand 19 November 2025).</ref> Diese bezweckt hauptsächlich, die '''Verfügbarkeit von Daten für die Entwicklung Künstlicher Intelligenz (KI)''' zu erhöhen. Sie bündelt Maßnahmen in folgenden drei Bereichen:

* zur Ausweitung des Datenzugangs für KI,
* zur Straffung der Datenvorschriften (mit dem Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref>) sowie
* zur Sicherung der europäischen Datensouveränität.

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 25.11.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 25.11.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 25.11.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 16.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume (Data Spaces) ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 27.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 25.11.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final, https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai.
* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 26.11.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 26.11.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 26.11.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 26.11.2025).
* ''Bonfiglio'', Vision and Strategy, https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf (Stand 17.12.2021).
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Datenstrategie

2025-11-26T08:35:24Z

Georg.froewis: /* Weiterführende Literatur und Links */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund: Die Europäische Datenstrategie ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer '''Datenstrategie'''<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, [https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained] (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand 2.10.2024).</ref>

Eine zentrale Weiterentwicklung erfährt die Europäische Datenstrategie mit der '''Strategie der Europäischen Datenunion''' (European Data Union Strategy).<ref>Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final; ''Europäische Kommission,'' Strategie der Europäischen Datenunion, https://digital-strategy.ec.europa.eu/de/policies/data-union?utm_source=chatgpt.com (Stand 19 November 2025).</ref> Diese bezweckt hauptsächlich, die '''Verfügbarkeit von Daten für die Entwicklung Künstlicher Intelligenz (KI)''' zu erhöhen. Sie bündelt Maßnahmen in folgenden drei Bereichen:

* zur Ausweitung des Datenzugangs für KI,
* zur Straffung der Datenvorschriften (mit dem Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref>) sowie
* zur Sicherung der europäischen Datensouveränität.

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 25.11.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 25.11.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 25.11.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 16.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume (Data Spaces) ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 27.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 25.11.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final, https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai.
* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 26.11.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).
* ''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Data Act (DA)

2025-11-26T08:27:41Z

Georg.froewis: /* Einführende Werke */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Data Act (DA)

2025-11-26T08:26:34Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Data Act (DA)

2025-11-25T23:03:51Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 18, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 20,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 14,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, [https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act].</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 25, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich auf S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Eine europäische Datenstrategie, https://digital-strategy.ec.europa.eu/de/policies/strategy-data (Stand 19.11.2025).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 16, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 26.11.2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Data Act (DA)

2025-11-25T22:14:17Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, 12, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 12.9.2025).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 18, V 1.3, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 12.9.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, <nowiki>https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act</nowiki>.</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Data Act (DA)

2025-11-25T22:00:04Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, [[Spezial:Meine Sprache/Data Governance Act (DGA)|VO (EU) 2022/868 (Data Governance Act, DGA) u]]<nowiki/>nd der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy, https://digital-strategy.ec.europa.eu/en/policies/data-union (Stand 19.11.2025).</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.
Inhaltlich sieht der Entwurf insb in folgenden Bereichen Änderungen vor:

* Abgrenzung der Definitionen von „Daten“ und „Dokumenten“,
* Stärkerer Schutz von Geschäftsgeheimnissen bei Datenzugangsbegehren, wenn das Risiko besteht, dass Informationen in ein Drittland mit schwächerem Schutzstandard abfließen,
* B2G-Zugang nur noch bei „öffentlichen Notfällen“,
* Cloud-Switching: Erleichterungen für kleine Midcap-Unternehmen (SMEs)<ref>Siehe die Definition in Z 2 Anhang der Empfehlung (EU) 2025/1099 der Kommission vom 21. Mai 2025 zur Definition kleiner Midcap-Unternehmen.</ref> und „custom-made“-Dienste,
* Das in der FFDR verankerte Verbot von Datenlokalisierungsanforderungen wird in den DA überführt.
* Die Anforderungen an Smart Contracts sollen gestrichen werden. Stattdessen kann die Kommission harmonisierte Standards erlassen.
* Die DGA-Regelungen zum European Data Innovation Board (EDIB) werden in den Data Act integriert und dessen Zusammensetzung erweitert.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, <nowiki>https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act</nowiki>.</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Datenstrategie

2025-11-25T21:39:54Z

Georg.froewis: /* Einzelnachweise */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund: Die Europäische Datenstrategie ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer '''Datenstrategie'''<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, [https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained] (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand 2.10.2024).</ref>

Eine zentrale Weiterentwicklung erfährt die Europäische Datenstrategie mit der '''Strategie der Europäischen Datenunion''' (European Data Union Strategy).<ref>Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final; ''Europäische Kommission,'' Strategie der Europäischen Datenunion, https://digital-strategy.ec.europa.eu/de/policies/data-union?utm_source=chatgpt.com (Stand 19 November 2025).</ref> Diese bezweckt hauptsächlich, die '''Verfügbarkeit von Daten für die Entwicklung Künstlicher Intelligenz (KI)''' zu erhöhen. Sie bündelt Maßnahmen in folgenden drei Bereichen:

* zur Ausweitung des Datenzugangs für KI,
* zur Straffung der Datenvorschriften (mit dem Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref>) sowie
* zur Sicherung der europäischen Datensouveränität.

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 25.11.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 25.11.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 25.11.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 16.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume (Data Spaces) ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 27.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 25.11.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final, https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai.
* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).
* ''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Datenstrategie

2025-11-25T21:34:28Z

Georg.froewis: /* Einzelnachweise */

== Rechtsakte ==
* [[Data Act (DA)]]
* [[Data Governance Act (DGA)]]
* [[Interoperability Act (IA)]]
* [[European Health Data Space (EHDS)]]

== Inhaltsverzeichnis ==
__INHALTSVERZEICHNIS__

== Hintergrund: Die Europäische Datenstrategie ==
[[Datei:Datenstrategie.jpg|mini|Die Säulen der Europäischen Datenstrategie]]"Daten sind die Lebensader der wirtschaftlichen Entwicklung"<ref name=":0">Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 3.</ref> - mit dieser Aussage unterstreicht die Europäische Kommission in ihrer '''Datenstrategie'''<ref name=":0" /> (einem Teil der Digitalstrategie<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Gestaltung der digitalen Zukunft Europas COM(2020) 67 final. Siehe auch die Ausführungen im [[Digitale Dienste und Märkte|Cluster Digitale Dienste und Märkte]].</ref>) die fundamentale Bedeutung von Daten in der modernen Wirtschaft. Die Verfügbarkeit und effiziente Nutzung von Daten bildet dabei das Fundament für die Entwicklung einer wettbewerbsfähigen und innovativen Datenwirtschaft. Das Potenzial von Daten zeigt sich in vielen Bereichen, wie beispielsweise im Gesundheitswesen durch personalisierte Medizin, in der öffentlichen Verwaltung durch eine verbesserte Krisenbewältigung oder in der Wirtschaft durch die Entwicklung neuer Geschäftsmodelle.

Um dieses Potenzial zu erschließen, wurde in der Datenstrategie das zentrale Ziel definiert, einen Binnenmarkt für Daten zu schaffen. Dieser soll eine EU-weite und branchenübergreifende Datenweitergabe ermöglichen, die dem Nutzen von Wirtschaft, Wissenschaft und Verwaltung dient. Kennzeichnend für diesen europäischen Weg ist das Bestreben, eine führende Rolle in der Datenwirtschaft einzunehmen und dabei die europäischen Grundwerte durch strenge Datenschutz-, Sicherheits- und Ethik-Standards kompromisslos zu wahren.<ref>Nur durch die Förderung von Vertrauen, insb durch die Wahrung der Betroffenenrechte, können die gesellschaftlichen und wirtschaftlichen Vorteile der Datenweitergabe voll ausgeschöpft werden, vgl ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 4 ff.</ref> In Umsetzung dieser Vision sollen Datenräume, wie der [[European Health Data Space (EHDS)|Europäische Gesundheitsdatenraum]], geschaffen werden.<ref>Siehe die Auflistung in der Anlage zu COM(2020) 66 final, 30 ff.</ref>

Die Europäische Datenstrategie basiert auf vier Säulen:<ref name=":0" />

# '''Ein sektorübergreifender Governance-Rahmen für Datenzugang und Datennutzung:'''
#* Der Data Governance Act ([[Data Governance Act (DGA)|DGA]]) etabliert ein neues Regelungsregime für die Weiterverwendung öffentlicher und geschützter Daten.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, [https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained] (Stand 11.10.2024).</ref> Eine Schlüsselrolle kommt '''Datenvermittlungsdiensten''' zu.<ref>ErwGr 27 [[Data Governance Act (DGA)|DGA]].</ref>
#* Der [[Data Act (DA)]] komplettiert diesen Rahmen durch Regelungen für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa im Internet der Dinge (IoT) und bei Industriemaschinen.
# '''Infrastrukturelle Voraussetzungen:'''
#* Investitionen in Daten,
#* Stärkung der europäischen Kapazitäten und Infrastrukturen für
#** das Hosting,
#** die Verarbeitung und die Nutzung von Daten, sowie
#** der Interoperabilität.
# '''Kompetenzaufbau:'''
#* Stärkung individueller Handlungskompetenzen im Umgang mit Daten,<ref>Zu diesem Zweck werden zusätzlich zum Recht auf Datenportabilität nach Art 20 DSGVO [[Data Act (DA)#Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten|Zugangsrechte im Data Act]] eingeräumt. </ref>
#* Investitionen in Kompetenzen und allgemeine Datenkompetenz,
#* Gezielter Kapazitätsaufbau für KMU.
# '''Gemeinsame europäische Datenräume in strategischen Sektoren und Bereichen von öffentlichem Interesse:''' Die Strategie sieht die Schaffung sektorspezifischer Datenräume vor, exemplarisch sei hier der Europäische Gesundheitsdatenraum genannt.
Die Prinzipien der Europäischen Datenstrategie finden auch auf nationaler Ebene Resonanz: Österreich hat im Oktober 2024 eine '''eigene Datenstrategie''' veröffentlicht.<ref>''Bundeskanzleramt Österreich'', Digital Austria, https://www.digitalaustria.gv.at/Strategien/Datenstrategie.html (Stand 2.10.2024).</ref>

Eine zentrale Weiterentwicklung erfährt die Europäische Datenstrategie mit der '''Strategie der Europäischen Datenunion''' (European Data Union Strategy).<ref>Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final; ''Europäische Kommission,'' Strategie der Europäischen Datenunion, https://digital-strategy.ec.europa.eu/de/policies/data-union?utm_source=chatgpt.com (Stand 19 November 2025).</ref> Diese bezweckt hauptsächlich, die '''Verfügbarkeit von Daten für die Entwicklung Künstlicher Intelligenz (KI)''' zu erhöhen. Sie bündelt Maßnahmen in folgenden drei Bereichen:

* zur Ausweitung des Datenzugangs für KI,
* zur Straffung der Datenvorschriften (mit dem Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/1679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref>) sowie
* zur Sicherung der europäischen Datensouveränität.

== Das Projekt Gaia-X ==
[https://gaia-x.eu/ Gaia-X], eine von Deutschland und Frankreich begründete europäische Initiative, verfolgt das Ziel, eine '''souveräne digitale Infrastruktur''' für den sicheren und vertrauenswürdigen Datenaustausch zu etablieren. Bei Gaia-X handelt es sich weder um eine Cloud noch um einen Datenraum. Vielmehr konstituiert Gaia-X ein föderiertes System, das auf einer klar definierten technologischen Architektur basiert und durch standardisierte Regeln den rechtssicheren Austausch zwischen Diensteanbietern und Nutzern gewährleistet.<ref>About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 25.11.2025); ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>

Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine '''gemeinsame''' '''vertrauenswürdige Basis''' schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der EU-Datenstrategie bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>

Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>''gaia-x'', Association. https://gaia-x.eu/who-we-are/association/ (abgerufen am 25.11.2025).</ref>. Der [https://www.gaia-x.at/ Gaia-X Hub Österreich] koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>''AIT'', Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 25.11.2025).</ref>

Die folgenden Prinzipien prägen den Ansatz von Gaia-X:<ref>''Bonfiglio'', Vision and Strategy (Stand 16.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>

* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
* '''Innovativ''': Zukunftsweisende Technologien, zB Dezentralisierte Architekturen, Distributed Consensus, Digital Ledgers, Verifiable Credentials und Compute to Data, werden eingesetzt und das Projekt wird laufend fortentwickelt.
* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.

== Datenräume (Data Spaces) ==
Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary2.0, 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023 (Stand 29.9.2023).</ref></blockquote>Datenräume können verschiedenen Akteur*innen Vorteile bieten, darunter:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>

* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.

'''Beispiele''': [[European Health Data Space (EHDS)|EHDS]]; Öffentlicher Beschaffungsdatenraum (PPDS)<ref>''Europäische Kommission'', The Public Procurement Data Space (PPDS), https://single-market-economy.ec.europa.eu/single-market/public-procurement/digital-procurement/public-procurement-data-space-ppds_en (abgerufen am 24.1.2025).</ref>

Gemeinsame europäische Datenräume sollen dafür sorgen, dass Daten den sog '''"FAIR"-Grundsätzen''' entsprechen (EG 2 DGA):
* '''F'''indable (auffindbar),
* '''A'''ccessible (zugänglich),
* '''I'''nteroperable (interoperabel)
* '''R'''eusable (wiederverwendbar)
Der '''Data Act''' definiert klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten. Damit unterstützt er eine rechtssichere und vertrauenswürdige Dateninfrastruktur, die den FAIR-Grundsätzen entspricht und die Nutzung europäischer Datenräume effektiv ermöglicht.

=== Training von KI-Modellen ===
Die Verfügbarkeit von Daten ist wesentlich für die Entwicklung von [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|KI-Modellen]]. Der Datenaustausch über Datenräume bietet große Vorteile:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Stand 5.11.2024).</ref>

* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung des rechtlichen Rahmens, wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.

== Weiterführende Literatur und Links ==

* Communication from the Commission to the European Parliament and the Council, Data Union Strategy - Unlocking Data for AI, 19.11.2025, COM(2025) 835 final, https://digital-strategy.ec.europa.eu/en/library/data-union-strategy-unlocking-data-ai.
* Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0066 (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, <nowiki>https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained</nowiki> (Stand 11.10.2024).
* ''Bundeskanzleramt'', Österreichische Datenstrategie https://www.data.gv.at/wp-content/uploads/2024/10/Datenstrategie_barrierefrei_final-02102024.pdf (Stand Juni 2024).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).
* ''Hoeren/Pinelli'', Data Law (November 2024).
* About Gaia-X, https://gaia-x.eu/about/ (abgerufen am 24.1.2025).
* AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria (abgerufen am 24.1.2025).
* ''Bonfiglio'', Vision and Strategy (Stand 17.12.2021), https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.
* ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective (Oktober 2023) 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.
* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X, in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.

== Einzelnachweise ==

Data Act (DA)

2025-11-25T11:06:05Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
!Ziele
!Kontext
!Inhalt
!Pflichten
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung des Datenbinnenmarktes
|Datenräume; Internet der Dinge
|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
|Daten müssen leichter zugänglich und nutzbar gemacht werden
|
* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
|
* Innovationsdefizite
* Wettbewerbsnachteile
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|-
|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
|Internet der Dinge
|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
|Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
|
* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten
* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
| rowspan="2" |
* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
* Zivilrechtliche Ansprüche
|-
|Vertragsfairness
|B2B-Datennutzung
|Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
|
* Wettbewerbsrecht
* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
|-
|Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
|Ausnahmesituationen von großem öffentlichem Belang
|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
|Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
|
* Mangelnde Effizienz
* Vertrauensverlust in die Verwaltung
* Geldstrafen nach nationalem Recht
|-
|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
|Cloud-Dienste
|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
|
* Lock-in-Effekte
* Hemmung des Wettbewerbs
* Geldstrafen nach nationalem Recht
* Zivilrechtliche Ansprüche
|}

== Einleitung und Hintergrund ==
Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
=== Internet der Dinge ===
Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref> [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]

=== Ziele des DA ===
Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
* '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
* '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
* fehlende Normen für die '''semantische und technische Interoperabilität''',
* Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
* '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.

=== Digital Omnibus ===
Der Kommissions-Entwurf für einen Digital Omnibus<ref>Proposal for a Regulation of the European Parliament and of the Council amending Regulations (EU) 2016/679, (EU) 2018/1724, (EU) 2018/1725, (EU) 2023/2854, (EU) 2024/1689 and Directives 2002/58/EC, (EU) 2022/2555 and (EU) 2022/2557 as regards the simplification of the digital legislative framework, and repealing Regulations (EU) 2018/1807, (EU) 2019/1150, (EU) 2022/868, and Directive (EU) 2019/1024 (Digital Omnibus), COM(2025) 837 final.</ref> sieht substanzielle Änderungen des Data Acts vor, um Regeln zu vereinfachen, Verwaltungskosten für Unternehmen zu senken, Rechtsklarheit zu erhöhen und bestehende, sich überlappende Vorschriftenin einem einzigen konsolidierten Instrument für die europäische Datenwirtschaft zusammenzuführen. Das bedeutet konkret:

* '''Aufhebung und Integration von Akten:''' Die Bestimmungen der VO (EU) 2018/1807 (Free Flow of Non-Personal Data Regulation, FFDR)<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14. November 2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>, VO (EU) 2022/868 (Data Governance Act, DGA) und der RL (EU) 2019/1024 (Open Data Directive, ODD)<ref>Richtlinie (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20. Juni 2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Neufassung), ABl L 2019/172, 56.</ref> werden gestrafft („streamelined“) und in den Data Act integriert.<ref>COM(2025) 837 final, 3; Europäische Kommission, European Data Union Strategy (19.11.2025), https://digital-strategy.ec.europa.eu/en/policies/data-union.</ref>

* '''Erweiterung des Gegenstands des DA (Art 1 DA):''' Der Umfang des DA wird dadurch nach diesem Vorschlag um folgende Themen erweitert:<ref>COM(2025) 837 final, 20.</ref>
** Ein Rahmen für die freiwillige Registrierung von Datenvermittlungsdiensten,
** Ein Rahmen für die freiwillige Registrierung von Organisationen, die Daten für Datenaltruismus-Zwecke sammeln und verarbeiten,
** Ein Rahmen für die Einrichtung eines Europäischen Dateninnovationsausschusses (EDIB),
** Regelungen zu Datenlokalisierungsauflagen (aus der der VO (EU) 2018/1807) und der Verfügbarkeit von Daten für zuständige Behörden,
** Die Weiterverwendung bestimmter Daten und Dokumente öffentlicher Stellen, öffentlicher Unternehmen und Forschungsdaten.

== Anwendungsbereich und Definitionen ==

=== Sachlich ===
Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 2 Rz 11.</ref>

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
{| class="wikitable"
|+
!Kapitel
!Inhalt
!Daten
|-
|II
|Datenweitergabe B2C und B2B
|Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|-
|III
|Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
|-
|IV
|B2B - Missbräuchliche Vertragsklauseln
|Alle '''Daten des Privatsektors''', die auf der Grundlage von '''Verträgen zwischen Unternehmen''' abgerufen und genutzt werden
|-
|V
|Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
|-
|VI
|Wechsel zwischen Datenverarbeitungsdiensten
|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
|-
|VII
|Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
|}
=== Personell ===
{| class="wikitable"
|+
!Person
!Definition relevanter Tatbestandsmerkmale
!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).</ref>
|-
|
==== Hersteller vernetzter Produkte ====
|Ein '''vernetztes Produkt''' ist ein Gegenstand, der
* '''Daten''' über seine Nutzung oder Umgebung generiert und
* der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
* dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Anbieter verbundener Dienste ====
|Ein '''verbundener Dienst''' ist ein digitaler Dienst,
* der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
* der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
|-
|
==== Nutzer ====
|Die natürliche oder juristische Person,
* die ein vernetztes Produkt besitzt,
* der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
* die verbundene Dienste in Anspruch nimmt.
Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).

Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
|Privatperson, die ein Smart Auto least
|-
|
==== Dateninhaber ====
|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
|Hersteller einer vernetzten Industriemaschine
|-
|
==== Datenempfänger ====
|Die natürliche oder juristische Person,
* der vom Dateninhaber Daten bereitgestellt werden,
* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
* '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
|-
|
==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
|Unter '''öffentlicher Stelle''' versteht man

* die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
* Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
|Gemeinden
|-
|
==== Anbieter von Datenverarbeitungsdiensten ====
|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen ortsunabhängigen<ref>Berichtigung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung), ABl L 2025/90691.</ref> und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 6 Rz 10 mwN. </ref>
|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
|-
|
==== Kunde ====
|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
|Ein Unternehmen, das einen Cloud-Dienst nutzt
|-
|
==== Teilnehmer an Datenräumen ====
|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
|Betreiber eines Datenraums ("Data Space")
|-
|
==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
|
|}
[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
{| class="wikitable"
|+
! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
|-
| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
|-
|'''Vernetztes Produkt'''
|Kühlschrank
|-
|'''Verbundener Dienst'''
|App
|-
|'''Dateninhaber'''
|
# B, das Unternehmen, das den Kühlschrank hergestellt hat und
# D, das Unternehmen, das die App anbietet
|-
|'''Nutzer'''
|A, Käuferin und Eigentümerin des Kühlschranks
|}
'''Abgrenzungen'''

* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>

=== Zeitlich ===
Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>

=== Örtlich ===
Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>

== Zentrale Inhalte ==

=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]

[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend.

In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref> Für die Anwendung von Kapitel II DA in der '''Automobilindustrie''' hat die Kommission Richtlinien zur beseren Orientierung für Erstausrüster (OEMs), Zulieferer, Aftermarket-Dienstleister und Versicherungen herausgegeben.<ref>Communication from the Commission, Guidance on vehicle data, accompanying Regulation 2023/2854 (Data Act), 12.9.2025, C(2025) 6119 final, <nowiki>https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act</nowiki>.</ref> Darin werden die relevantesten Verpflichtungen des DA in Bezug auf Fahrzeugdaten erläutert.

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====

===== Direkter Zugang: Datenzugang "by design" =====
[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>

'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
===== Indirekter Zugang: Zugang auf Verlangen =====
Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
* Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],

* einer Person, die im Namen eines Nutzers handelt.
===== Datenkategorien =====
Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.

* '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>

===== Verhältnis zwischen direktem und indirektem Zugang =====
Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

===== Art der Zugangsgewährung =====
Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

* gegenüber dem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] unentgeltlich,
** vom Dritten kann hingegen ein [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|Entgelt]] verlangt werden,
* einfach,
* sicher,
* in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.
Beim [[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|indirekten Zugang]] ist dem Verlangen weiters auf folgende Weise nachzukommen:

* unverzüglich,
* soweit technisch durchführbar auf elektronischem Weg,
* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

===== Sicherheitsanforderungen =====
Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 91 mwN.</ref>

===== Schutz von Geschäftsgeheimnissen =====

====== Definition ======
<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>

* Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
* sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
</blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 97.</ref>

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber müssen jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (Art 4 Abs 6; ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Abs 12, Art 5 Abs 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.

'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 86.</ref>

===== Rollenverteilung nach der DSGVO =====
Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>

====== Exkurs: Rollendefinitionen nach der DSGVO ======
{| class="wikitable"
|+
!Bestimmung
!Rolle
!Definition
!Erklärung
|-
|Art 4 Z 1 DSGVO
|Betroffene Person
|Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.
|Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
|-
|Art 4 Z 7 DSGVO
|Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
|-
|Art 4 Z 7 DSGVO
|Gemeinsam Verantwortlicher
|Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
|}

'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
{| class="wikitable"
!Rechtsakt
!E-Scooter-Fahrerin
!E-Scooter-Sharing-Unternehmen
!Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
!Hersteller der E-Scooter
|-
|'''DA'''
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|[[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]
|Datenempfänger
|[[Data Act (DA)#Dateninhaber|Dateninhaber]]
|-
|'''DSGVO'''
|Betroffener
| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
|Verantwortlicher
|}

====== Pflichten gemeinsam Verantwortlicher ======
Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:

* wer welche Verpflichtung nach der DSGVO erfüllt,
** insb was die Wahrnehmung der Betroffenenrechte angeht, und
** wer welchen Informationspflichten nachkommt,
* die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

* eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

==== Datenverwendungsrechte und Nutzungsbeschränkungen ====

====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Dies ist wertungsmäßig interessant, da somit [[Data Act (DA)#Sachlich|Daten nach dem DA]] (was nicht personenbezogene Daten einschließt) nur aufgrund eines Vertrags verwendet werden dürfen (Art 4 Abs 13 DA) und somit strenger behandelt werden als personenbezogene Daten nach der DSGVO, die auch eine Interessenabwägung zulässt.

Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

====== Datenempfänger ======
Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

* '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
* '''Weitergabe von Daten an andere Dritte''':
** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
* '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
* '''fair'''
** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
* '''angemessen'''
** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 4 Rz 144.</ref>
* '''nichtdiskriminierend'''
** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
* '''transparent'''
'''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>

'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
{| class="wikitable"
|+
!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 13 ff.</ref>
!Allgemeines
!Vertragsklausel
|-
|Generalklausel
|
|
* Grobe Abweichung von der guten Geschäftspraxis
* Verstoß gegen das Gebot von Treu und Glauben
|-
|Schwarze Klauseln (Blacklist)
|Keine Wertungsmöglichkeit
|
*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
|-
|Graue Klauseln (Greylist)
|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
|
* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens

* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
* Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
|}

'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 5 Rz 9.</ref>

Die Pflichten zur '''Vertragsgestaltung''' gelten für Neuverträge seit dem 12.9.2025, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet abgeschlossen wurden oder zumindest bis 11.1.2034 laufen.

=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI) ===
[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>

'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 18 ff.</ref>

* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 28 ff.</ref>

'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für

* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>

* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>

In diesen Fällen sind jedoch Informationspflichten zu beachten.

'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 3 ff.</ref>
{| class="wikitable"
|+
!Option
!Szenario
|-
|Option 1
|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
|-
|Option 2
|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
|-
|Option 3
|Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel
|}
Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 6 Rz 51.</ref>

==== Konkrete Pflichten der Anbieter ====
* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf den Wechselsind in einem schriftlichen Vertrag festzulegen.<ref>Siehe zur Frage nach der Anwendung dieser Vorschriften auf Altverträge ''Zikesch/Sörup,'' Bestandsvertrag trifft Data Act, MMR 2025, 487.</ref> Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission gibt mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' ("SCCs") Anhaltspunkte für eine faire, angemessene und nichtdiskriminierende Vertragsgestaltung.<ref>Ein entsprechender Bericht der Expert*innengruppe liegt vor, wurde aber noch nicht offiziell von der Kommission angenommen'': European Commission (EC)'', Final Report of the Expert Group on B2B data sharing and cloud computing contracts, 02.04.2025. Die SCCs befinden sich S 120 ff. Beispielhafte Formulierungen bietet auch ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act2 § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
==== Internationaler Datentransfer ====
Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und
Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|staatlich
|}
Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.

=== Interoperabilität (Kapitel VIII) ===
In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>

===== Definition =====
<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 4.</ref>

==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:

* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.

'''Weitere Anforderungen in delegierten Rechtsakten'''

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====

===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 7 Rz 9.</ref>
* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR50 Art 35 DA Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:

* die Transportinteroperabilität;
* die Datenübertragbarkeit;
* die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

===== Definition =====
<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR49 DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 12 f.</ref>

===== Wesentliche Anforderungen =====
{| class="wikitable"
|+
!Anforderung
!Erklärung
|-
|'''Robustheit und Zugangskontrolle'''
|Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
|-
|'''Sichere Beendigung und Unterbrechung'''
|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
|-
|'''Datenarchivierung und Datenkontinuität'''
|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
|-
|'''Kohärenz'''
|Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
|}
Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

===== Konformitätsbewertung und -vermutung =====
Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR49 Art 36 DA Rz 39.</ref>

== Fallbeispiele ==
'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''

* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
'''Entwicklung von KI-Technologien:'''

'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
</ref>

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

== Synergien ==

=== Daten Governance ===
DA und [[Data Governance Act (DGA)|DGA]] ergänzen einander. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>

=== Sektorspezifische Datenräume ===
Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>

=== Datenschutz ===

==== Vorrangregelung ====
[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>, der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 19.</ref>

==== Rechtsgrundlage für die Datenverarbeitung ====
Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>

==== Einhaltung datenschutzrechtlicher Grundsätze ====
Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>

==== Datenportabilität ====
Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>

Überblick über die Rechte im Vergleich:
{| class="wikitable"
|+
!
!Datenzugangsrecht nach dem DA
!Recht auf Datenportabilität nach der DSGVO
|-
|'''Zweck'''
| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
|-
|'''Berechtigte'''
|(geschäftliche und private) Nutzer
|betroffene (natürliche) Personen
|-
|'''Empfänger'''
|Nutzer oder Dritter (Datenempfänger)
|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
|-
|'''Art der Daten'''
|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
|-
|'''Weitere Voraussetzungen'''
|
|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
|-
|'''Format'''
|
* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
* Übermittlung der Metadaten;
* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
|
* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
|}

==== Internationaler Datentransfer ====
DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 1.</ref>

=== Schutz von Geschäftsgeheimnissen ===
Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 3 Rz 20.</ref>

=== Datenbankherstellerrecht ===
Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>

=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>

== Durchsetzung ==

=== Zuständige Behörde ===
Die Zuständigkeit richtet sich nach nationalem Recht. In Österreich wurde bislang kein Begleitgesetz erlassen, in welchem Sanktionen und Behördenzuständigkeit geregelt werden.

Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

=== Rechtsdurchsetzung und Sanktionen ===

==== Beschwerderecht ====
Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei [[Data Act (DA)#Zuständige Behörde|der zuständigen Behörde]] einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

==== Streitbeilegungsstelle ====
Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.

==== Zivilgerichtliche Rechtsdurchsetzung ====
Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 41 ff.

</ref>

==== Sanktionen ====
Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

* Art, Schwere, Umfang und Dauer des Verstoßes;
* getroffene Maßnahmen zur Schadenbehebung und -minderung;
* frühere Verstöße;
* die finanziellen Vorteile, die durch den Verstoß erzielt hat;
* sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
* der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Nach Art 40 Abs 4 DA kann die '''Datenschutzbehörde''' innerhalb ihres Zuständigkeitsbereichs bei Verstößen gegen die Kapitel des DA zu Datenzugangsansprüchen, Datenbereitstellungspflichten und -bedingungen '''Geldbußen im Strafrahmen der DSGVO''' verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 9 Rz 4.</ref>

=== EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

=== Musterbedingungen und Mustervertragsklauseln der Kommission ===
Die Kommission hat gem Art 41 DA unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung – einschließlich Bedingungen für eine angemessene Gegenleistung und den Schutz von Geschäftsgeheimnissen sowie nicht verbindliche Standardvertragsklauseln für Verträge über Cloud-Computing bereitzustellen. Im November 2025 nahm die Kommission den entsprechenden Entwurf der eingesetzten Expert*innen-Arbeitsgruppe<ref>Expert Group on B2B data sharing and cloud computing contracts, Final Report of the Expert Group on B2B data sharing and cloud computing contracts vom 2.4.2025, https://ec.europa.eu/transparency/expert-groups-register/core/api/front/document/116180/download.</ref> an.<ref>Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final.</ref>

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act2 § 3 Rz 22.</ref>

== Weiterführende Literatur ==

=== Einführende Werke ===

* ''Hoeren/Pinelli'', Data Law (2025, iE).
* ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
* ''Knyrim'', DA - Data Act (2025).
* ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare und Sammelbände ===

* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
* ''Paschke/Schumacher'', EU Data Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (1.8.2024).

=== Weiterführende Links ===

* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.3, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act (Stand 12.09.2025).
* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 1.10.2025).
* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 12.9.2025).
* ''RTR'', Der Data Act, https://www.rtr.at/TKP/was_wir_tun/telekommunikation/weitere-regulierungsthemen/data-act/der-data-act.de.html (Stand 25.11.2025).
* ''Bundesnetzagentur'' (DE), Data Act - die Europäische Datenverordnung, https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/start.html<nowiki/>(abgerufen am 21.11.2025).
* ''Bitkom,'' Umsetzungsleitfaden, https://www.bitkom.org/sites/main/files/2025-09/bitkom-leitfaden-umsetzung-data-act.pdf<nowiki/>(abgerufen am 21.11.2025).

=== Leitdokumente der Europäischen Kommission ===

* '''Mustervertragsbedingungen für Datenzugriff und -nutzung:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Standardvertragsklauseln für Cloud-Computing-Verträge:''' Communication to the Commission, Approval of the draft Commission Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts (with Annexes), annexed hereto, 19.11.2025, C(2025) 7750 final, https://digital-strategy.ec.europa.eu/en/library/draft-recommendation-non-binding-model-contractual-terms-data-access-and-use-and-non-binding
* '''Leitfaden zu Fahrzeugdaten''': https://digital-strategy.ec.europa.eu/de/library/guidance-vehicle-data-accompanying-data-act (Stand 12.9.2025)
* '''Data Act Legal Helpdesk''': derzeit im Aufbau (Stand November 2025)

== Nachweise ==

Data Governance Act (DGA)

2025-11-25T10:53:55Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

=== Digital Omnibus ===
Die Europäische Kommission plant eine weitgehende Anpassung digitaler Rechtsakte mit dem Digital Omnibus, die auch für den DGA und dessen Regelungsgehalt weitreichende Folgen hätte, allerdings bleibt die weitere Entwicklung abzuwarten.<ref>European Commission, Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal (abgerufen 20.11.2025).</ref>

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 25.11.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Artificial Intelligence Act (AIA)

2025-11-20T12:56:13Z

Georg.froewis: /* Einzelnachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1689|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828|Kurztitel=Verordnung über Künstliche Intelligenz|Bezeichnung=AI Act (AIA)/KI-VO|Rechtsmaterie=Binnenmarkt, Künstliche Intelligenz|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1689, 1|Anzuwenden=2. Februar 2025 (schrittweise)|Gültig=anwendbar}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergien
!Konsequenzen
|-
|Förderung von Innnovation und Vertrauen
|Anbieter (häufig Entwickler) bei in Verkehr bringen/in Betrieb nehmen von KI-Systemen
|risikobasierter Ansatz
|direkte Verknüpfung mit der RL über außervertragliche
Haftung (AILD, von der Kommission zurückgezogen)
|Geldbußen von bis zu 35 000 000 Euro/7% des gesamten weltweiten Jahresumsatzes (Verstoß gegen verbotene Praktiken)
|-
|Wahrung der Grundrechte und Sicherheit von EU-Bürger*innen
|GPAI-Modelle (general purpose AI)
|Verbote von besonders riskanten Praktiken (zB social scoring, manipulative Systeme)
|einige Querbezüge zur DSGVO (zB Verarbeitung zur Vermeidung von Verzerrungen, Art 10), regulatory sandboxes
|Geldbußen von bis zu 15 000 000 Euro/3 % des gesamten weltweiten Jahresumsatzes (zB Anbieter- und Betreiberpflichten, Verstöße gegen Pflichten von Anbietern von GPAI-Modellen)
|-
|Förderung des Binnenmarktes
|Ausnahmen: militärische Zwecke; Systeme unter open-source-Lizenz (eingeschränkt); reine Forschungszwecke
Inkrafttreten am 1. August 2024; Geltung ab 2. August 2026;

einige Aspekte (verbotene Systeme) gelten seit 2. Februar 2025
|strenge Regulierung von Hochrisiko-
KI-Systemen (zB Risikomanagement,
Datenqualität, Dokumentation, Transparenz,
menschliche Aufsicht)
|Integrierung/Kombination von Anforderungen stellenweise möglich (zB Riskomanagementsysteme)
|Geldbußen von bis zu 7 500 000 Euro/1% des gesamten weltweiten Jahresumsatzes (Bereitstellung von falschen, unvollständigen oder irreführenden Informationen)
|-
|Gewährleistung von Transparenz und Verantwortlichkeit
|Pflichten für Betreiber (professionelle Nutzer*innen) und Anbieter
|Transparenzpflichten für gewisse KI-Systeme (zB Chatbots, Deepfakes)
|Informationspflichten nach der DSGVO
|Geldbußen von bis zu 15 000 000 Euro/3% des gesamten weltweiten Jahresumsatzes
|}

== Einführung ==
[[Datei:AI Act Risikopyramide Neu.png|mini|354x354px|Risikopyramide des AI Act; ''Europäische Kommission'', https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.]]
Der AI Act stellt die erste EU-weite, sektorübergreifende Regulierung von Künstlicher Intelligenz (KI) dar undfolgt dabei primär einem produktsicherheitsrechtlichem Ansatz, dessen vorrangiges Regulierungsziel die Sicherheit von KI-Systemen und Modellen ist. Damit ist er Teil des sog [https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en?prefLang=de "New Legislative Framework"] (NLF), einem unionsrechtlichen Maßnahmenpaket zur Produktregulierung, das auf die Verbesserung der Marktüberwachung abzielt und sich durch einheitliche Kernelemente auszeichnet (zB Konformitätsbewertungsverfahren, Selbstregulierung, Standards und einheitliche Anforderungen). Im Rahmen des Gesetzgebungsprozesses wurde der Rechtsakt - insbesondere auf Bestreben des Europäischen Parlaments - um menschenrechtliche Aspekte und Betroffenenrechte erweitert, weshalb der AI Act mittlerweile deutlich über reines Produktsicherheitsrecht hinausgeht.

Der AI Act verfolgt dabei kontrastierende Ziele: So soll das '''Funktionieren des Binnenmarktes''' durch einen einheitlichen Rechtsrahmen verbessert, '''menschenzentrierte und vertrauenswürdige KI''' gefördert und gleichzeitig ein hohes '''Schutzniveau''' in Bezug auf Gesundheit, Sicherheit und der Grundrechte sichergestellt, der '''Schutz vor schädlichen Auswirkungen''' von KI-Systemen gewährleistet und gleichzeitig die '''Innovation''' unterstützt werden (ErwGr 1 AI Act).

Kernstück des AI Act ist ein '''risikobasierter Ansatz''', der KI-Systeme nach dem mit ihnen verbundenen Risiko in vier Klassen einteilt und KI-Systeme mit inakzeptablem Risiko verbietet, Hochrisiko-KI-Systeme stark reguliert, für gewisse Systeme lediglich Transparenzpflichten vorsieht und Systeme mit minimalem Risiko unberührt lässt.

Durch die Prominenz von ChatGPT wurden spät im Gesetzgebungsprozess auch noch spezielle Bestimmungen in Bezug auf sog '''general purpose AI (GPAI) Modelle''' bzw KI-Modelle mit allgemeinem Verwendungszweck eingefügt.<ref>MwN zu diesen Entwicklungen ''Hacker/Engel/Mauer'', Regulating ChatGPT and other Large Generative AI Models, in ACM (Hrsg), FAccT '23: Proceedings of the 2023 ACM Conference on Fairness, Accountability, and Transparency (2023) 1112, https://doi.org/10.1145/3593013.359406; ''Steindl'', Legistisch innovativ und technologisch auf neuerem Stand: Das EU-Parlament und die Verhandlungen zum AI Act, RdW 2023, 1.</ref>

== Anwendungsbereich ==

=== Sachlicher Anwendungsbereich ===

==== KI-Systeme ====
Zentraler Anknüpfungspunkt für die Anwendbarkeit des AI Act ist dabei das Vorliegen eines "KI-Systems".<ref name=":0">Differenziert zum Begriff "KI-System" ''Wendehorst/Nessler/Aufreiter/Aichinger'', Der Begriff des "KI-Systems" unter der neuen KI-VO, MMR 2024, 605.</ref> Dabei handelt es sich um "ein '''maschinengestütztes''' System, das für einen in '''unterschiedlichem Grade autonomen Betrieb''' ausgelegt ist und das nach seiner Betriebsaufnahme '''anpassungsfähig sein kann''' und das aus den erhaltenen '''Eingaben''' für '''explizite oder implizite Ziele''' '''ableitet''', wie '''Ausgaben''' wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die '''physische oder virtuelle Umgebungen beeinflussen können'''."<ref>Siehe Art 3 Z 1 AI Act. Hervorhebungen nicht im Original. </ref>

Das wichtigsten Abgrenzungsmerkmal der breit gehaltenen Definition ist die Fähigkeit, '''abzuleiten'''. Diese Fähigkeit kann sich auf den Prozess der Erzeugung von Ausgaben sowie auf die Fähigkeit, Modelle oder Algorithmen oder beides aus Eingaben oder Daten abzuleiten, beziehen. Der Begriff umfasst damit sowohl Machine-Learning- als auch (ältere) logik- und wissensgestützte Ansätze.

Hingegen soll sich nach ErwGr 12 der Begriff "KI-System" "nicht auf Systeme beziehen, die auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen [...]", womit auf eine Abgrenzung von KI von herkömmlichen Softwarelösungen und Programmierungsansätzen abgezielt wird.

Zusammenfassend möchte der EU-Gesetzgeber mit dieser Definition einerseits Rechtssicherheit schaffen, allerdings immer noch Raum für technologischen Fortschritt lassen, um den Anwendungsbereich des AI Act nicht von Vornherein vor potenziellen künftigen technologischen Entwicklungen zu verschließen. Dennoch wurde die Definition als zu vage und unbestimmt empfunden. So wurden diverse Unklarheiten bemängelt, zB ob hybride (neurosymbolische) Systeme unter den Begriff fallen.<ref>''EDPS'', EDPS comments to the AI Office’s consultation on the application of the definition of an AI system and the prohibited AI practices established in the AI Act launched by the European AI Office (2024) 3, https://www.edps.europa.eu/data-protection/our-work/publications/formal-comments/2024-12-19-edps-ai-offices-consultation-application-definition-ai-system-and-prohibited-ai-practices-established-ai-act-launched-european-ai_en.</ref> Um den Begriff des KI-Systems also zu konkretisieren und Unsicherheiten zu beseitigen, sollte die Kommission gemäß Art 96 Abs 1 lit f AI Act Leitlinien vorlegen, und damit eine einheitliche Anwendung des Regelwerks fördern sowie Rechtsicherheit gewährleisten.<ref>Dafür wurde ein Konsultationsprozess durchgeführt, vgl ''European Commission'', Commission launches consultation on AI Act prohibitions and AI system definition, https://digital-strategy.ec.europa.eu/en/news/commission-launches-consultation-ai-act-prohibitions-and-ai-system-definition (Stand 13. 11. 2024).</ref> Die entsprechenden (unverbindlichen) '''Leitlinien''' der Kommission wurden am 6. Februar 2025 veröffentlicht und stellen bspw klar, welche Systeme nicht in den Anwendungsbereich fallen (zB etablierte lineare Modelle, einfache Datenverarbeitungssysteme, auf klassische Heuristik gestützte Systeme, einfache Vorhersagesysteme etc.).<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on the defintion of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act), C(2025) 924 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application.</ref> Eine Positiv-Liste, welche Systeme jedenfalls unter den KI-Begriff fallen, enthalten die Leitlinien allerdings nicht. Sie orientieren sich vielmehr an den 7 Kernelementen der KI-Definition gemäß Art 3 Z 1 AI Act. Es wird überdies betont, dass nicht alle Elemente kontinuierlich in den beiden Hauptphasen des Lebenszyklus von KI ("building phase" / "pre-deployment" oder "use phase" / "post-deployment") vorhanden sein müssen und, dass sich die Leitlinien kontinuierlich weiterentwickeln sollen.

Folgende Konkretisierungen der KI-Definition und Beispiele sind den Leitlinien zu entnehmen:
{| class="wikitable"
|+
!Elemente der KI-Definition
!Erläuterungen in den Leitlinien der EU-Kommission
!Beispiele
|-
|Maschinengestütztes System
|KI benötigt Hardware- und Softwarekomponenten
|zB eine Hardwareinfrastruktur wie processing units, Speicher, Input/Output-Schnittstellen und Software (Code, Programme etc.)
|-
|autonomer Betrieb (in unterschiedlichem Grade)
|Erfordert einen gewissen Grad an Unabhängigkeit von menschlichem Eingreifen, wobei Systeme, die vollständig manuelle menschliche Interaktion erfordern, nicht darunter fallen.
|Umfasst sind Systeme, die zwar einen manuellen Input erfordern, aber von selbst einen Output generieren (zB Chatbots)
|-
|Anpassungsfähigkeit nach Betriebsaufnahme (optional)
|Selbstlernfähigkeiten (nicht zwingend erforderlich); darunter versteht man, ob sich das Verhalten des Systems während seiner Verwendung anpassen oder verändern kann (zB automatisches Lernen, wie Muster oder Beziehungen zwischen Daten erkannt werden können).
|
|-
|Ableitungsfähigkeit
|Inferenz, Schlüsseleigenschaft; dient der Abgrenzung von KI-Systemen von einfacheren herkömmlichen Softwaresystemen und Programmierungsansätzen. Nicht umfasst sind hingegen Systeme, die nur von Menschen programmierten Regeln folgen und automatisiert Operationen ausführen. Die Ableitungsfähigkeit bedeutet daher die Erlernung allgemeiner Konzepte statt fester, vorprogrammierter Regeln.
|Bsp: maschinelles Lernen, logik- und wissensgestützte Systeme (Schlussfolgerungen mittels Deduktion oder Induktion)
|-
|Ableitung aus Eingaben für implizite oder explizite Ziele
|Ableitungen müssen nach entweder:

* expliziten Zielen (klar definierte, direkt in den Code programmierte Ziele, Optimierung von Kostenfunktionen, Wahrscheinlichkeitsberechnung) oder
* impliziten Zielen (Ableitung des Ziels aus dem Verhalten oder den dahinterstehenden Annahmen des Systems; bspw Trainingsdaten oder Interaktion des Systems mit Umwelt) erfolgen.
|
|-
|Erzeugung von Ausgaben
|Ausgabe-Arten umfassen unter anderem

* Vorhersagen (Schätzungen unbekannter Werte basierend auf komplexen Datenmustern)
* Inhalte (Texte, Bilder, Videos oder Musik)
* Empfehlungen (Vorschläge für Maßnahmen, Produkte oder Dienstleistungen, die hochgradig personalisiert sind und Massendaten nutzen).
* Entscheidungen (Vollautomatisierte Schlussfolgerungen oder Auswahlentscheidungen, die Prozesse automatisieren, die üblicherweise menschlichem Urteilsvermögen vorbehalten sind)
|zB die generierten Inhalte von Chatbots, Produktvorschläge, Echtzeit-Vorhersagen, Auswahlentscheidungen
|-
|Beeinflussung physischer oder virtueller Umgebungen
|Frage, ob das System einen aktiven Einfluss auf die Umgebungen hat, in denen es eingesetzt wird, sei es auf materielle physische Objekte oder auf digitale Räume
|zB Roboterarm, Software-Ökosysteme, Datenströme
|}

==== GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck ====
'''General Purpose AI Modelle''' (auf Deutsch "Modelle mit allgemeinem Verwendungszweck"<ref>Art 3 Z 63 KI-VO definiert ein solches Modell als "ein KI-Modell — einschließlich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird —, das eine '''erhebliche allgemeine Verwendbarkeit aufweist''' und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein '''breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen''', und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann."</ref>) zeichnen sich durch ihre erhebliche allgemeine Verwendbarkeit und der Fähigkeit, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, aus. Der Begriff "Modell" darf dabei, da Modelle gesondert reguliert werden, nicht mit dem Begriff eines KI-Systems verwechselt werden. Denn damit "KI-Modelle zu KI-Systemen werden, ist die Hinzufügung weiterer Komponenten, zum Beispiel einer Nutzerschnittstelle, erforderlich" (ErwGr 97 AI Act). Man kann hier den Vergleich zu einem KFZ ziehen, wobei das KI-Modell den Motor darstellt, der die eigentliche "Arbeit" leistet. Um jedoch fahrtüchtig zu sein, bedarf es nicht nur eines Motors, sondern das Fahrzeug benötigt darüber hinaus ein Getriebe, eine Karosserie, Räder, Tank etc. Das wiederum bezeichnet das KI-System, welches das Modell erst durch seine Schnittstellen, seine Benutzeroberfläche etc. "fahrtüchtig" und damit nutzbar macht. Ein KI-System bzw GPAI-System,<ref>Art 3 Z 66 KI-VO: "'KI-System mit allgemeinem Verwendungszweck' ein KI-System, das auf einem '''KI-Modell mit allgemeinem Verwendungszweck beruht''' und in der Lage ist, einer Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen." (Hervorhebungen nicht im Original)</ref> das auf einem GPAI-Modell beruht, muss dabei wiederum nach dem risikobasierten Ansatz des AI Act eingestuft werden.

=== Personeller Anwendungsbereich ===
[[Datei:KI-Servicestelle bei der RTR, AI Act Akteure.svg|links|mini|390x390px|Überblick über die Interaktion der einzelnen Akteure im AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html. ]]

In Bezug auf die Akteure ist primär zwischen Anbietern und Betreibern zu unterscheiden.

'''Anbieter''' ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt (Art 3 Z 3 AI Act).

'''Betreiber''' (in früheren Fassungen "Nutzer") ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet (Art 3 Z 4 AI Act).

Daneben existieren auch weniger relevante Akteure wie Einführer, Händler und Bevollmächtigte.

=== (Geographischer) Anwendungsbereich (Art 2 AI Act) ===
Der (geographische) Anwendungsbereich des AI Act (Art 2) umfasst dabei primär:<ref>Sekundär werden noch weitere Beteiligte von geringerer Relevanz erfasst:

Einführer und Händler von KI-Systemen; Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen; Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind; betroffene Personen, die sich in der Union befinden.</ref>

* Anbieter, die in der Union KI-Systeme in Verkehr bringen<ref>Art 3 Z 9 KI-VO: "'Inverkehrbringen' die erstmalige Bereitstellung eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck auf dem Unionsmarkt".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder in Betrieb nehmen<ref>Art 3 Z 11 KI-VO: "'Inbetriebnahme' die Bereitstellung eines KI-Systems in der Union zum Erstgebrauch direkt an den Betreiber oder zum Eigengebrauch entsprechend seiner Zweckbestimmung".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind
* Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden
* Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die vom KI-System hervorgebrachte Ausgabe in der Union verwendet wird

=== Ausnahmen (Art 2 Abs 2 ff AI Act) ===
Art 2 Abs 2 ff AI Act enthält eine Reihe von Ausnahmen vom Anwendungsbereich, wobei hier die wichtigsten vorgestellt werden sollen:

* Bereiche, die '''nicht unter das Unionsrecht fallen''' (zB nationale Sicherheit): KI-Systeme (ausschließlich) für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit
* KI-Systeme/KI-Modelle, die eigens für den '''alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung''' entwickelt und in Betrieb genommen werden.
* '''Forschungs-, Test- und Entwicklungstätigkeiten''' zu KI-Systemen/KI-Modellen, '''bevor''' diese in Verkehr gebracht oder in Betrieb genommen werden.<ref>Dabei ist zu beachten, dass Tests unter Realbedingungen nicht unter diesen Ausschluss fallen.</ref>
* Der AI Act gilt für Betreiber, die natürliche Personen sind und KI-Systeme im Rahmen einer '''ausschließlich persönlichen und nicht beruflichen Tätigkeit''' verwenden ("Haushaltsausnahme")
*
{| class="wikitable"
|+
!Hinweis zur Sonderregelung von älterem Produktsicherheitsrecht (zB Mobilität)
|-
|Produkte, die unter Produktsicherheitsvorschriften mit dem älteren Ansatz (old approach) fallen und in Anhang I Abschnitt B gelistet werden (zB Luftfahrt und Mobilität), unterliegen nur eingeschränkt dem AI Act (Art 2 Abs 2 AI Act). Sie sind zwar nicht vollständig vom Anwendungsbereich ausgenommen, für sie gelten jedoch nur wenige Bestimmungen (Art 6 Abs 1, Art 102-109, Art 112 und Art 57 AI Act zu Reallaboren).
In der Praxis werden die Anforderungen des AI Act dabei "indirekt" im Wege der delegierten Gesetzgebung/von Durchführungsrechtsakten dieser Produktsicherheitsrechtsakte zur Anwendung kommen.

Die Trennung von Anhang I in Abschnitt A, der direkt dem AI Act unterfällt, und Abschnitt B, für den diese Wirkung indirekt erzielt wird, sollte somit in der Praxis beachtet werden.
|}
*

=== Zeitlicher Anwendungsbereich (Art 113 AI Act) ===
Der AI Act trat am '''1. August 2024''' in Kraft und wird generell am '''2. August 2026''' anwendbar (Art 113 AI Act). Gestaffelt erlangen einige Bestimmungen jedoch bereits vorab oder danach Geltung:<ref>''Future of Privacy Forum (FPF)'', EU AI Act. A Comprehensive Implementation & Compliance Timeline, https://fpf.org/wp-content/uploads/2024/07/FPF_EU_AI_Act_Timeline_July_24.pdf. </ref>

* allgemeine Bestimmungen (inklusive KI-Kompetenz) und verbotene Praktiken ab '''2. Februar 2025'''
* Bestimmungen über Notifizierende Behörden und notifizierte Stellen; GPAI-Modelle, Governance, Sanktionen, Vertraulichkeit ab '''2. August 2025'''
* Artikel 6 Absatz 1 (eingebettete Hochrisiko-KI-Systeme) und die entsprechenden Pflichten ab dem '''2. August 2027'''
[[Datei:KI-Servicestelle bei der RTR, AI Act Zeitlicher Rahmen.svg|mini|394x394px|Überblick über den abgestuften zeitlichen Geltungsbereich des AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/Zeitplan.de.html.|zentriert]]

Art 111 Abs 2 AI Act enthält dabei jedoch eine sog „grandfathering“ Klausel, nach welcher der AI Act für Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, nur dann gilt, wenn diese Systeme danach in ihrer Konzeption erheblich verändert wurden.<ref>''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 23, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref>

== Zentrale Inhalte ==

=== KI-Kompetenz/AI literacy (Art 4 AI Act) ===
Als allgemeine Bestimmung für alle KI-Systeme fordert Art 4 AI Act, dass die Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an "KI-Kompetenz" verfügen. Dabei sind ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen.

Die Verpflichtung zur Maßnahmenergreifung gilt für Betreiber und Anbieter gleichermaßen und ist ferner unabhängig von der Risikoklasse der infragestehenden KI-Anwendung.

Unter KI-Kompetenz versteht man grundsätzlich "die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden."<ref>Vgl die Definition in Art 3 Z 56 AI Act.</ref> Dies umfasst die notwendigen Kompetenzen, um fundierte Entscheidungen über KI-Systeme zu treffen, technische Elemente zu verstehen sowie korrekt anzuwenden, die Auswirkungen von KI-basierten Entscheidungen auf Betroffene zu verstehen und KI-generierte Ausgaben angemessen zu interpretieren.<ref name=":1">Vgl ErwGr 20 AI Act. </ref> Dazu gehört auch, den einschlägigen Akteuren der KI-Wertschöpfungskette jene erforderlichen Kenntnisse zu vermitteln, um die Einhaltung und Durchsetzung der Vorschriften des AI Act zu gewährleisten.

Weitere Konkretisierungen oder zwingende Mindestvorgaben für die Sicherstellung der KI-Kompetenz enthält der AI Act allerdings nicht und betont sogar, dass die Konzepte der KI-Kompetenz in Bezug auf den jeweiligen Kontext unterschiedlich sein können.<ref name=":1" /> Die EU-Kommission hat daher ein [https://digital-strategy.ec.europa.eu/de/library/living-repository-foster-learning-and-exchange-ai-literacy "Living Repository"] angelegt, in dem Unternehmen ihre Praktiken in Bezug auf KI-Kompetenz eingetragen haben. Das Repository wird laufend ergänzt, ist jedoch nicht rechtsverbindlich. Weiters bilden die darin enthaltenen Praktiken keine Garantie zur Compliance mit Art 4 AI Act, allerdings stellen sie eine gute Orientierung dar, welche Maßnahmen zur Sicherstellung von KI-Kompetenz in unterschiedlichen Branchen bereits ergriffen werden. Häufig genannte Praktiken umfassen:

* interne eLearning-Plattformen,
* interne Weiterbildungen und Trainingsprogramme,
* Kenntnis-basierte Schulungen,
* Video-/Podcast-Reihen,
* spielebasierte Trainings,
* Erstellung von KI-Verhaltenskodizes und Risikobewertungssystemen,
* eigene Chatbots zum Training im Umgang mit Sprachmodellen.

Denkbar ist überdies die Teilnahme an externen Fortbildungen und Schulungen, die Entwicklung von internen Richtlinien ("KI-Guidelines") oder die Schaffung von sog "KI-Beauftragten" in der Organisation. Ob die Schulungsmaßnahmen fortlaufend zu erfolgen haben, ist rechtlich nicht vorgeschrieben, wird allerdings anzunehmen sein.<ref>Dieser Ansicht folgend: ''Siglmüller'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 4 KI-Kompetenz Rz 5.</ref> Ebensowenig sind die genauen Inhalte der Kompetenzvermittlungsmaßnahmen definiert. Es kann jedenfalls davon ausgegangen werden, dass diese zielgruppengerecht und zugeschnitten auf unterschiedliche Bedürfnisse erfolgen sollten. Weiters werden sie sich bei manchen Branchen, KI-Einsatzgebieten oder Personengruppen nicht lediglich auf rechtliche oder technische Anforderungen beschränken, sondern ebenso soziale und ethische Komponenten umfassen. Bei der Entwicklung und Nutzung von GPAI-Modellen wird beispielsweise die Vermittlung von Kenntnissen im Zusammenhang mit Urheberrecht, Datenschutz, "Bias" (Verzerrungen) oder "Halluzinationen" (erfundene falsche Ausgaben) sinnvoll sein.<ref>MwN ''Müller/Scheichenbauer/Schneeberger,'' Wissenskultur im KI-Zeitalter – eine Auseinandersetzung mit der KI-Kompetenz nach Art 4 AI Act und ihren praktischen Implikationen, ZIIR 2025, 250.</ref>

Die EU-Kommission hat darüber hinaus eine [https://digital-strategy.ec.europa.eu/de/faqs/ai-literacy-questions-answers "FAQ-Seite"] mit Fragen und Antworten zur KI-Kompetenz angelegt, um einen besseren Überblick über die Anforderungen zu geben.

=== KI-Systeme mit inakzeptablem Risiko/verbotene Praktiken (Art 5 AI Act) ===
Nach Art 5 AI Act sind gewisse Praktiken im KI-Bereich verboten, da sie besonders schädlich sind, enormes Missbrauchspotenzial aufweisen und im Widerspruch zu europäischen Grundrechten und Grundfreiheiten stehen.<ref>Vgl ErwGr 28 AI Act. MwN ''Neuwirth'', Prohibited artificial intelligence practices in the proposed EU artificial intelligence act (AIA), CLSR 2023, https://doi.org/10.1016/j.clsr.2023.105798; ''Rostaski/Weiss'', § 3. Verbotene Praktiken, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 35.</ref> (Unverbindliche) '''Leitlinien''' der Kommission zu den verbotenen Praktiken konkretisieren die verbotenen Praktiken insbesondere durch zahlreiche Beispiele.<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act), C(2025) 884 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act.</ref> Folgende Praktiken sind davon umfasst:
{| class="wikitable"
|+
!Praktik
!Beispiele
!Nicht erfasste Praktiken
!Rechtsgrundlage
|-
|'''Unterschwellige Beeinflussung außerhalb des Bewusstseins oder manipulative/täuschende Techniken''', wodurch die freie Entscheidungsfähigkeit von Personen beeinträchtigt wird und ein Schaden mit hinreichender Wahrscheinlichkeit eintritt
|
* Ableitung sensibler Informationen aus Gehirnen von Nutzern über Maschine-Gehirn-Schnittstellen<ref>Vgl ErwGr 29 AI Act sowie Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 66. </ref>
* Chatbots, die zur Selbstverletzung verleiten<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 87.</ref>
* Unterschwellige visuelle oder auditive Reize bzw generelle sensorische Manipulation<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 65 und 68.</ref>
|Erlaubt ist hingegen der Einsatz eines KI-Systems, das personalisierte Empfehlungen auf der Grundlage transparenter Algorithmen und Nutzerpräferenzen verwendet, und sich nicht absichtlich manipulativer Techniken bedient.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 128.</ref>
|Art 5 Abs 1 lit a
|-
|'''Ausnutzen der Vulnerabilität/Schutzbedürftigkeit''' aufgrund des Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation
|
* Eine KI-Begleit-App, die durch gewisse Sprachmuster und Verhaltensweisen gezielt emotionale Abhängigkeiten und ungesunde Bindungen bei älteren Menschen erzeugt.
* Ein KI-gestütztes Spielzeug, das Kinder zu riskanten Herausforderungen ermutigt oder durch süchtig machende Techniken zu übermäßigem Spielen anregt
* KI-gestützte "Grooming-Praktiken" (gezielte Kontaktaufnahme Erwachsener mit Minderjährigen in Missbrauchsabsicht), um Mädchen mit Behinderung im Internet anzusprechen und zu manipulieren<ref>Vgl Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 88 ff. </ref>
|
* KI-Systeme, die Kinder beim Lernen einer Fremdsprache durch den Einsatz unterschwelliger Techniken unterstützen soll, sofern sie transparent arbeitet und die Nutzerautonomie wahrt.
* KI-Systeme, die Benommenheit und Ermüdung bei Fahrern erkennen und sie im Einklang mit den Sicherheitsvorschriften mit Warnmeldungen auf Ruhepausen hinweisen, gelten ebenso nicht als Ausnutzung von Vulnerabilitäten.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 130ff. </ref>
|Art 5 Abs 1 lit b
|-
|'''Social scoring''' (Bewertung/Einstufung von Personen/Gruppen von Personen auf der Grundlage ihres sozialen Verhaltens/Eigenschaften/Persönlichkeitsmerkmale)
|
* Die Verwendung eines KI-Systems zur Schätzung der Betrugswahrscheinlichkeit bei Empfängern von Haushaltszulagen durch das Sozialamt, das sich auf Merkmale stützt, die in sozialen Kontexten ohne offensichtlichen Zusammenhang mit oder Relevanz für die Bewertung von Betrug erhoben oder abgeleitet werden, wie zB ein Ehepartner mit einer bestimmten Staatsangehörigkeit oder ethnischen Herkunft, der Besitz eines Internetanschlusses, das Verhalten auf sozialen Plattformen oder die Leistung am Arbeitsplatz etc.
* Die Nutzung eines KI-Systems durch eine öffentliche Stelle, um für die Früherkennung gefährdeter Kinder anhand von Kriterien wie der psychischen Gesundheit und Arbeitslosigkeit der Eltern, aber auch anhand von aus verschiedenen Kontexten abgeleiteten Informationen über das soziale Verhalten der Eltern Familienprofile zu erstellen. Auf der Grundlage der erzielten Bewertung werden Familien für Kontrollen ausgewählt und als „gefährdet“ geltende Kinder werden aus ihren Familien genommen, unter anderem auch in Fällen geringfügiger Übertretungen seitens der Eltern, wie zB gelegentlich verpasste Arzttermine oder verhängte Verkehrsstrafen.
* Eine Regierung führt ein umfassendes KI-gestütztes System ein, das die Bürgerinnen und Bürger auf der Grundlage ihres Verhaltens in verschiedenen Lebensbereichen wie sozialen Interaktionen, Online-Aktivitäten, Kaufgewohnheiten und Pünktlichkeit bei der Begleichung von Rechnungen überwacht und einstuft. Menschen mit einer niedrigeren Bewertung müssen damit rechnen, dass sie eingeschränkten Zugang zu öffentlichen Dienstleistungen erhalten, höhere Zinsen auf Kredite zahlen und auf Reisen und bei der Suche nach einer Wohnung oder sogar einem Arbeitsplatz Schwierigkeiten haben.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 166 ff. </ref>
|
* KI-Systeme zur Bonitätsprüfung natürlicher Personen auf Basis persönlicher Merkmale wie dem Einkommen vor Vergabe eines Kredits.
* KI-basierte Erhebung von Geschwindigkeitsüberschreitungen oder hochriskantem Fahrverhalten, die zur Erhöhung der KFZ-Versicherungsprämien führen.
* KI-gestützte gezielte kommerzielle Werbung fällt nicht in den Anwendungsbereich, wenn sie auf relevanten Daten (z. B. Nutzerpräferenzen) beruht, im Einklang mit den Rechtsvorschriften der Union über Verbraucherschutz, Datenschutz und digitale Dienste erfolgt und nicht zu einer Schlechterstellung oder Benachteiligung führt, die in keinem angemessenen Verhältnis zur Tragweite des sozialen Verhaltens des Nutzers steht (z. B. ausbeuterische und unfaire differenzierte Preisgestaltung).<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 177.</ref>
|Art 5 Abs 1 lit c
|-
|'''Bewertung des Risikos, dass eine Person eine Straftat''' begeht (ausschließlich aufgrund von Profiling)
|Eine Polizeidienststelle verwendet KI-gestützte Risikobewertungsinstrumente, um das Risiko zu bewerten, dass kleine Kinder und Jugendliche an „künftigen Gewalttaten und Eigentumsdelikten“ beteiligt sein werden. Das System bewertet Kinder auf der Grundlage ihrer Beziehungen zu anderen Menschen und deren vermeintlichen Risikoniveaus, dh es wird eventuell davon ausgegangen, dass bei Kindern ein höheres Risiko für die Begehung von Straftaten besteht, einfach weil sie mit einer anderen Person wie einem Geschwisterkind oder einem Freund verbunden sind, bei der eine hohe Risikobewertung vorliegt. Das Risikoniveau der Eltern kann sich ebenfalls auf das Risikoniveau eines Kindes auswirken.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 202.</ref>
|
* Standortbezogene oder geodatenbasierte Vorhersagen oder ortsbezogene Verbrechensvorhersagen (zB KI-System zur Berechnung der Kriminalitätswahrscheinlichkeit in bestimmten Stadtgebieten oder von Schmuggelrouten)
* KI-Systeme zur Unterstützung der durch Menschen durchgeführten Bewertung, die sich auf objektive und überprüfbare Tatsachen stützt, die in Zusammenhang mit einer kriminellen Aktivität stehen (zB Profiling zur Vorhersage gefährlichen Verhaltens in einer Menschenmenge, KI-basiertes Profiling von Personen, gegen die bereits ein Verdacht besteht, der auf mehreren überprüfbaren, objektiven Tatsachen beruht).
* KI-basiertes Profiling in Bezug auf juristische Personen
* KI-Systeme zur individuellen Vorhersage von Ordnungswidrigkeiten (zB Bagatellverkehrsdelikte)<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 212 ff.</ref>
|Art 5 Abs 1 lit d
|-
|Erstellung/Erweiterung von '''Datenbanken''' zur Gesichtserkennung durch '''ungezieltes Auslesen von Gesichtsbildern'''
|Ein Unternehmen für Gesichtserkennungssoftware sammelt Bilder von Gesichtern, die mit einem „automatisierten Bildausleser“, der das Internet durchsucht und Bilder mit menschlichen Gesichtern erkennt, aus sozialen Medien (zB Facebook, X) ausgelesen wurden. Der Bildausleser sammelt diese Bilder mit allen damit verbundenen Informationen (wie der Quelle des Bildes (URL), der Geolokalisierung und manchmal den Namen der einzelnen Personen). Die Gesichtsmerkmale werden dann aus den Bildern extrahiert und in mathematische Darstellungen umgewandelt, die für die Indexierung und den künftigen Vergleich mit Hashtags versehen werden. Wenn ein Nutzer das Bild einer Person in das KI-System hochlädt, wird dieses System bestimmen, ob dieses Bild mit einem Gesicht in der Datenbank übereinstimmt.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 232.</ref>
|
* Das ungezielte Auslesen anderer biometrischer Daten als Gesichtsbilder (zB Stimmaufnahmen)
* Gesichtsbilddatenbanken, die nicht für die Erkennung von Personen verwendet werden
* KI-Systeme, die Gesichtsbilder aus dem Internet sammeln, um KI-Modelle zur Erzeugung neuer Bilder fiktiver Personen zu entwickeln
|Art 5 Abs 1 lit e
|-
|'''Emotionserkennungssysteme''' am Arbeitsplatz oder in Bildungseinrichtungen
|
* Ein KI-System, das beispielsweise aus Gesten, Stirnrunzeln oder fehlendem Lächeln ableitet, dass ein Mitarbeiter unglücklich, traurig oder gegenüber den Kunden wütend ist
* Systeme, die aus Stimmführung oder Körpersprache ableiten, dass ein Schüler zornig und im Begriff ist, gewalttätig zu werden
* Ein KI-System, das Emotionen aus Tastenanschlägen (Art des Tippens), Gesichtsausdrücken, Körperhaltungen oder Bewegungen ableitet, beruht auf biometrischen Daten und fällt in den Anwendungsbereich des Verbots
* KI-Systeme, die den emotionalen Ton in hybriden Arbeitsteams überwachen, indem sie Emotionen aus Stimm- und Bildaufnahmen hybrider Videokonferenzen erkennen und ableiten, was in Regel der Förderung des sozialen Bewusstseins, des Managements emotionaler Dynamik und der Konfliktverhütung dienen würde
* Die Nutzung eines KI-Systems bei Online-Prüfungen zur Erkennung von Emotionen wie Erregungs- und Angstzustände
* Emotionserkennung zur Bewertung des Wohlbefindens, des Motivationsniveaus und der Arbeits- oder Lernzufriedenheit von Studierenden oder Arbeitnehmern.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|
* Der Einsatz von KI-Erkennungssystemen, um auf die Ermüdung eines Berufspiloten oder -fahrers zu schließen, ihn zu warnen und ihm zu empfehlen, zur Vermeidung von Unfällen Pausen einzulegen, da Emotionserkennung keine physischen Zustände wie Schmerzen oder Ermüdung einschließt
* Ein KI-System, das aus schriftlichen Texten (Analysen von Inhalt und Stimmung) Emotionen ableitet, um den Stil oder den Ton eines bestimmten Artikels zu bestimmen, beruht nicht auf biometrischen Daten und fällt daher nicht in den Anwendungsbereich des Verbots
* Werden Emotionserkennungssysteme nur zu persönlichen Schulungszwecken eingesetzt, sind sie zulässig, sofern die Ergebnisse nicht Personen mit Personalverantwortung zur Verfügung gestellt werden und keine Auswirkungen auf das Arbeitsverhältnis haben
* Die durch eine Bildungseinrichtung erfolgende Verwendung einer KI-gestützten Software zur Verfolgung der Augenbewegungen bei Online-Prüfungen Studierender, um den Fixierungspunkt und die Bewegung der Augen zu verfolgen (um beispielsweise zu erkennen, ob unerlaubtes Material verwendet wird), ist nicht verboten, da das System Emotionen weder erkennt noch ableitet
* Emotionserkennung aus medizinischen Gründen zur Unterstützung von Arbeitnehmern oder Studierenden mit Autismus und zur Verbesserung der Barrierefreiheit für blinde oder gehörlose Menschen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|Art 5 Abs 1 lit f
|-
|'''Biometrische Kategorisierung,''' Ableitung von sensiblen Daten (religiöse Weltanschauung, politische Einstellung)
|
* Ein KI-System, das Personen, die auf einer Plattform sozialer Medien aktiv sind, nach ihrer angenommenen politischen Ausrichtung kategorisiert, indem es die biometrischen Daten der von ihnen auf die Plattform hochgeladenen Fotos analysiert, um ihnen gezielte politische Nachrichten zu übermitteln
* ein System zur biometrischen Kategorisierung, das für sich in Anspruch nimmt, die religiöse Ausrichtung einer Person aus ihren Tätowierungen oder ihrem Gesicht ableiten zu können.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 280 ff.</ref>
|
* KI-Systeme, die mit der Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze, auch zu Strafverfolgungszwecken, befasst sind (zB bei Verdacht auf Darstellungen sexuellen Kindesmissbrauchs)
* die Kategorisierung von Patienten, bei der Bilder nach ihrer Haut- oder Augenfarbe verwendet werden, für medizinische Diagnosen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 284 ff.</ref>
|Art 5 Abs 1 lit g
|-
|'''Biometrische Echtzeit-Fernidentifizierungssysteme''' in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (zahlreiche Ausnahmen)
|
* Die polizeiliche Verwendung von Systemen zur biometrischen Echtzeit-Fernidentifizierung zu dem Zweck, Ladendiebe zu identifizieren und ihre Gesichtsbilder mit Kriminaldatenbanken zu vergleichen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 328.</ref>
|
* Die Nutzung von Echtzeit-Gesichtserkennungstechniken durch die Polizei nach einem schweren Terroranschlag auf einen Weihnachtsmarkt mit zwölf Toten, um den Täter zu identifizieren und festzustellen, wohin er flieht. In diesem Zusammenhang nutzen sie auch die Echtzeit-Gesichtserkennungstechnik des nahe gelegenen Bahnhofs und der Zielbahnhöfe der Züge, die kurz nach dem Angriff von dort abgehen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 354.</ref>
|Art 5 Abs 1 lit h
|}
*

 
Einige dieser Praktiken sind darüber hinaus bereits nach anderen Rechtsvorschriften verboten, so beispielsweise gewisse manipulative und täuschende Techniken als "dark patterns" nach dem [[Digital Services Act (DSA)|Digital Services Act]] (gilt nur für bestimmte Plattform-Anbieter) oder die Verarbeitung biometrischer Daten zur Identifizierung einer Person nach Art 9 Abs 1 DSGVO, sofern keine der in Abs 2 genannten Ausnahmen vorliegt. Gemäß der neuen Plattformarbeitsrichtlinie<ref>Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit, ABl L 11. 11. 2024.</ref>, die bis Dezember 2026 in nationales Recht umzusetzen ist, ist überdies der Einsatz von automatisierten Überwachungs- und Entscheidungssystemen zur Erfassung personenbezogener Daten über den emotionalen oder psychischen Zustand einer Person (Emotionserkennung) verboten.<ref>MwN ''Wendehorst'' in ''Martini/Wendehorst,'' KI-VO. Künstliche Intelligenz-Verordnung (2024) Art 5 Rz 104.</ref>

=== Hochrisiko-KI-Systeme (Art 6 AI Act) ===

==== Einstufung ====
Der AI Act klassifiziert Hochrisiko-KI-Systeme in Art 6. Dabei kennt er zwei Varianten dieser Systeme, die in der Literatur - nicht aber im AI Act selbst - als "eingebettete" und "eigenständige" Hochrisiko-KI-Systeme bezeichnet werden. <ref>MwN ''Martini'', § 4. Hochrisiko-KI-Systeme: Risikobasierter Ansatz, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 51 (61 ff).</ref>

Darüber hinaus enthält Art 6 Abs 3 AI Act Ausnahmen von der Einstufung als Hochrisiko-KI-System.

Nach Art 6 Abs 5 AI Act hat die Kommission nach Konsultation des Europäischen Gremiums für Künstliche Intelligenz spätestens bis zum 2. Februar 2026 '''Leitlinien''' zur praktischen Umsetzung und eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI-Systeme, die hochriskant oder nicht hochriskant sind, bereitzustellen.

===== "Eingebettete" Hochrisiko-KI-Systeme (embedded high-risk AI systems) (Art 6 Abs 1 AI Act) =====
Nach Art 6 Abs 1 AI Act gilt zunächst ein KI-System als Hochrisiko-KI-System, wenn die zwei folgenden Bedingungen erfüllt sind:
* das KI-System soll als Sicherheitsbauteil eines unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder stellt selbst ein solches Produkt dar
* das Produkt, dessen Sicherheitsbauteil das KI-System ist, oder das KI-System selbst als Produkt muss im Rahmen dieser Harmonisierungsrechtsvorschriften einer Konformitätsbewertung durch Dritte unterzogen werden

Anhang I, Abschnitt A nennt dabei zwölf solche Harmonisierungsrechtsvorschriften (bezogen auf Maschinen, Spielzeug, Sportboote und Wassermotorräder, Aufzüge, Geräte und Schutzsysteme in explosionsgefährdeten Bereichen, Funkanlagen, Druckgeräte, Seilbahnen, persönliche Schutzausrüstungen, Geräte zur Verbrennung gasförmiger Brennstoffe, Medizinprodukte, In-vitro-Diagnostika).

Um diese Einstufung als Hochrisiko-KI-System durch ein Beispiel zu illustrieren:
{| class="wikitable"
|+
!Beispiel
|-
|Software kann ein '''Medizinprodukt''' im Sinne der Medizinprodukteverordnung (MPVO) darstellen.<ref>MwN ''Schreitmüller'', Regulierung intelligenter Medizinprodukte. Eine Analyse unter besonderer Berücksichtigung der MPVO und DSGVO (2023).</ref>
Medizinprodukte ab Risikoklasse IIa, das heißt mittlerem Risiko (zB Diagnose oder Überwachung), unterliegen einer Konformitätsbewertung unter Einbeziehung einer "benannten Stelle", das heißt einer externen Konformitätsbewertungsstelle.
Software als Medizinprodukt erfüllt damit - sofern sie unter die KI-Definition subsumiert werden kann - häufig beide Bedingungen:

* einerseits kann sie ein Produkt bzw Sicherheitskomponente eines Produktes darstellen, das unter die MPVO fällt, die in Anhang I Abschnitt A genannt wird, und
* anderseits unterliegt sie im Rahmen der MPVO in fast allen Fällen einer Konformitätsbewertung unter Einbeziehung einer Konformitätsbewertungsstelle, das heißt "Dritter" (mit Ausnahme eines Medizinproduktes der Klasse I).
Software als Medizinprodukt fällt somit gleichzeitig als Medizinprodukt unter die MPVO und, sofern die Software den KI-Begriff erfüllt, als Hochrisiko-KI-System unter den AI Act.
|}

===== "Eigenständige" Hochrisiko-KI-Systeme (stand-alone high-risk AI systems) (Art 6 Abs 2 AI Act) =====
Die zweite Variante von "eigenständigen" Hochrisiko-KI-Systemen wird durch Art 6 Abs 2 AI Act definiert, der dabei auf Anhang III verwiest. Dieser enthält acht Bereiche, untergliedert in konkretere Anwendungsfelder, die ebenfalls als hochriskant gelten: bspw biometrische Identifizierung, kritische Infrastrukturen, grundlegende öffentliche und private Dienste/Leistungen, Strafverfolgung, Migration, Asyl und Grenzkontrolle, Justiz und demokratische Prozesse).

Diese Liste kann dabei mittels delegierter Rechtsakte der Kommission geändert werten (Art 7 AI Act).

===== Ausnahmen (Art 6 Abs 3 AI Act) =====
Art 6 Abs 3 AI Act enthält als Abweichung '''Ausnahmen''' von der Einstufung als "eigenständiges" Hochrisiko-KI-System. Die Ausnahmen greifen dann, wenn sich zeigt, dass ein in Anhang III genanntes System kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis einer Entscheidungsfindung, an der das System beteiligt ist, wesentlich beeinflusst.

Art 6 Abs 3 2. UAbs enthält dabei vier alternative Bedingungen, die die genannten Kriterien erfüllen. ErwGr 53 liefert konkretisierende Beispiele. Ein KI-System gilt somit als nicht hochriskant, wenn
# es dazu bestimmt ist, eine eng gefasste Verfahrensaufgabe durchzuführen (bspw ein KI-System, das unstrukturierte Daten in strukturierte Daten umwandelt)
# es dazu bestimmt ist, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (bspw KI-Systeme, deren Ziel es ist, die in zuvor verfassten Dokumenten verwendete Sprache zu verbessern, etwa den professionellen Ton, den wissenschaftlichen Sprachstil oder um den Text an einen bestimmten mit einer Marke verbundenen Stil anzupassen
# es dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu gedacht ist, die zuvor abgeschlossene menschliche Bewertung ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen (bspw KI-Systeme, die in Bezug auf ein bestimmtes Benotungsmuster eines Lehrers dazu verwendet werden können, nachträglich zu prüfen, ob der Lehrer möglicherweise von dem Benotungsmuster abgewichen ist, um so auf mögliche Unstimmigkeiten oder Unregelmäßigkeiten aufmerksam zu machen)
# es dazu bestimmt ist, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (bspw intelligente Lösungen für die Bearbeitung von Dossiers, wozu verschiedene Funktionen wie Indexierung, Suche, Text- und Sprachverarbeitung oder Verknüpfung von Daten mit anderen Datenquellen gehören)

Art 6 Abs 3 AI Act enthält dabei auch eine '''Rückausnahme''', die einen Bezug zur DSGVO herstellt. Ein KI-System nach Anhang III gilt "immer dann als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt." Als Profiling gilt dabei iSd Art 4 Abs 4 DSGVO jede automatisierte Verarbeitung personenbezogener Daten, die darin besteht, bestimmte persönliche Aspekte einer Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten etc. zu analysieren oder vorherzusagen.

==== Anforderungen an Hochrisiko-KI-Systeme (Art 8-15 AI Act) ====
Die Europäische Kommission hat im Rahmen von Public Consultations unter anderem auch Rückmeldungen zu Anforderungen an Hochrisiko-KI-Systeme eingeholt, die eine Grundlage für Leitlinien bilden sollen, welche im Februar 2026 veröffentlicht werden sollen.<ref>European Commission, Commission launches public consultation on high-risk AI systems, https://digital-strategy.ec.europa.eu/en/news/commission-launches-public-consultation-high-risk-ai-systems (Stand 6.6.2025).</ref> Hochrisiko-KI-Systeme müssen einer Reihe von Anforderungen genügen, die in einem sog Konformitätsbewertungsverfahren geprüft werden, darunter:

===== Risikomanagementsystem (Art 9 AI Act) =====
Ein umfassendes Risikomanagementsystem muss eingerichtet, angewandt, dokumentiert und aufrechterhalten werden.

Dies umfasst die Ermittlung und Analyse von '''Risiken''', ihre Abschätzung und Bewertung sowie die Ergreifung von Risikomanagementmaßnahmen und die Abwägung der Maßnahmen mit dem Restrisiko.

Vorgesehen sind auch Testverfahren.

===== Daten und Daten-Governance (Art 10 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die gewissen '''Qualitätskriterien''' entsprechen.

So müssen die Datensätze neben Verfahren in Bezug auf konzeptionelle Entscheidungen, die Datenerhebung und Aufbereitung (hinreichend) '''relevant und so weit wie möglich repräsentativ, fehlerfrei und vollständig''' sein und Verzerrungen (Bias) müssen vermieden werden.

Merkmale/Elemente, die für '''besonderen geografischen, kontextuellen, verhaltensbezogenen oder funktionalen Rahmenbedingungen''' typisch sind, müssen berücksichtigt werden.

In Bezug auf '''Bias''' ist auch eine Regelung zur Verarbeitung von besonders sensiblen personenbezogenen Daten zur Erkennung und Korrektur enthalten, die mit der DSGVO interagiert (Art 10 Abs 5 AI Act).

===== Technische Dokumentation (Art 11 AI Act) =====
Als Basis der Konformitätsbewertung muss eine technische Dokumentation erstellt werden, bevor das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird. Diese ist stets auf dem neuesten Stand zu halten.

Aus ihr muss der '''Nachweis''' hervorgehen, wie das Hochrisiko-KI-System die Anforderungen der Art 8 bis 15 AI Act erfüllt.

Durch die Dokumentation sollen den zuständigen nationalen Behörden und den notifizierten Stellen alle Informationen zur Verfügung stehen, die erforderlich sind, um zu beurteilen, ob das KI-System diese Anforderungen erfüllt.

KMUs können diese Dokumentation in '''vereinfachter Weise''' bereitstellen.

===== Aufzeichnungspflichten (Art 12 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Funktionsmerkmalen konzipiert und entwickelt werden, die eine '''automatische Aufzeichnung''' von Vorgängen und Ereignissen („Protokollierung“) während des Betriebs der Hochrisiko-KI-Systeme ermöglichen.

Die Protokollierung (zB von Situationen, die dazu führen können, dass das System ein Risiko birgt oder dass es zu einer wesentlichen Änderung kommt) gewährleistet, dass das Funktionieren des KI-Systems während seines gesamten Lebenszyklus '''rückverfolgbar''' ist.

===== Transparenz und Bereitstellung von Informationen für die Betreiber (Art 13 AI Act) =====
Hochrisiko-KI-Systeme werden so konzipiert und entwickelt, dass ihr Betrieb hinreichend '''transparent''' ist, damit die Nutzer die Ergebnisse des Systems angemessen '''interpretieren''' und verwenden können.

Auch müssen den Nutzern/Betreibern entsprechende '''Betriebsanleitungen''' (zB zu Merkmalen, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems) zur Verfügung gestellt werden.

===== Menschliche Aufsicht (Art 14 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie während der Dauer der Verwendung des KI-Systems von natürlichen Personen '''wirksam beaufsichtigt''' werden können.

Dies dient der Verhinderung/Minimierung der Risiken für Gesundheit, Sicherheit oder Grundrechte und erfordert bspw die Möglichkeit die Fähigkeiten und Grenzen des KI-Systems angemessen und verstehen und seinen Betrieb zu überwachen, Maßnahmen gegen automation bias und die Option, das System nicht zu verwenden, seine Ausgabe außer Acht zu lassen oder in den Betrieb einzugreifen bzw ihn mit einer "Stopptaste" zu unterbrechen.

===== Genauigkeit, Robustheit und Cybersicherheit (Art 15 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie ein '''angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit''' erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren.

Dies umfasst somit Maßnahmen in Hinblick auf '''innere Fehlerquellen''' (Performanzmetriken für Genauigkeit, Widerstandsfähigkeit gegenüber Fehlern, Störungen, Unstimmigkeiten für Robustheit; Maßnahmen gegen Rückkopplungsschleifen), als auch '''Angriffe von Außen''' (Cybersicherheit).

==== Pflichten für Anbieter von Hochrisiko-KI-Systemen (Art 16-21 AI Act) ====
Anbieter von Hochrisiko-KI-Systemen müssen als wichtigste Pflichten ua (Art 16 AI Act):

* sicherstellen, dass diese Systemen die Anforderungen der Art 8-15 AI Act erfüllen
* damit verbunden sicherstellen, dass sie einem Konformitätsbewertungsverfahren unterzogen werden (resultierend in einer Konformitätserklärung und einer CE-Kennzeichnung)
* über ein Qualitätsmanagementsystem (Art 17 AI Act) verfügen (ua Konzept zur Einhaltung der Regulierungsvorschriften, Techniken, Verfahren und systematische Maßnahmen für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems; Untersuchungs-, Test- und Validierungsverfahren; Systeme und Verfahren für das Datenmanagement)
* Dokumentation (Art 18 AI Act) und Protokolle (Art 19 AI Act) aufbewahren
* einer Registrierungspflicht nachkommen (Art 49 AI Act) und
* erforderliche Korrekturmaßnahmen ergreifen und Informationen bereitstellen (Art 20 AI Act)

==== Konformitätsbewertungsverfahren (Art 43 AI Act) ====
Zentrale Anbieterpflicht ist die Durchführung eines sog Konformitätsbewertungsverfahrens. In diesem Verfahren wird überprüft, ob das Hochrisiko-KI-System die Anforderungen nach Art 8-15 AI Act erfüllt (Art 3 Z 20 AI Act).

Dabei existieren zwei verschiedene Varianten dieses Verfahrens (Art 43 AI Act).

Diese unterscheiden sich primär darin, ob eine notifizierte Stelle, das heißt eine Stelle, die Konformitätsbewertungstätigkeiten einschließlich Prüfungen, Zertifizierungen und Inspektionen durchführt und dabei als Dritte auftritt und die nach dem AI Act "notifiziert" wurde (Art 3 Z 21, 22 AI Act). Die notifizierten Stellen finden sich in einer entsprechenden [https://webgate.ec.europa.eu/single-market-compliance-space/notified-bodies/notified-body-list?filter=countryId:40,notificationStatusId:1 Datenbank].

* '''interne Kontrolle''' (Anhang VI): Eigenzertifizierung, ohne Beiziehung einer notifizierten Stelle (vorgesehen für eigenständige Hochrisiko-KI-Systeme mit Ausnahme des Bereiches Biometrie)
* '''Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Dokumentation''' unter Beteiligung einer notifizierten Stelle (Anhang VII) (primär vorgesehen für eingebettete Hochrisiko-KI-Systeme)

Bei eingebetteten Hochrisiko-KI-Systemen ist vorgesehen, dass die nach dem Harmonisierungsrechtsakt einschlägige Konformitätsbewertung (zB nach Medizinprodukteverordnung) durchgeführt wird und die Aspekte des AI Act in dieses Verfahren einbezogen werden (Art 43 Abs 3 AI Act). Ein solches "kombiniertes" Verfahren kann für einer notifizierten Stelle durchgeführt werden, sofern diese die notwendige Expertise, etc aufweist.

Bei wesentlichen Änderungen des Systems ist eine erneute Durchführung notwendig. Dies gilt für Systeme, die im Betrieb weiterlernen, nicht für vorab durch den Anbieter festgelegte Änderungen des Systems und seiner Leistung (Art 43 Abs 4 AI Act).

Der Anbieter hat daraufhin eine '''EU-Konformitätserklärung''' (Art 47 AI Act) auszustellen, eine '''CE-Kennzeichnung''' (Art 48 AI Act) anzubringen und das (selbständige) Hochrisiko-KI-System in einer Datenbank zu '''registrieren''' (Art 49 AI Act).

==== Pflichten für Betreiber von Hochrisiko-KI-Systemen ====

===== Betreiberpflichten nach Art 26 AI Act =====
Betreiber von Hochrisiko-KI-Systemen unterliegen im Vergleich zu Anbietern nur eingeschränkten Pflichten. Sie müssen ua

* geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie KI-Systeme '''entsprechend den beigefügten Betriebsanleitungen verwenden'''
* die '''menschliche Aufsicht''' an natürliche Personen übertragen, die über die erforderliche Kompetenz, Ausbildung und Befugnis ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#KI-Kompetenz/AI_literacy_(Art_4_AI_Act) "KI-Kompetenz"] nach Art 4<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 40. </ref>) verfügen und ihnen die erforderliche Unterstützung zukommen lassen.
* soweit die '''Eingabedaten''' ihrer Kontrolle unterliegen dafür sorgen, dass diese der Zweckbestimmung des Hochrisiko-KI-Systems entsprechend und ausreichend repräsentativ sind
*den Betrieb des Hochrisiko-KI-Systems anhand der Betriebsanleitung '''überwachen''' und gegebenenfalls Anbieter iSv Art 72 AI Act '''informieren'''. Besteht Grund zur Annahme, dass die Verwendung gemäß der Betriebsanleitung dazu führen kann, dass dieses Hochrisiko-KI-System ein Risiko im Sinne des Art 79 Abs 1 AI Act birgt, so informieren Betreiber unverzüglich den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde und setzen die Verwendung dieses Systems aus. Ähnliches gilt bei Feststellung eines schwerwiegenden Vorfalls.
*Aufbewahrung von automatisiert erzeugten '''Protokollen''' für einen Zeitraum von zumindest 6 Monaten (wobei hier entgegenstehende datenschutzrechtliche Regelungen vorgehen würden<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 42.</ref>)
*'''Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer''', vor Verwendung oder Inbetriebnahme des Hochrisiko-KI-Systems am Arbeitsplatz. Dies umfasst sowohl den Einsatz von "eingebetteten" als auch "eigenständigen" Hochrisiko-KI-Systemen. Weiters sind die Mitwirkungspflichten des Betriebsrats zu berücksichtigen (vgl §§ 96 f ArbVG). Nicht umfasst sind wahrscheinlich Informationspflichten gegenüber Bewerbern, da diese tendenziell nicht unter den von dieser Bestimmung geforderten "Arbeitnehmer-Begriff" fallen.
*'''Information an natürliche Personen''', dass sie der Verwendung eines Hochrisiko-KI-Systems unterliegen, wenn das Hochrisiko-KI-Systeme natürliche Personen betreffende Entscheidungen trifft oder bei solchen Entscheidungen Unterstützung leistet. Diese Bestimmung gilt lediglich für den Einsatz von "eigenständigen" Hochrisiko-KI-Systemen nach Art 6 Abs 2 iVm Anhang III.Die danach mitzuteilende Information sollte die Zweckbestimmung und die Art der getroffenen Entscheidung beinhalten (vgl ErwGr 93) sowie - nach einer hier vertretenen Auffassung - eine vorab Information über das Recht auf Erklärung nach Art 86 AI Act, welches von KI-Entscheidungen Betroffenen das Recht zugesteht, unter gewissen Voraussetzungen vom Betreiber eine klare und aussagekräftige Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess sowie zu den wichtigsten Elementen der getroffenen Entscheidung zu erhalten.<ref>Siehe die entsprechende Argumentationslinie im Detail: ''Research Institute'', Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025) 100 ff, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf. </ref>

===== Grundrechte-Folgenabschätzung (Art 27 AI Act) =====
Als Gegenstück zum Risikomanagement (Art 9 AI Act), das Anbieter von Hochrisiko-KI-Systemen betrifft, müssen gewisse Betreiber<ref>Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, handelt, und Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b [Kreditwürdigkeitsprüfung und Bonitätsbewertung] und c [Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen]. Eine Ausnahme besteht wiederum im Bereich der kritischen Infrastruktur (Anhang III Nummer 2).</ref> von Hochrisiko-KI-Systemen vor der ersten Verwendung eine Abschätzung der Risiken auf Grundrechte durchführen (Art 27 Abs 1 AI Act).<ref>MwN ''Müller/Schneeberger'', Menschenrechtsfolgenabschätzungen im Artificial Intelligence Act, juridikum 2024, 265.</ref>

Die Abschätzung umfasst dabei

* eine Beschreibung der Verfahren, bei denen das Hochrisiko-KI-System verwendet wird
* eine Beschreibung des Zeitraums und der Häufigkeit der Verwendung
* die Kategorien der natürlichen Personen und Personengruppen, die von seiner Verwendung betroffen sein könnten
* die spezifischen Schadensrisiken, die sich auf die ermittelten Kategorien natürlicher Personen oder Personengruppen auswirken könnten
* eine Beschreibung der Umsetzung von Maßnahmen der menschlichen Aufsicht
* die Maßnahmen, die im Falle des Eintretens dieser Risiken zu ergreifen sind.

Das Büro für KI wird dabei ein Muster für einen Fragebogen entwickeln, um dieser Pflicht in vereinfachter Weise nachkommen zu können (Art 27 Abs 5 AI Act).

Art 27 Abs 4 macht überdies die Verzahnung der Grundrechte-Folgenabschätzung (GRFA) mit anderen Folgenabschätzungen deutlich und schreibt bspw vor, dass bei Vorliegen einer Datenschutz-Folgenabschätzung nach Art 35 DSGVO die GRFA diese ergänzen bzw in diese integriert werden solle.<ref>Vgl ''Piltz/Zwerschke'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 27 Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme Rz 32.</ref>

Sowohl die Verpflichtungen nach Art 26 als auch die Durchführung einer GRFA nach Art 27 treffen den Betreiber unabhängig davon, ob jemand (bspw Betroffene) deren Einhaltung einfordern. Im Unterschied dazu enthält der AI Act in den Artt 85 ff sog "Betroffenenrechte", die aktiv von betroffenen Personen geltend zu machen sind. Dazu zählt insbesondere das [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Recht auf Erklärung nach Art 86], welches das einzige Betroffenenrecht darstellt, das direkt gegen den Betreiber durchsetzbar ist.

==== Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act) ====
[[Datei:KI-Servicestelle bei der RTR, Rollenverteilung Hochrisiko-KI-Systeme.svg|links|mini|Übersicht über die Rollenverteilung und mögliche Rollenwechsel von Betreiber zu Anbieter bei Hochrisiko-KI-Systemen. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html.]]

Die Einstufung als Betreiber oder Anbieter ist dabei nicht statistisch, wie Art 25 AI Act zeigt. Dieser normiert Fälle, in denen Betreiber (und Händler, Einführer oder sonstige Dritte) als Anbieter eines Hochrisiko-KI-Systems gelten und damit auch den Anbieterpflichten (Art 16 AI Act) unterliegen.

Ein solcher "Rollenwechsel" findet in folgenden Konstellationen statt (Art 25 Abs 1 AI Act):

* wenn die genannten Personen ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System '''mit ihrem Namen oder ihrer Handelsmarke versehen''', unbeschadet vertraglicher Vereinbarungen, die eine andere Aufteilung der Pflichten vorsehen;
* wenn sie eine '''wesentliche Veränderung''' eines Hochrisiko-KI-Systems, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, so vornehmen, dass es weiterhin ein Hochrisiko-KI-System gemäß Art 6 AI Act bleibt;
* wenn sie die '''Zweckbestimmung eines KI-Systems''', das nicht als hochriskant eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so '''verändern''', dass das betreffende KI-System zu einem Hochrisiko-KI-System im Sinne von Art 6 AI Act wird.

In diesen Szenarien gilt der ursprüngliche Anbieter (Erstanbieter) nicht mehr als Anbieter dieses spezifischen KI-Systems (Art 25 Abs 2 AI Act). Der Erstanbieter hat jedoch mit dem neuen Anbieter zusammenzuarbeiten, insb Informationen zur Verfügung zu stellen, für technischen Zugang und sonstige Unterstützung zu sorgen.<ref>Diese Pflicht zur Übergabe der Dokumentation gilt nicht, wenn der Anbieter festgelegt hat, dass sein KI-System nicht in ein Hochrisiko-KI-System umgewandelt werden darf.</ref>

{| class="wikitable"
|+
!Hinweis:
|-
|Aufgrund von Art 25 AI Act muss beachtet werden, dass die Rollenverteilung eine dynamische und nicht statische ist. So könnte zB ein Betreiber eines Large Language Models, der dieses zur Generierung von medizinischen Diagnosen verwendet, wenn diese Verwendung entgegen der Zweckbestimmung des (ursprünglichen) Anbieters erfolgt, durch diese Verwendung zum neuen Anbieter werden und auch dessen Pflichten übernehmen. Auch ein Zusammentreffen der Rolle von Anbieter und Betreiber in einem Akteur ist möglich.
|}
=== Transparenzpflichten (Art 50 AI Act) ===
Unabhängig von der Risikoeinstufung eines KI-Systems sieht Art 50 AI Act Transparenzpflichten für gewisse KI-Systeme vor. Die Informationen müssen spätestens zum Zeitpunkt der ersten Interaktion oder Aussetzung in klarer und eindeutiger Weise bereitgestellt werden sowie den Anforderungen an die Barrierefreiheit genügen.

* Anbieter haben bei KI-Systemen, die für die direkte '''Interaktion mit natürlichen Personen''' bestimmt sind (zB Chatbots, Sprachassistenten, Social Bots), sicherzustellen, dass diese so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI-System interagieren.<ref>Eine solche Kennzeichnung ist nicht notwendig, wenn es aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist, dass mit einem KI-System interagiert wird. Diese Pflicht gilt ebenfalls nicht für gesetzlich zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten zugelassene KI-Systeme, wenn geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen, es sei denn, diese Systeme stehen der Öffentlichkeit zur Anzeige einer Straftat zur Verfügung.</ref> Diese Pflicht kann entfallen, wenn die Interaktion mit dem KI-System aus Sicht einer angemessen informierten, aufmerksamen und verständigen Person offensichtlich ist oder beim Einsatz von KI-Systemen, die für die Strafverfolgung zugelassen sind.<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 43.</ref>
{| class="wikitable"
|+
*
!Beispiele<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 40.</ref>
|-
|'''Chatbots''' können durch einen textlichen Hinweis zu Beginn des Gesprächs oder ein dauerhaft angezeigtes grafisches Symbol vorgestellt werden.
Bei '''Voicebots''' kommt eine der Interaktion vorausgehende Ansage, welche auf den KI-Einsatz hinweist, in Betracht.

'''Social Bots''' können eine Information vor und mit jeder Interaktion des Bots in sozialen Netzwerken erfordern, da das System stets mit einem neuen Personenkreis in Interaktion tritt (zB AI-Influencer).
|}
* Anbieter von KI-Systemen die '''synthetische Audio-, Bild-, Video- oder Textinhalte''' erzeugen, müssen sicherstellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind.<ref>Diese Pflicht gilt nicht, soweit die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung ausführen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern oder wenn sie zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen sind.</ref> <ref>Das KI-Büro hat am 5. November 2025 Arbeiten an einem Verhaltenskodex in Bezug auf die Kennzeichnung von KI-generierten Inhalten aufgenommen. Die entsprechenden Leitlinien werden in einem siebenmonatigen Prozess, der sich insbesondere durch die Einbindung von relevanten Stakeholdern und öffentliche Konsultationen auszeichnen soll, erarbeitet werden. Näheres unter: https://digital-strategy.ec.europa.eu/en/news/commission-launches-work-code-practice-marking-and-labelling-ai-generated-content</ref> Mögliche Methoden wären bspw Wasserzeichen, Metadatenidentifizierungen, Kryptografische Methoden (zB "Hashing"), Protokollierungsmethoden oder Fingerabdrücke.<ref>Vgl ErwGr 133 Satz 4 sowie mwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 84 ff.</ref>
* Betreiber eines '''Emotionserkennungssystems''' oder eines Systems zur '''biometrischen Kategorisierung''' müssen die davon betroffenen natürlichen Personen über den Betrieb des Systems informieren und personenbezogene Daten datenschutzkonform<ref>Dabei wird explizit auf die DSGVO, die VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG und die RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates verwiesen.</ref> verarbeiten.<ref>Diese Pflicht gilt nicht für gesetzlich zur Aufdeckung, Verhütung oder Ermittlung von Straftaten zugelassene KI-Systeme, die zur biometrischen Kategorisierung und Emotionserkennung im Einklang mit dem Unionsrecht verwendet werden, sofern geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen.</ref>
* Betreiber eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein '''Deepfake''' sind, müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist. Ist der Inhalt Teil eines offensichtlich künstlerischen, kreativen, satirischen, fiktionalen oder analogen Werks oder Programms, so beschränken sich die Transparenzpflichten darauf, das Vorhandensein solcher erzeugten oder manipulierten Inhalte in geeigneter Weise offenzulegen, die die Darstellung oder den Genuss des Werks nicht beeinträchtigt.</ref> Denkbar ist bspw eine Umsetzung in Form eines sichtbaren Wasserzeichens, eines textlichen Hinweises, durch Hinzufügen von sog C2PA-Content Credentials<ref>Die C2PA („Coalition forContent Provenanceand Authenticity“) ist ein branchenübergreifendes Non-profit-Projekt, das die Entwicklung gemeinsamer technischer Standards zur Ermittlung der Herkunft von digitalen Inhalten zum Ziel hat. Siehe dazu https://c2pa.org/. So hat sich bspw LinkedIn bei der Erkennung KI-generierter Inhalte diesen Standards unterworfen: https://www.linkedin.com/help/linkedin/answer/a6282984. MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 150.</ref> oder bei Audioinhalten durch eine Ansage zu Beginn des Audioinhalts.<ref>''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 148 ff. </ref>
* Betreiber eines KI-Systems, das '''Text erzeugt oder manipuliert, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren''', müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist oder wenn die durch KI erzeugten Inhalte einem Verfahren der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.</ref> Diese Verpflichtung entfällt, wenn die betreffenden Inhalte vor ihrer Veröffentlichung einer menschlichen oder redaktionellen Kontrolle unterzogen wurden und eine Person die redaktionelle Verantwortung dafür trägt. Da die Anforderungen an die menschliche bzw redaktionelle Kontrolle nicht konkretisiert werden, unterwerfen sich bspw im journalistischen Bereich zahlreiche Medien freiwilligen Leitlinien (so etwa die [https://www.blm.de/files/pdf2/ki-leitlinien.pdf Leitlinien des Medienrats der Bayerischen Landeszentrale für neue Medien (BLM) zum Einsatz von Künstlicher Intelligenz im Journalismus]).<ref>MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 163 f.</ref>

=== KI-Systeme mit minimalem Risiko ===
Für KI-Systeme, die sich nicht unter die aufgezählten Bestimmungen (verbotene Praktiken, Hochrisiko-KI-Systeme, Transparenzpflichten) einteilen lassen, teilweise als "KI-Systeme mit minimalem Risiko" bezeichnet, sieht der AI Act keine zusätzlichen Pflichten vor. Andere nationale oder unionsrechtliche Vorschriften wie die DSGVO können dennoch auf diese Systeme anwendbar sein. Auf freiwilliger Ebene ist jedoch auch bei Systemen, die kein hohes Risiko bergen, eine (teilweise) Unterwerfung unter den AI Act möglich. Dies soll durch die Aufstellung von sog "Verhaltenskodizes" gefördert werden (Art 95 AI Act).

=== GPAI-Modelle (Art 51 ff AI Act) ===

==== Differenzierung: GPAI-Modelle ohne/mit systemischem Risiko (Art 51-52 AI Act) ====
Wie bereits in Bezug auf den Anwendungsbereich erläutert muss zwischen KI-Systemen und KI-Modellen unterschieden werden. Ein KI-Modell ist dabei nur ein Baustein/Bestandteil eines KI-Systems, weitere Komponenten wie eine Nutzerschnittstelle sind erforderlich, damit ein Modell zu einem KI-System wird (ErwGr 97 AI Act). Bspw bietet ChatGPT eine Nutzerschnittstelle, um auf diverse dahinterstehende GPT-Modelle zurückzugreifen. Während KI-Systeme in den risikobasierten Ansatz fallen (verbotene Systeme, Hochrisiko-KI-Systeme, Transparenzpflichten), unterliegen nur gewisse Modelle, nämlich GPAI-Modelle (in früheren Fassungen foundation models/Basismodelle) einer Sonderregulierung (Art 51 ff AI Act).

Dabei wird binär zwischen GPAI-Modelle ohne und GPAI-Modelle mit systemischem Risiko unterschieden.

Ein solches '''systemisches Risiko''' liegt vor (Art 51 AI Act),

* wenn das Modell über Fähigkeiten mit hohem Wirkungsgrad verfügt, die mithilfe geeigneter technischer Instrumente und Methoden, einschließlich Indikatoren und Benchmarks, bewertet werden. Dies wird angenommen, wenn die kumulierte Menge der für sein Training verwendeten Berechnungen, gemessen in Gleitkommaoperationen (floating point operations [FLOPs]),<ref>Definiert als "jede Rechenoperation oder jede Zuweisung mit Gleitkommazahlen, bei denen es sich um eine Teilmenge der reellen Zahlen handelt, die auf Computern typischerweise durch das Produkt aus einer ganzen Zahl mit fester Genauigkeit und einer festen Basis mit ganzzahligem Exponenten dargestellt wird (Art 3 Z 67 AI Act). Grafisch dargestellt in ''RTR'', FLOPs und der AI Act, https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/2024-07-19_FLOPs-AIA-DE.svg.</ref> mehr als 1025 beträgt. Dies dürfte zurzeit nur auf GPT-4 und potentiell Varianten von Gemini zutreffen. Liegen solche Fähigkeiten mit hohem Wirkungsgrad vor, hat der Anbieter die Kommission (unverzüglich) zu informieren (Art 52 AI Act).
* ein solches Risiko kann von Amts wegen/aufgrund einer Warnung von der Kommission in einer Entscheidung festgestellt werden (unter Einbeziehung der Kriterien in Anhang XIII bspw Anzahl der Parameter, Größe des Datensatzes, Multimodalität, etc)

==== Pflichten für Anbieter von GPAI-Modellen (Art 53 AI Act) ====
Anbieter von GPAI-Modellen (ohne systemisches Risiko) müssen (Art 53 AI Act):

* eine technische Dokumentation des Modells erstellen und aktualisieren (Mindestelemente in Anhang XI).<ref>Das heißt (soweit es anhand der Größe und des Risikoprofils des betreffenden Modells angemessen ist) erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; die Architektur und die Anzahl der Parameter; die Modalität [zum Beispiel Text, Bild] und das Format der Ein- und Ausgaben; die Lizenz) und zweitens eine '''ausführliche Beschreibung der Elemente des Modells''' und relevante Informationen zum Entwicklungsverfahren (bspw die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; die Entwurfsspezifikationen des Modells und des Trainingsverfahrens einschließlich Trainingsmethoden und -techniken, die wichtigsten Entwurfsentscheidungen mit den Gründen und getroffenen Annahmen; gegebenenfalls, was das Modell optimieren soll und welche Bedeutung den verschiedenen Parametern dabei zukommt; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden [zum Beispiel Bereinigung, Filterung usw.], der Zahl der Datenpunkte, ihres Umfangs und ihrer Hauptmerkmale; gegebenenfalls die Art und Weise, wie die Daten erlangt und ausgewählt wurden, sowie alle anderen Maßnahmen zur Feststellung, ob Datenquellen ungeeignet sind, und Methoden zur Erkennung ermittelbarer Verzerrungen; die für das Trainieren des Modells verwendeten Rechenressourcen [zum Beispiel Anzahl der Gleitkommaoperationen], die Trainingszeit und andere relevante Einzelheiten im Zusammenhang mit dem Trainieren; bekannter oder geschätzter Energieverbrauch des Modells).</ref> Diese muss auf Anfrage Behörden zur Verfügung gestellt werden.
* Informationen und die Dokumentation (Mindestelemente in Anhang XII)<ref>Das heißt erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; gegebenenfalls wie das Modell mit Hardware oder Software interagiert, die nicht Teil des Modells selbst ist, oder wie es zu einer solchen Interaktion verwendet werden kann; gegebenenfalls die Versionen der einschlägigen Software im Zusammenhang mit der Verwendung des KI-Modells mit allgemeinem Verwendungszweck; die Architektur und die Anzahl der Parameter; die Modalität (zum Beispiel Text, Bild) und das Format der Ein- und Ausgaben; die Lizenz für das Modell) und zweitens eine '''Beschreibung der Bestandteile des Modells und seines Entwicklungsprozesses (bspw''' die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; Modalität [zum Beispiel Text, Bild usw.] und Format der Ein- und Ausgaben und deren maximale Größe [zum Beispiel Länge des Kontextfensters usw.]; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden.)</ref> erstellen und aktualisieren und sie Anbietern von KI-Systemen zur Verfügung stellen, die beabsichtigen, das KI-Modell mit allgemeinem Verwendungszweck in ihre KI-Systeme zu integrieren. Diese Informationen und die Dokumentation müssen die Anbieter von KI-Systemen in die Lage versetzen, die Fähigkeiten und Grenzen des KI-Modells mit allgemeinem Verwendungszweck gut zu verstehen und ihren Pflichten gemäß dem AI Act nachzukommen.
* eine Strategie zur Einhaltung des Urheberrechts der Union und damit zusammenhängender Rechte auch durch modernste Technologien, auf den Weg bringen
* eine hinreichend detaillierte Zusammenfassung der für das Training des GPAI-Modells verwendeten Inhalte erstellen und veröffentlichen

===== Pflichten für Anbieter von GPAI-Modellen mit systemischem Risiko (Art 55 AI Act) =====
Anbieter von GPAI-Modellen mit systemischem Risiko müssen (zusätzlich) (Art 55 AI Act):

* eine Modellbewertung mit standardisierten Protokollen und Instrumenten, die dem Stand der Technik entsprechen, durchführen (inklusive der Durchführung und Dokumentation von Angriffstests beim Modell gehören, um systemische Risiken zu ermitteln und zu mindern)
* mögliche systemische Risiken auf Unionsebene bewerten und mindern,
* einschlägige Informationen über schwerwiegende Vorfälle und mögliche Abhilfemaßnahmen erfassen und dokumentieren und die Behörden darüber unterrichten
* ein angemessenes Maß an Cybersicherheit für die Modelle und die physische Infrastruktur des Modells gewährleisten.

===== Praxisleitfäden (codes of practice) (Art 56 AI Act) =====
Die genannten Pflichten sollen dabei durch sog Praxisleitfäden auf Unionsebene konkretisiert werden, die unter Berücksichtigung internationaler Ansätze zur ordnungsgemäßen Anwendung dieser Verordnung beizutragen sollen (Art 56 Abs 1 AI Act).

Die Praxisleitfäden sollen mindestens die in Art 53-55 AI Act vorgesehenen Pflichten abdecken, darunter (Art 56 Abs 2 AI Act)

* Mittel, mit denen sichergestellt wird, dass die in Art 53 Abs 1 lit a und b AI Act genannten Informationen (technische Dokumentation des Modells; Information und Dokumentation für die Integrierung des Modells) vor dem Hintergrund der Marktentwicklungen und technologischen Entwicklungen auf dem neuesten Stand gehalten werden
* die angemessene Detailgenauigkeit bei der Zusammenfassung der für das Training verwendeten Inhalte
* die Ermittlung von Art und Wesen der systemischen Risiken auf Unionsebene
* die Maßnahmen, Verfahren und Modalitäten für die Bewertung und das Management der systemischen Risiken auf Unionsebene

Für die Ausarbeitung solcher Leitfäden können alle '''Anbieter''' von KI-Modellen mit allgemeinem Verwendungszweck sowie die einschlägigen zuständigen nationalen '''Behörden''' ersucht werden, sich an der Ausarbeitung von Praxisleitfäden zu beteiligen. Organisationen der '''Zivilgesellschaft''', die Industrie, die '''Wissenschaft''' und andere einschlägige '''Interessenträger''' wie nachgelagerte Anbieter und unabhängige Sachverständige können den Prozess ebenfalls unterstützen (Art 65 Abs 3 AI Act).

Ein erster Entwurf eines solchen Leitfadens, ausgearbeitet von internationalen Expert*innen, wurde im November 2024 von der Europäischen Kommission präsentiert.<ref>''European Commission'', First Draft of the General-Purpose AI Code of Practice published, written by independent experts, https://digital-strategy.ec.europa.eu/en/library/first-draft-general-purpose-ai-code-practice-published-written-independent-experts (Stand 14. 11. 2024).

</ref> Für den am 10. Juli 2025 veröffentlichten Praxisleitfaden hat die EU-Kommissionen eine allgemeine [https://digital-strategy.ec.europa.eu/de/faqs/questions-and-answers-code-practice-general-purpose-ai "FAQ-Sektion"] angelegt, um zusätzliche Informationen bereitzustellen.

Die Befugnisse für die '''Aufsicht, Ermittlung, Durchsetzung und Überwachung''' in Bezug auf Anbieter von GPAI-Modellen werden (ausschließlich) der Kommission zugewiesen und in den Art 88-94 AI Act abweichend geregelt.

== Durchsetzung/Rechtsbehelfe (Art 85-87 AI Act) ==
Der AI Act normiert nur wenige Rechtsbehelfe für Betroffene.
{| class="wikitable"
|+
!Hinweis:
|-
|In Bezug auf mögliche Rechtsbehelfe muss der AI Act, der diesbezüglich nur eingeschränkte Möglichkeiten bereithält, im Zusammenhang mit der AILD und PLD gesehen werden.
|}

=== Recht auf Beschwerde bei der Marktüberwachungsbehörde (Art 85 AI Act) ===
Zunächst kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass gegen die Bestimmungen des AI Act verstoßen wurde, unbeschadet anderer Rechtsbehelfe, bei der betreffenden Marktüberwachungsbehörde Beschwerden einreichen. Diese Beschwerden werden für die Zwecke der Durchführung von Marktüberwachungstätigkeiten berücksichtigt.

Stand November 2025 wurde in Österreich noch keine Behörde als zuständige Marktüberwachungsbehörde eingerichtet oder benannt. Bereits mit 2. November 2024 sind jedoch einige Behörden und öffentliche Stellen im Grundrechtsbereich gemäß Art 77 Abs 2 mit Aufsichts- und Durchsetzungsbefugnissen für Grundrechte insb im Zusammenhang mit Hochrisiko-KI ausgestattet worden, darunter die Volksanwaltschaft, die Datenschutzbehörde, die Arbeiterkammer, die Gleichbehandlungskommission, die Behindertenanwaltschaft, die KommAustria uvm.<ref>Mehr dazu unter: https://www.digitalaustria.gv.at/themen/kuenstliche-intelligenz/behoerden-art77-ai-act.html.</ref> Dabei treffen auch die (künftig) zuständige Marktüberwachungsbehörde umfassende Kooperationspflichten, wie etwa die Meldung schwerwiegender Grundrechtsvorfälle in diesem Kontext an die genannten Einrichtungen (vgl Art 73 Abs 7 und Art 79 Abs 2 AI Act).<ref>Vgl ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 103, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Dazu hat die Kommission entsprechende Leitlinien zu veröffentlichen, die sich gerade in Ausarbeitung befinden.<ref>Nähere Informationen unter: https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks.</ref>

=== Recht auf Erläuterung der Entscheidungsfindung im Einzelfall (Art 86 AI Act) ===
Zweitens haben Personen,

* die von einer Entscheidung im Einzelfall betroffen sind,
* die der Betreiber auf der Grundlage der Ausgaben eines in Anhang III aufgeführten Hochrisiko-KI-Systems getroffen hat (somit nur eigenständige Hochrisiko-KI-Systeme;<ref>Eine Ausnahme besteht für Hochrisiko-KI-Systeme im Bereich kritische Infrastruktur.</ref> eingebettete Hochrisiko-KI-Systeme wie Medizinprodukte sind nicht erfasst)
* und die rechtliche Auswirkungen hat oder
* sie in ähnlicher Art erheblich auf eine Weise beeinträchtigt, die ihrer Ansicht nach ihre Gesundheit, ihre Sicherheit oder ihre Grundrechte beeinträchtigt,
das Recht, vom Betreiber eine klare und aussagekräftige '''Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess''' und zu den '''wichtigsten Elementen der getroffenen Entscheidung''' zu erhalten (Recht auf Erläuterung der Entscheidungsfindung im Einzelfall gemäß Art 86 Abs 1 AI Act oder auch gemeinhin als '''"Recht auf Erklärung"''' bezeichnet).<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; ''Müller/Scheichenbauer/Schneeberger'', Der Auskunftsanspruch im Zeitalter KI-gestützter Entscheidungsprozesse. Querverbindungen von Art 15 Abs 1 lit h iVm Art 22 DSGVO und Art 86 AI Act in der Praxis, in ''Jahnel'' (Hrsg), Jahrbuch Datenschutzrecht 2024 (2025) 157; ''Poindl/Müller,'' Das Recht auf Erklärung im AI Act. Betroffenenrecht mit Potenzial oder Papiertiger?, VbR 2025, 40. </ref> Dabei ist es unerheblich, ob das KI-System die Entscheidung gänzlich autonom getroffen hat oder unterstützend beteiligt war, es darf lediglich keine untergeordnete Rolle im Entscheidungsprozess gespielt haben. Steht das Recht auf Erklärung zu, hat die betroffene Person einerseits das Recht, eine Erklärung über die Rolle des KI-Systems im Entscheidungsprozess zu verlangen, worunter einerseits Informationen über die zentralen Aufgaben des Systems im Entscheidungsprozess fallen (zB Zielgruppenselektion, Datenanalyse, Vorgabe der Entscheidung usw.) und andererseits auch der Grad dessen Beteiligung (gering, mittel, hoch), was umgekehrt auch den Grad menschlicher Beteiligung an der Entscheidungsfindung erfordert. Weiters sind die wichtigsten Elemente der Entscheidung zu beauskunften, beispielsweise Eingabedaten, wesentliche Entscheidungsgründe, kontrafaktische Erklärungen (inwiefern hätten andere Parameter zu einer anderen Entscheidungen geführt), die Auswirkungen der Entscheidung, die Gewichtung der einzelnen Kriterien und die Verarbeitungslogik (Informationen über die grobe Funktionsweise des KI-Systems, keine komplette Offenlegung des algorithmischen Codes). Weiters muss die Erklärung präzise, korrekt, verständlich, nicht zu technisch (keine komplexen mathematischen Formeln), aber dennoch vollständig sein.<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; </ref> Letzter Referenzpunkt ist stets, ob die betroffene Person auf Basis der erlangten Informationen weitere Rechte geltend machen kann, da das Recht auf Erklärung auch oft als "Türöffner" für die Geltendmachung weiterer Rechte dient (so wird bspw eine Klage wegen Diskriminierung in einem Entscheidungsprozess erst erhoben werden können, wenn die betroffene Person genügend Informationen hat, um die Diskriminierung darzulegen, bspw die Gewichtung von bestimmten persönlichen Merkmalen, die ausschlaggebend für die Entscheidung war).

Es handelt sich somit um ein nachgelagertes bzw ''ex post'' Recht, das nicht nur globale, abstrakte Systemerklärungen erfordert, sondern auch lokale, einzelfallbezogene Auskünfte umfasst, damit die betroffene Person die Informationen wirksam nutzbar machen kann . Das Recht auf Erklärung steht Betroffenen gegenüber Betreibern und nicht gegenüber Anbietern zu, wobei letztere wiederum Betreibern entsprechende Betriebsanleitungen bereitzustellen haben (Art 13 AI Act).

Das Recht auf Erklärung gilt nicht, sofern Ausnahmen nach Unionsrecht oder nationalem Recht bestehen (Art 86 Abs 2). Zu denken wäre hier etwa an Beschränkungen der Informationspflicht aufgrund geschützter Betriebs- oder Geschäftsgeheimnisse, wobei diese nicht zu einer pauschalen Auskunftsverweigerung führen dürfen. Art 86 Abs 1 gilt überdies nur insoweit, als dieses Recht nicht anderweitig im Unionsrecht festgelegt ist (Art 86 Abs 3 AI Act). In Hinblick auf diese [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung Subsidiarität] ist insbesondere an das Auskunftsrecht nach Art 15 DSGVO (iVm Art 22 DSGVO) zu denken.

Das Recht auf Erklärung ist immer dann relevant, wenn Unternehmen, Behörden etc. KI in Entscheidungsfindungsprozessen einsetzen, die Auswirkungen auf bestimmte Personen(-gruppen) haben. Zu denken ist etwa an KI-basierte Entscheidungen über die Vergabe von Krediten, über die Berücksichtigung einer Bewerbung, über die Höhe einer Versicherungsprämie oder personalisierte Werbeschaltungen auf Basis von Emotionserkennung.

Zum Umgang mit dem Recht auf Erklärung in der Praxis hat das ''Research Institute'' im Auftrag des Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz Leitlinien entwickelt:

* [https://www.sozialministerium.gv.at/dam/jcr:f1685e43-21b8-48f3-9fe5-2c61898960ae/Final_Aufkl%C3%A4rung%204.0_Unternehmensleitfaden_April2025.pdf Leitfaden für Unternehmen] im Umgang mit Art 86 AI Act
* [https://www.sozialministerium.gv.at/dam/jcr:40ba630c-39af-4b8d-8768-a69192427b09/Final_Aufkl%C3%A4rung%204.0_Konsumentinnenleitfaden_April2025.pdf Leitfaden für Konsument:innen und ihre Interessenvertretungen] zur Durchsetzung ihrer Rechte
* [https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf Theoretischer Grundlagenbericht] zur wissenschaftlichen Fundierung der ausgesprochenen Empfehlungen

=== Meldung von Verstößen und Schutz von Hinweisgebern (Art 87 AI Act) ===
Zusätzlich normiert Art 87 AI Act, dass für die Meldung von Verstößen und den Schutz von Personen, die solche Verstöße melden, die Richtlinie zum Schutz von Whistleblowern gilt.<ref>RL (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ABl L 2019/305, 17.</ref>

== Bedeutung von Normen und Standards (Art 40-42 AI Act) ==
Die Kommission hat die Entwicklung von '''harmonisierten Normen''', die derzeit nicht existieren beauftragt.<ref>Commission Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligence, C(2023)3215, https://ec.europa.eu/transparency/documents-register/detail?ref=C(2023)3215&lang=en.</ref> Solche Normen werden im Amtsblatt der EU veröffentlicht.

Stimmen Hochrisiko-KI-Systeme oder GPAI-Modelle mit solchen harmonisierten Normen überein, wird eine Konformität mit den Anforderungen an Hochrisiko-KI-Systeme (Art 8 ff AI Act) oder gegebenenfalls mit den Pflichten für die Anbieter von GPAI-Modellen (Art 53 ff AI Act) vermutet ('''Konformitätsvermutung'''), soweit diese Anforderungen oder Verpflichtungen von den Normen abgedeckt sind (Art 40 AI Act). Diesen harmonisierten Normen kommt somit eine hohe Bedeutung zu, für Rechtssicherheit zu sorgen und die abstrakten Anforderungen des AI Act zu konkretisieren.<ref>MwN ''Ebers'', Standardisierung Künstlicher Intelligenz und KI-Verordnungsvorschlag, RDi 2021, 588.</ref>
{| class="wikitable"
|+
!Hinweis:
|-
|Derartige harmonisierte Normen befinden sich derzeit in Entwicklung und wurden noch nicht veröffentlicht (siehe unterhalb).
|}
Subsidiär kann die Kommission, wenn strenge Bedingungen erfüllt sind (harmonisierte Normen wurden nicht ausgearbeitet oder entsprechen nicht dem Auftrag), Durchführungsrechtsakte zur Festlegung '''gemeinsamer Spezifikationen''' erlassen, mit denen ebenfalls eine solche Konformitätsvermutung einhergeht (Art 41 AI Act).

Ein Kurzüberblick über die Bedeutung von harmonisierten Normen und in Entwicklung befindliche Normen wurde vom Joint Research Centre der Kommission publiziert.<ref>''Soler Garrido/de Nigris/Bassani/Sanchez/Evas/André/Boulangé'', Harmonised Standards for the European AI Act (2024), https://publications.jrc.ec.europa.eu/repository/handle/JRC139430.</ref>

Weitere Konformitätsvermutungen werden in Art 42 AI Act in Bezug auf die Daten-Governance (Art 10 AI Act) und die Cybersicherheit (Art 15 AI Act) für Hochrisiko-KI-Systeme normiert, die mit entsprechenden Daten trainiert und getestet wurden bzw die Cybersicherheitszertifizierungen durchlaufen sind, normiert.

= Synergien =

=== Grundlegende Überschneidungen zwischen dem AI Act und der Datenschutz-Grundverordnung (DSGVO) ===

* Da KI-Systeme bzw -Modelle häufig personenbezogene Daten verarbeiten - bspw im Rahmen des Trainings eines KI-Modells oder zur Entscheidungsunterstützung in Bezug auf konkrete Personen -, stellt sich unweigerlich die Frage nach dem Zusammenwirken des AI Act mit der DSGVO.<ref>Der Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA) des LfDI Baden-Württemberg enthält eine Auswahl von Orientierungshilfen verschiedener Aufsichtsbehörden und Gremien zu den Schnittstellen von DSGVO und KI: https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0. MwN ''Holtz/Ledendal,'' AI Data Governance - Overlaps Between the AI Act and the GDPR (iE, 2026): https://uu.diva-portal.org/smash/record.jsf?pid=diva2%3A1996843&dswid=-4177 sowie der [https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/DE-Bridge-Blueprint-v.0.9.pdf "Bridge Blueprint"-Entwurf] zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). </ref> Letztere knüpft ihren Anwendungsbereich nämlich an die Verarbeitung personenbezogener Daten iSd Art 4 Abs 1 DSGVO, worunter alle Informationen zu verstehen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO ist seit 2018 in Anwendung und verfolgt den Grundsatz, dass jegliche Verarbeitung personenbezogener Daten verboten ist, es sei denn, es liegt ein Erlaubnistatbestand nach Art 6 Abs 1 DSGVO vor. Für die Verarbeitung sog "sensibler Daten" nach Art 9 DSGVO (zB Gesundheitsdaten, die ethnische Herkunft, die religiöse Weltanschauung etc.) legt sie noch strengere Maßstäbe an. Damit verfolgt die DSGVO einen horizontalen sowie prinzipienbasierten Ansatz, wonach bei der Verarbeitung personenbezogener Daten bestimmte Anforderungen und Grundsätze einzuhalten sind, ungeachtet der verwendeten Technologie, des Sektors oder des Einsatzgebiets.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 32, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref> Darüber hinaus orientiert sich die Verordnung daran, inwieweit eine bestimmte Datenverarbeitung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt ("risikobasierter Ansatz"), wonach sich letztendlich die Strenge der von ihr vorgeschriebenen Verpflichtungen bemisst. Der AI Act erkennt das Primat der DSGVO in Art 2 Abs 7 an und statuiert, dass er deren Anwendungsbereich unberührt lässt. Somit gehen im Falle der Verarbeitung personenbezogener Daten durch eine KI-Anwendung die Regelungen der DSGVO grundsätzlich vor, während der AI Act dem ergänzend eine produktsicherheitsrechtliche Komponente beifügt, die während der Entwicklung und des Einsatzes von KI zu beachten ist.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 33, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref> Überschneidungen beider Rechtsakte ergeben sich bspw, sobald ein KI-Modell mit personenbezogenen Daten trainiert werden soll. In diesem Fall braucht es eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO, wobei hier am ehesten die berechtigten Interessen des Verantwortlichen nach lit f infrage kommen. So hat sich bspw der Facebook-Mutterkonzern Meta auf berechtigte Interessen berufen, um sein Sprachmodell "LLaMA" hinter seiner "Meta AI" mit Nutzerdaten zu trainieren. Dagegen erhob die Verbraucherschutzzentrale NRW Klage, letztendlich entschied jedoch das OLG Köln in seinem Beschluss vom 23.05.2025 (15 UKl 2/25), dass sich Meta für das KI-Training mit Nutzerdaten auf berechtigte Interessen stützen könne.<ref>Nähere Informationen unter: https://www.verbraucherzentrale.nrw/urteilsdatenbank/digitale-welt/olg-koeln-weist-eilantrag-der-verbraucherzentrale-nrw-gegen-meta-wegen-kitraining-zurueck-108065.</ref>

=== Folgenabschätzungen: Datenschutz- und Grundrechte-Folgenabschätzung ===
* Der Anwendungsbereich einer Datenschutz-Folgenabschätzung (Art 35 DSGVO) kann sich mit einer Grundrechte-Folgenabschätzung (Art 27 AI Act) überschneiden, wobei eine integrierte Folgenabschätzung durchgeführt werden kann.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 23 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Umgekehrt ist laut Art 35 DSGVO immer dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei Verwendung neuer Technologien. Darunter fallen gemäß §2 Abs 2 Z 4 DSFA-V<ref>Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), BGBl. II Nr. 278/2018.</ref> insbesondere Datenverarbeitung unter Einsatz von künstlicher Intelligenz, welcher jedenfalls die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach sich zieht. Somit löst auch der Einsatz von KI unter gewissen Voraussetzungen datenschutzrechtliche Pflichten aus.

=== Verarbeitung von sensiblen Kategorien personenbezogener Daten (Art 9 DSGVO) ===
* Um Verzerrungen (Bias) zu zu erkennen und zu korrigieren, dürfen Anbieter, wenn es unbedingt erforderlich ist, unter strengen Auflagen sensible Kategorien von personenbezogenen Daten (Art 9 DSGVO) verarbeiten (Art 10 Abs 5 AI Act).<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Bei der Entwicklung/Training leistungsfähigerer KI-Modelle kann es zu Friktionen zwischen Art 15 AI Act, der angemessene Genauigkeit iSv Performanz fordert, und Art 9 DSGVO, der die Verarbeitung sensibler personenbezogener Daten prinzipiell verbietet, kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 25 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Zwar gab der Europäische Datenschutzausschuss Ende 2024 eine Stellungnahme zum Training von KI-Modellen heraus, diese behandelt die potentielle Friktion mit Art 9 DSGVO jedoch nur am Rande.<ref>''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.</ref>

=== Unterschiedliche Verantwortlichkeiten ===

* Die DSGVO stellt primär auf den Verantwortlichen ab. Diese Rolle wird häufig der Betreiber iSd AI Act einnehmen. Die meisten Pflichten nach dem AI Act sind aber primär an Anbieter adressiert. Daher kann es zu einem Auseinanderfallen der Verantwortlichkeiten kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>

=== Risikoanalyse: Digital Services Act (DSA) vs AI Act ===
* Der DSA legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten. Ebenso zielt das Regelwerk auf den Schutz sowie die Gewährleistung einer effektiven Grundrechtsausübung und normiert umfassende Verpflichtungen für Anbieter von Online-Diensten in Form eines abgestuften Regelungsansatzes, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Dabei kennt der DSA folgende Anbieterkategorien: Anbieter von allgemeinen Vermittlungsdiensten, Hostingdiensten, Online- sowie Transaktionsplattformen und sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs). Überschneidungen mit dem AI Act können sich auf zweierlei Weise ergeben: Einerseits können KI-Anwendungen zur Generierung oder Manipulation von Inhalten verwendet werden, die dann über Vermittlungsdienste geteilt werden. Andererseits können KI-Systeme das Kernangebot des Diensteanbieters ausmachen, in der Inhaltsmoderation eingesetzt werden oder Produkt- bzw Service-Empfehlungen auf Basis von Nutzerverhalten ("Empfehlungsalgorithmen") schalten.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 48, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref> Allgemeine Synergien sind dem [[Digital Services Act (DSA)|Eintrag über den DSA]] zu entnehmen.
* Weiters kann es bei VLOPs und VLOSEs, die generative KI, bspw GPAI-Modelle, integrieren, zu einer Überschneidung zwischen [[Digital Services Act (DSA)|DSA]] und AI Act in Bezug auf die notwendige Risikoanalyse kommen. So fordern die Artikel 34 und 35 DSA die Analyse jener potenzieller systemischer Risiken, die sich durch das Design, die Funktion oder die Nutzung ihrer Services ergeben, insbesondere im Zusammenhang mit algorithmischen Systemen oder Systemen zur Inhaltsmoderation. Demgegenüber legt der AI Act in Art 17 die Verpflichtung für Anbieter von Hochrisiko-KI-Systemen zur Etablierung eines Risikomanagementsystems gemäß Art 9 AI Act fest und sieht spezielle Anforderungen für Anbieter von GPAI-Modellen mit systemischem Risiko vor (Art 55 Abs 1 lit b AI Act). Daher wird teilweise für eine konsolidierte und technologieübergreifende Risikoanalyse plädiert, wobei dem Umstand, dass mehrere Technologien verknüpft sind, entsprechend Rechnung getragen werden muss.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 19 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Im Fall von Anbietern von Hochrisiko-KI-Systemen sieht der AI Act sogar explizit die Möglichkeit vor, Risikomanagementprozesse nach anderen unionsrechtlichen Bestimmungen mit jenen nach dem AI Act zu kombinieren (vgl Art 9 Abs 10 AI Act).<ref>MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 49, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>

=== Überlappende Anforderungen mit anderem Produktsicherheitsrecht ===

* Art 8 Abs 2 AI Act betont für Produkte, die bereits untere andere Produktsicherheitsvorschriften fallen (Anhang I Abschnitt A), "im Hinblick auf die Gewährleistung der Kohärenz, der Vermeidung von Doppelarbeit und der Minimierung zusätzlicher Belastungen" die Anbieter die Wahl haben, die erforderlichen Test- und Berichterstattungsverfahren, Informationen und Dokumentationen gegebenenfalls in existierende Dokumentationen und Verfahren zu integrieren.

=== Integriertes/kombiniertes Risikomangement ===

* Anbieter von Hochrisiko-KI-Systemen, die den Anforderungen an interne Risikomanagementprozesse gemäß anderen einschlägigen Bestimmungen des Unionsrechts unterliegen, können die in Art 9 AI Act enthaltenen Aspekte als Bestandteil der nach diesem Recht festgelegten Risikomanagementverfahren integrieren bzw die Verfahren kombinieren (Art 9 Abs 10 AI Act).

=== Cybersicherheitsanforderungen ===

* Art 15 Abs 1 AI Act normiert, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden müssen, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen. Neben den in Art 15 Abs 5 AI Act konkretisierten speziellen Maßnahmen an die Cybersicherheit von KI-Systemen bleiben auch andere Anforderungen, bspw nach [[Network and Information Security Directive (NIS II-RL)|NIS2-RL]] anwendbar.

=== Recht auf Erläuterung ===

* In Bezug auf das in [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Art 86 AI Act normierte Recht auf Erläuterung] besteht potentiell eine Subsidiarität gegenüber anderen Auskunftsansprüchen, insb der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO iVm Art 22 DSGVO. Demnach steht Personen, die von einer automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling betroffen sind, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt, das Recht zu, neben allgemeinen Informationen über die Verarbeitung ihrer personenbezogenen Daten aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und Auswirkungen einer derartigen Verarbeitung zu verlangen. Inhaltlich richtet sich der Auskunftsanspruch nach Art 15 Abs 1 lit h DSGVO gemäß rezenter EuGH-Judikatur insb auf die Erläuterung des Verfahrens und der Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen und zu dem bestimmten Ergebnis geführt haben.<ref>Vgl EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117, Rz 58. </ref> Die Frage nach einer potenziellen Subsidiarität von Art 86 AI Act gegenüber den entsprechenden datenschutzrechtlichen Vorschriften hängt von unterschiedlichen Fallszenarien ab, in denen die jeweils verwendeten Technologien und verarbeiteten Datenkategorien zu unterschiedlichen Ergebnissen führen können:
{| class="wikitable"
|+
!
!Art 86 AI Act
!Art 15 Abs 1 lit h iVm Art 22 DSGVO
!Rechtsfolge
|-
|Hochrisiko-KI-Einsatz in Entscheidungsfindungsprozessen, in denen entweder keine personenbezogenen Daten gemäß Art 4 Z 1 DSGVO verarbeitet werden (zB Verarbeitung lediglich aggregierter Daten) oder keine vollautomatisierte Entscheidung iSd Art 22 DSGVO getroffen wird (etwa weil ein Mensch maßgeblich an der Entscheidungsfindung beteiligt ist)
|Anwendbar
|Nicht anwendbar
|Das Recht auf Erklärung steht vollumfänglich wie in Art 86 Abs 1 dargelegt zu (bei Vorliegen der übrigen Voraussetzungen). Der betroffenen Person sind somit klare und aussagekräftige Erläuterungen zur Rolle des KI-Systems im Entscheidungsprozess und zu den wichtigsten Elementen der getroffenen Entscheidung zu übermitteln, wobei die Erklärung einzelfallbezogen und auf das konkrete Ergebnis gerichtet sein muss. Der Anwendungsbereich von Art 15 (Abs 1 lit h iVm Art 22) DSGVO ist hingegen nicht eröffnet. Das Recht, die Entscheidung anzufechten, steht - zumindest gemäß AI Act - nicht zu.
|-
|Es findet eine vollautomatisierte Entscheidungsfindung auf Basis der Verarbeitung personenbezogener Daten statt, allerdings ohne Beteiligung eines Hochrisiko-KI-Systems iSd Art 6 Abs 2 iVm Anhang III AI Act (bspw wird die Entscheidung durch einen herkömmlichen Algorithmus getroffen, der Anforderungen an ein KI-System nach Art 3 Z 1 AI Act nicht erfüllt oder das KI-System fällt nicht in den Hochrisiko-KI-Bereich)
|Nicht anwendbar
|Anwendbar
|Der Auskunftsanspruch gemäß Art 15 (Abs 1 lit h iVm Art 22) DSGVO steht bei Vorliegen der übrigen Voraussetzungen zu, während das Recht auf Erklärung nach Art 86 AI Act keine Anwendung findet. Es sind der betroffenen Person somit Informationen über die involvierte Logik, Tragweite und Auswirkungen der Entscheidung zu übermitteln, wobei Informationen über die Rolle des eingesetzten Systems nicht darunter fallen. Im Unterschied zu Art 86 AI Act ist in Bezug auf Art 15 Abs 1 lit h DSGVO jedoch noch unklar, ob auch eine Verpflichtung zu einer einzelfallbezogenen Begründung der konkret erzielten Ergebnisse besteht, die über eine abstrakte/allgemeine Erklärung hinausgeht.<ref>Vgl etwa das EuGH-Urteil in der RS Dun & Bradstreet, welches stärker auf das lokale Element, dh die Einzelentscheidung, abzustellen scheint (EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117). MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 71, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Art 22 Abs 3 DSGVO enthält jedoch im Gegensatz zum AI Act das Recht, die Entscheidung anzufechten.
|-
|Verarbeitung personenbezogener Daten im Rahmen der Entscheidungsfindung, Einsatz eines Hochrisiko-KI-Systems, vollautomatisierte Entscheidungsfindung
|Anwendbar
|Anwendbar
|Der Anspruch nach Art 86 AI Act tritt ergänzend zu jenem nach der DSGVO hinzu und richtet sich auf jene Informationen, die nach Art 15 DSGVO nicht zu beauskunften sind (bspw die Rolle des KI-Systems im Entscheidungsprozess sowie jedenfalls einzelfallbezogene, lokale Erklärungen). Es handelt sich somit um eine sog "Lückenfüller-Position" von Art 86 AI Act.<ref>Dieser Ansicht folgend und mwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 96 ff, <nowiki>https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf</nowiki>.</ref>
|}
In der Regel werden Betroffene in der Praxis wohl beide Ansprüche gleichzeitig geltend machen. Dies ist allerdings nur möglich, sofern beide Ansprüche auch gegenüber der selben Person bzw Einrichtung geltend zu machen sind. Denn während das Recht auf Erklärung nach Art 86 AI Act gegen den Betreiber des KI-Systems zusteht, ist der Auskunftsanspruch gemäß Art 15 Abs 1 lit h DSGVO gegen jene Person oder Stelle zu richten, welche die Entscheidung getroffen hat (welche zwar meist aber nicht zwangsläufig mit der Person des datenschutzrechtlich Verantwortlichen iSd Art 4 Z 7 DSGVO ident sein wird<ref>Dieser Argumentation folgend: ''Ziegenhorn,'' Wer ist Adressat des Art. 22 DSGVO? Zur Abgrenzung des Entscheiders vom Verantwortlichen, CR 2024, 586.</ref>). Die unterschiedlichen Rollen nach AI Act und DSGVO können somit zusammenfallen, müssen dies allerdings nicht, wodurch sich unterschiedliche Verpflichtungen für die beteiligten Akteure ergeben können.

=== Produkthaftungsrichtlinie neu und Vorschlag für eine AI Liability Directive [zurückgezogen] ===

* Die Produkthaftungsrichtlinie neu (PHRL neu) und insbesondere der (zurückgezogene)<ref>Annexes to the Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. Commission work programme 2025, (11.2.2025) COM(2025) 45 final, 26.</ref> Vorschlag für eine AI Liability Directive (AILD) nehmen direkt auf den AI Act Bezug und verweisen bei der Begriffsverwendung häufig auf diesen. Die AILD kann somit nicht ohne den Kontext des AI Act verstanden werden. So sollten die Pflichten in Bezug auf Hochrisiko-KI-Systeme (Art 8-15 AI Act) wichtige Sorgfaltspflichten in der AILD bilden ([[KI-Haftungsregelungen#AI Act und AILD|siehe ausführlicher im Rahmen der Haftungsregeln]]).

= Sanktionen/sonstige Konsequenzen =

=== Sanktionen (Art 99 AI Act) ===
Art 99 Abs 1 AI Act übertragt die Festsetzung von Sanktionen primär den MS und normiert nur grobe '''Richtlinien''' dafür. Die Kommission hat jedoch Leitlinien (Art 96 AI Act) zu veröffentlichen, die zu berücksichtigen sind.
{| class="wikitable"
|+
!Hinweis
|-
|Zum derzeitigen Stand gibt es noch kein nationales Durchführungsgesetz, das die Sanktionen konkretisiert.
|}
Somit sind nach dieser Bestimmung Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen, zu denen auch Verwarnungen und nicht monetäre Maßnahmen gehören können, von den MS zu erlassen. MS müssen alle Maßnahmen ergreifen, die für deren ordnungsgemäße und wirksame Durchsetzung notwendig sind.

Die vorgesehenen Sanktionen müssen '''wirksam, verhältnismäßig''' und '''abschreckend''' sein und die '''Interessen von KMU''' sowie deren wirtschaftliches Überleben berücksichtigen.

Jeder MS erlässt auch Vorschriften darüber, in welchem Umfang '''gegen Behörden und öffentliche Stellen''' im MS Geldbußen verhängt werden können (Art 99 Abs 8 AI Act).

Die höchsten Geldstrafen drohen für eine Verletzung gegen die verbotenen Praktiken (Art 5 AI Act). Bei Missachtung des Verbots werden '''Geldbußen von bis zu 35 000 000''' Euro oder — im Falle von Unternehmen — von bis zu '''7% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 3 AI Act).

Für Verstöße gegen andere Bestimmungen werden '''Geldbußen von bis zu 15 000 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''3 % des gesamten weltweiten Jahresumsatze'''s des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 4 AI Act):

* Verstöße gegen Pflichten der Anbieter (Art 16 AI Act)
* Verstöße gegen Pflichten der Bevollmächtigten (Art 22 AI Act)
* Verstöße gegen Pflichten der Einführer (Art 23 AI Act)
* Verstöße gegen Pflichten der Händler (Art 24 AI Act)
* Verstöße gegen Pflichten der Betreiber (Art 26 AI Act)
* Verstöße gegen für notifizierte Stellen geltende Anforderungen und Pflichten (Art 31, Art 33 Abs 1, 3, 4, Art 34 AI Act)
* Verstöße gegen Transparenzpflichten für Anbieter und Betreiber (Art 50)
Für die Bereitstellung von '''falschen, unvollständigen''' oder '''irreführenden Informationen''' an notifizierte Stellen oder zuständige nationalen Behörden werden '''Geldbußen von bis zu 7 500 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''1% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 5 AI Act).

Um nicht die Wirtschaft zugunsten von größeren Unternehmen zu verzerren sieht Art 99 Abs 6 AI Act '''Sondervorschriften für KMUs''' vor. Diesbezüglich gilt für jede genannte Geldbuße der jeweils niedrigere Betrag aus den genannten Prozentsätzen oder Summen.

Art 99 Abs 7 AI Act präzisiert, welche '''Kriterien''' bei der Entscheidung, ob eine Geldbuße verhängt wird, und bei der Festsetzung der Höhe der Geldbuße zu berücksichtigen sind.<ref>In jedem Einzelfall sind alle relevanten Umstände der konkreten Situation zu berücksichtigen. Darüber hinaus sind bspw die Art, Schwere und Dauer des Verstoßes und seiner Folgen; Größe, Jahresumsatz und Marktanteil des Akteurs; jegliche anderen erschwerenden oder mildernden Umstände etc.</ref>

=== Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union (Art 100 AI Act) ===
Parallel dazu gibt Art 100 AI Act Kriterien für die Verhängung von '''Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union''' durch den Europäischen Datenschutzbeauftragen vor.

Diesbezüglich drohen bei Missachtung der Verbotenen Praktiken (Art 5 AI Act) Geldbußen von bis zu 1 500 000 EUR und bei bei Nichtkonformität des KI-Systems anderen Anforderungen oder Pflichten Geldbußen von bis zu 750 000 EUR (Art 100 Abs 2, 3 AI Act).

=== Geldbußen für Anbieter GPAI-Modellen (Art 101 AI Act) ===
Art 101 AI Act wiederum normiert Sonderbestimmungen für Geldbußen für Anbieter von [[Artificial Intelligence Act (AIA)#GPAI-Modelle (Art 51 ff AI Act)|GPAI-Modellen]], die sich somit nur an einen eingeschränkteren Personen- bzw Unternehmenskreis richten als die "allgemeinen" Sanktionsbestimmungen des Art 99 AI Act.

Diesbezüglich liegt die Zuständigkeit, anders als bei den allgemeinen Sanktionen, bei der Europäischen Kommission. Diese kann gegen Anbieter von GPAI-Modellen '''Geldbußen von bis zu 3% ihres gesamten weltweiten Jahresumsatzes''' im vorangegangenen Geschäftsjahr oder '''15 000 000 Euro''' verhängen, je nachdem, welcher Betrag höher ist.

Dazu muss sie feststellen, dass der Anbieter vorsätzlich oder fahrlässig

* gegen die einschlägigen Bestimmungen des AI Act verstoßen hat (diese Blankettstrafnorm erfasst somit undefiniert alle relevanten Bestimmungen für GPAI-Modelle)
* der Anforderung eines Dokuments oder von Informationen durch die Kommission (Art 91 AI Act) nicht nachgekommen ist oder falsche, unvollständige oder irreführende Informationen bereitgestellt hat
* einer geforderten Maßnahme nicht nachgekommen ist (Art 93 AI Act, bspw Maßnahmen, um die Verpflichtungen gem Art 53, 54 AI Act einzuhalten oder Risikominderungsmaßnahmen)
* der Kommission keinen Zugang zu dem GPAI-Modell oder dem GPAI-Modell mit systemischem Risiko gewährt hat, um eine Bewertung durchführen (Art 92 AI Act, bspw um die Einhaltung der Pflichten aus dieser Verordnung durch den Anbieter zu beurteilen oder systemische Risiken auf Unionsebene zu ermitteln)
Bei der Festsetzung der Höhe der Geldbuße oder des Zwangsgelds muss der '''Art, der Schwere und der Dauer des Verstoßes''' sowie den Grundsätzen der Verhältnismäßigkeit und der Angemessenheit gebührend Rechnung getragen werden.

Geldbußen müssen wiederum wirksam, verhältnismäßig und abschreckend sein (Art 101 Abs 3 AI Act).

== Fallbeispiele ==

=== Beispiel 1: KI-gestütztes Kreditscoring ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System, das bestimmungsgemäß für Kreditscoring eingesetzt wird, führt zur Verweigerung eines Kredits bzw günstigerer Kreditkonditionen für eine Interessentin.
Durch die Trainingsdaten des Systems wurde suggeriert, dass Frauen aufgrund eines niedrigeren Durchschnittseinkommens weniger kreditwürdig wären.
|-
!Einordnung AI Act
|Es liegt ein Hochrisiko-KI-System gemäß Artikel 6 Absatz 2 in Verbindung mit Anhang III Z 5 lit b vor (siehe im Detail [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 AI Act)|Hochrisiko-KI-Systeme im AI Act]]).
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 1: KI-gestütztes Kreditscoring|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Chatbotassistenz wird von einer Bank im Überweisungsprozess eingesetzt, um Kund*innen die Dateneingabe zu erleichtern.
Bei einem Kunden kommt es in der Folge (ohne sein Verschulden) dadurch zu einer fehlerhaften Überweisung, wobei der zehnfache Betrag überwiesen wird, weil das KI-System bei der Überweisungssumme eine Kommastelle falsch übernommen hat.<ref>Eventuelle sektorale bankenrechtliche Sonderbestimmungen, die auf dieses Beispiel Anwendung finden könnten, werden in diesem Kontext nicht behandelt und einbezogen.</ref>
|-
!Einordnung AI Act
|Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen.
Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein, wobei auf die Interaktion mit einem Chatbot hingewiesen werden muss (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|Transparenzpflichten]]). Je nach Ausgestaltung könnte die Bank die Rolle des Anbieters, des Betreibers des KI-Systems oder beide Rollen zugleich einnehmen.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Assistenzsystem, das standardmäßig auf Betriebssysstemebene bei einer bestimmten Marke privater Computer impementiert ist, wird durch eine Nutzerin des Computers aufgefordert, eine bestimmte Dateien (Scans von wichtigen, privaten Dokumenten) zu suchen.
Aufgrund einer Cybersicherheits-Schwachstelle ist es einem Angreifer allerdings zuvor gelungen, in das System einzudringen, sodass das Assistenzsystem die Dateien an den Angreifer schickt und anschließend auf dem Computer der Nutzerin löscht.

'''Variante:''' Es liegt kein Cyberangriff vor. Bei den von der Nutzerin gesuchten Dateien handelt es sich um Scans von einem Beschluss eines Grundbuchsgerichts zur Löschung eines Pfandrechts. Für die Nutzerin ist weiters nicht erkennbar, dass bei der Eingabe ihrer Suche ein KI-Assistenzsystem aktiv wird. Dieses interpretiert das Wort „''Löschung''“ im Suchbefehl als Anweisung, die entsprechenden Dateien direkt zu löschen, was daraufhin auch passiert.
|-
!Einordnung AI Act
|Für die Nutzerin als Betreiberin liegt vermutlich die "Haushaltsausnahme" vor, wodurch der AI Act nicht zur Anwendung kommt (Art 2 Abs 10 AI Act).
Für den Anbieter: Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen. Selbst wenn das Assistenzsystem in einem Hochrisikobereich iSv Anhang III (zB durch Justizbehörden) Verwendung finden würde, könnte eine Ausnahme nach Art 6 Abs 3 AI Act vorliegen, wenn es kein erhebliches Risiko birgt. Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|'''Transparenzpflichten''']]). Dies ist primär davon abhängig, ob man das Assistenzsystem als ein System klassifiziert, das "für die direkte Interaktion mit natürlichen Personen bestimmt" ist.
|-
!EInordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System wird in einer Klinik zur Erkennung von Hautkrebs eingesetzt, wobei Bildaufnahmen der entsprechenden Hautstellen analysiert werden. Daraufhin erstellt das System eine vorläufige Diagnose und eine Empfehlung für eine Therapie.
Die Trainingsdaten des Systems bezogen sich jedoch überwiegend auf Personen mit hellerer Hautfabe, weshalb das System Hautkrebs bei Personen mit dünklerer Hautfarbe seltener erkennt bzw häufiger fehlerhafte Diagnosen und Therapievorschläge erstellt.

Im Fall eines Patienten folgt die behandelnde Ärztin den fehlerhaften Empfehlungen ohne ausreichende Prüfung, wodurch der Patient einen körperlichen Schaden erleidet.
|-
!Einordnung AI Act
|Da das KI-System ein entsprechendes Medizinprodukt nach der Medizinprodukteverordnung darstellt, die in Anhang I Abschnitt A genannt wird, und ein Konformitätsbewertungsverfahren unter Einbindung Dritter durchlaufen muss, handelt es sich um ein Hochrisiko-KI-System im Sinne des Art 6 Abs 1 AI Act.
Auf Seiten des Anbieters wurden insbesondere die Anforderungen an Trainingsdaten gemäß Art 10 AI Act verletzt.

Grundsätzlich würde die im Sachverhalt genannte Klinik wohl den Betreiber im Sinne des AI Acts darstellen (vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]]). Diesbezüglich könnte eine Verletzung gegen die Pflicht zur menschlichen Aufsicht (Art 14 AI Act) vorliegen, wenn der Betrieb des Systems nicht entsprechend überwacht wird.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 5: Transkriptionstool im Rahmen der Rechtspflege ===
{| class="wikitable"
!Sachverhalt
|Im Rahmen des Verfassens von Urteilen oder Protokollen wird das gesprochene Wort (Diktat des Entscheidungsorgans) digital aufgezeichnet und anschließend transkribiert. Das System ist in der Lage, mithilfe KI-gestützter Spracherkennung die jeweils Sprechenden (Speaker Diarisation) sowie juristische Begriffe und Redewendungen zu erkennen.
|-
!Einordnung AI Act
|Der Transkriptionssoftware liegt ein Sprachmodell (LLM) zugrunde, das auf maschinellem Lernen basiert. Dieses wird durch ein User-Interface praktisch nutzbar gemacht und stellt somit ein KI-System iSd AI Act dar.
Der Einsatz von KI in der Rechtspflege zu gewissen Zwecken kann in den Hochrisiko-KI-Bereich gemäß Art 6 Abs 2 iVm Anhang III Nr 8 lit a AI Act fallen. Solche Systeme sind jedoch nicht als hochriskant einzustufen, sofern sie für rein begleitende administrative Tätigkeiten bestimmt sind, worunter jedenfalls Spracherkennungsprogramme für das Diktieren von Entscheidungen fallen können (ErwGr 61). In einem nächsten Schritt ist die Ausnahmeregelung des Art 6 Abs 3 AI Act zu prüfen, wonach das System höchstwahrscheinlich gemäß lit a leg cit aus dem Hochrisiko-KI-Bereich ausgenommen ist, da es rein für Protokollierungszwecke eingesetzt wird und damit nur eine eng gefasste Verfahrensaufgabe übernimmt. Ebenso ist denkbar, gemäß lit d leg cit aus dem Hochrisiko-KI-Bereich ausgenommen zu sein, sofern das System lediglich eine vorbereitende Aufgabe für die Urteilserstellung übernimmt.

Bejaht man hingegen das Vorliegen von Hochrisiko-KI, so treffen deren Anbieter die Pflichten der Art 8 ff AI Act und den Betreiber insbesondere die Pflichten nach Art 26 und 27 AI Act.
Sofern es sich um ein KI-Modell mit allgemeinem Verwendungszweck (mit systemischem Risiko) handelt, treffen den Anbieter diesbezüglich Verpflichtungen.
Unabhängig von der Risikoeinstufung des Modells bzw Systems sind darüber hinaus die Transparenzpflichten nach Art 50 AI Act zu beachten sowie ein ausreichendes Maß an KI-Kompetenz unter den Beschäftigten, die mit dem Transkriptionstool arbeiten, herzustellen.
|}

=== Beispiel 6: KI-System zur Filterung und Priorisierung von Bewerbungen ===
{| class="wikitable"
!Sachverhalt
|Ein Unternehmen möchte eine neue Stelle besetzen und erhält unzählige Bewerbungen. Daher entschließt es sich, ein KI-basiertes System einzusetzen, das Bewerbungen filtert und mit einem Einstufungswert versieht, wodurch die Bewerbungen priorisiert werden. Die zuständigen HR-Mitarbeiter*innen weichen nicht mehr von dem Wert ab und vergeben die Stelle schließlich an jene Person, die den höchsten Einstufungswert erhalten hat.
|-
!Einordnung AI Act
|Sofern es sich bei der Anwendung um ein KI-System nach Art 3 Z 1 AI Act handelt, ist der Anwendungsbereich des AI Act grundsätzlich eröffnet. Das Unternehmen ist jedenfalls als dessen Betreiber zu qualifizieren, da es das System in eigener Verantwortung zu beruflichen Zwecken einsetzt. Sofern es das KI-System auch selbst entwickelt / entwickeln lässt und es unter eigener Marke bzw eigenem Namen in Betrieb nimmt, ist es sogar Anbieter.<ref>Vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]].</ref>
Darüber hinaus stellt das System ein "eigenständiges" Hochrisiko-KI-System nach Art 6 Abs 2 iVm Anhang III Punkt 4a AI Act dar, da es bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet wird, um Bewerbungen zu filtern und Bewerber zu bewerten. Eine Ausnahme nach Art 6 Abs 3 AI Act vom Hochrisiko-KI-Bereich liegt nicht vor, da das KI-System das Ergebnis der Entscheidungsfindung wesentlich beeinflusst (von dem KI-generierten Eignungswert wird nicht mehr abgewichen). Je nach Rolle treffen das Unternehmen nun weitereichende Verpflichtungen. In den meisten Fällen wird das Unternehmen wohl als Betreiber zu klassifizieren sein, weshalb es unter anderem die Betreiberpflichten nach Art 26 AI Act zu erfüllen und unter gewissen Voraussetzungen eine Grundrechte-Folgenabschätzung nach Art 27 AI Act durchzuführen hat. Art 26 Abs 7 sieht grundsätzlich auch die spezielle Betreiberpflicht vor, vor Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz die Arbeitnehmervertreter und betroffenen Arbeitnehmer über den KI-Einsatz zu informieren. Inwieweit diese Verpflichtung auch gegenüber Bewerbern gilt, die streng genommen (noch) keine Arbeitnehmer sind, ist fraglich und wird wohl zu verneinen sind. Diese vermeintliche Rechtsschutzlücke wird jedoch ohnehin wieder durch die Verpflichtung gemäß Art 26 Abs 11 AI Act ausgeglichen, von Hochrisiko-KI-Entscheidungen betroffene Personen über diesen KI-Einsatz zu informieren.
|}

= Digitaler Omnibus =
Am 19. November 2025 stellte die Europäische Kommission das sogenannte '''„Digital Omnibus Package“''' vor, ein Legislativpaket mit dem Ziel, den digitalen Rechtsrahmen der EU zu vereinfachen.<ref name=":2">Vgl https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2718. </ref> Ziel der Maßnahme ist, Verwaltungs- und Umsetzungskosten zu senken, Rechtsklarheit zu erhöhen und insbesondere kleine und mittlere Unternehmen (KMU) zu entlasten, da Unternehmen zunehmend Schwierigkeiten bei der Umsetzung und Koordination von Vorgaben wie etwa dem AI Act sehen. Das Paket umfasst Änderungen und Anpassungen unterschiedlicher Rechtsrahmen, so auch einige Bestimmungen des AI Act.<ref>Vgl https://ec.europa.eu/newsroom/dae/redirection/document/121744.</ref> Inhaltliche Änderungen betreffen einerseits die Verpflichtung zur Sicherstellung von KI-Kompetenz (Art 4), welche nunmehr nicht Unternehmen bzw. Einrichtungen selbst treffen soll, sondern die Kommission und die Mitgliedstaaten sind dazu angehalten, Anbieter und Betreiber zur Sicherstellung eines angemessenen Maßes an KI-Kompetenz zu unterstützen. Ebenso stellt die Kommission eine Verzögerung der Anwendbarkeit der Hochrisiko-KI-Bestimmungen in Aussicht, welche mit 2. August 2026 bzw 2. August 2027 Anwendung erlangen sollten. Grund ist das Fehlen von entsprechenden Standards, die eigentlich bis August 2025 zu setzen waren und ohne die laut Kommission die Einhaltung der entsprechenden AI Act-Bestimmungen nicht möglich sei. Die Anwendbarkeit der Hochrisiko-KI-Bestimmungen soll sich um bis zu maximal 16 Monate verzögern, wobei die Vorschriften Geltung erlangen, sobald die Kommission die Verfügbarkeit der erforderlichen Standards und Unterstützungsinstrumente bestätigt.<ref name=":2" /> Darüber hinaus enthält der Vorschlag einen neuen Art 4a, der die Verarbeitung sensibler personenbezogener Daten zur Erkennung und Minderung von Bias unter gewissen Voraussetzungen ermöglicht.

= Weiterführende Literatur =

== Einführungsbücher ==
* ''Hense/Mustac'', AI Act kompakt. Compliance Management- & Use Cases in der Unternehmenspraxis (2024)
* ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023)
* ''Ulbricht/Brajovic/Duhme'', Praxishandbuch KI und Recht (2024)
* ''Schwartmann/Keber/Zenner'' (Hrsg), KI-Verordnung. Leitfaden für die Praxis² (2024)
* ''Voigt/Hullen'', Handbuch KI-Verordnung. FAQ zum EU AI Act (2024)
* ''Wendt/Wendt'', Das neue Recht der Künstlichen Intelligenz. Artificial Intelligence Act (AI Act)2 (2025)
* ''Windholz'', Praxishandbuch KI-VO (2024)

== Kommentare ==
* ''Bomhard/Pieper/Wende'', KI-VO. Künstliche Intelligenz-Verordnung (2025)
* ''Ebers/Zou'', Artificial Intelligence Act. A Commentary (2025, iE)
* ''Feiler/Forgó'', KI-VO. EU-Verordnung über Künstliche Intelligenz (2024)
* ''Heinze/Steinrötter/Zerdick'', KI-Verordnung. Gesetz über künstliche Intelligenz (2025)
* ''Martini/Wendehorst'', KI-VO. Künstliche Intelligenz-Verordnung (2024) (2. Auflage 2026, iE)
* ''Pehlivan/Forgó/Valcke'', The EU Artificial Intelligence (AI) Act. A Commentary (2024)
* ''Reusch/Chibanguza'', KI-VO. Künstliche Intelligenz-Verordnung (2026, iE)
* ''Schefzig/Kilian,'' BeckOK KI-Recht3 (2025)
* ''Schwartmann/Keber/Zenner'', KI-VO (2024)
* ''Wendt/Wendt'', Artificial Intelligence Act. Article-by-Article Commentary (2026, iE)
* ''Wendt/Wendt'', Artificial Intelligence Act. Gesetz über Künstliche Intelligenz (2025)
* ''Zankl'', KI-Verordnung. Verordnung über künstliche Intelligenz (Artificial Intelligence Act) (2025)

== Weiterführende Materialien/Links ==
* ''BITKOM'', Get Started Guide. AI Act (Stand April 2024), https://www.bitkom.org/sites/main/files/2024-04/bitkom-get-started-guide-ai-act.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Compliance in der Praxis – Schritt für Schritt (Version 1.0 - Stand 29.10.2024), https://www.bitkom.org/sites/main/files/2024-10/241028-bitkom-umsetzungsleitfaden-ki.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Click-Through-Tool, https://www.bitkom.org/Klick-Tool-Umsetzungsleitfaden-KI-Verordnung
* ''CNIL'', Self-assessment guide for artificial intelligence (AI) systems, https://www.cnil.fr/en/self-assessment-guide-artificial-intelligence-ai-systems
* ''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
* ''European Parliament'', Legislative train: the AI Act, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-regulation-on-artificial-intelligence
* ''Future of Life Institute (FLI)'', AI Act Explorer, https://artificialintelligenceact.eu/ai-act-explorer/
* ''Future of Life Institute (FLI)'', EU AI Act Compliance Checker, https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/
* ''Gesellschaft für Datenschutz und Datensicherheit (GDD)'', GDD-Praxishilfe Europäische Datenstrategie: KI-VO, Data Act etc. - Adressaten und Regelungsschwerpunkte der neuen Digitalakte (Stand Juli 2024), https://www.gdd.de/wp-content/uploads/2024/07/GDD-Praxishilfe-Europaeische-Datenstrategie-KI-VO-Data-Act-etc-1.pdf
* ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.
* ''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024), https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.
* ''Hochrangige Expertengruppe für Künstliche Intelligenz,'' Ethik-Leitlinien für eine vertrauenswürdige KI (2019), https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=60425
* [https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0 Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA)]
* ''Österreichische Datenschutzbehörde'', FAQ zum Thema KI und Datenschutz (Stand: 2. Juli 2024), https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html
* ''Plattform Lernende Systeme'', AI Act der Europäischen Union. Regeln für vertrauenswürdige KI (Juni 2024), https://www.plattform-lernende-systeme.de/files/Downloads/Publikationen/KI_Kompakt/KI_Kompakt_AI_Act_Plattform_Lernende_Systeme_2024.pdf
* ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.
* ''WKO'', KI-Guidelines für KMU. Empfehlungen zum positiven Umgang mit künstlicher Intelligenz (Stand 11.03.2024), https://www.wko.at/digitalisierung/ki-guidelines-fuer-kmu

== Kommissionsleitlinien und sonstige Materialen/Verhaltenskodizes ==

* Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 6. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118628
* Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 4. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118661
* Living Repository zur Förderung des Lernens und des Austausches über KI-Kompetenz vom 04. Februar 2025 (mit Update von April 2025): https://ec.europa.eu/newsroom/dae/redirection/document/112203
* Verhaltenskodex für KI-Modelle mit allgemeinem Verwendungszweck (GPAI Modelle) vom 10. Juli 2025:
*# Kapitel zu Transparenz: https://ec.europa.eu/newsroom/dae/redirection/document/118120
*# Kapitel zu Urheberrecht: https://ec.europa.eu/newsroom/dae/redirection/document/118115
*# Kapitel zu Sicherheit: https://ec.europa.eu/newsroom/dae/redirection/document/118119
*Leitlinien zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck nach dem AI Act vom 18. Juli 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118340
*Leitlinien und Meldevorlagen zur Meldung schwerwiegender KI-Vorfälle gemäß Art 73 AI Act (''Entwurf, noch in Ausarbeitung''): https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks
*''Europäische Kommission,'' AI Act Service Desk. Frequently Asked Questions (FAQs): https://ai-act-service-desk.ec.europa.eu/en/faq.

== Einzelnachweise ==

Artificial Intelligence Act (AIA)

2025-11-20T12:51:25Z

Georg.froewis: /* Anforderungen an Hochrisiko-KI-Systeme (Art 8-15 AI Act) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1689|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828|Kurztitel=Verordnung über Künstliche Intelligenz|Bezeichnung=AI Act (AIA)/KI-VO|Rechtsmaterie=Binnenmarkt, Künstliche Intelligenz|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1689, 1|Anzuwenden=2. Februar 2025 (schrittweise)|Gültig=anwendbar}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergien
!Konsequenzen
|-
|Förderung von Innnovation und Vertrauen
|Anbieter (häufig Entwickler) bei in Verkehr bringen/in Betrieb nehmen von KI-Systemen
|risikobasierter Ansatz
|direkte Verknüpfung mit der RL über außervertragliche
Haftung (AILD, von der Kommission zurückgezogen)
|Geldbußen von bis zu 35 000 000 Euro/7% des gesamten weltweiten Jahresumsatzes (Verstoß gegen verbotene Praktiken)
|-
|Wahrung der Grundrechte und Sicherheit von EU-Bürger*innen
|GPAI-Modelle (general purpose AI)
|Verbote von besonders riskanten Praktiken (zB social scoring, manipulative Systeme)
|einige Querbezüge zur DSGVO (zB Verarbeitung zur Vermeidung von Verzerrungen, Art 10), regulatory sandboxes
|Geldbußen von bis zu 15 000 000 Euro/3 % des gesamten weltweiten Jahresumsatzes (zB Anbieter- und Betreiberpflichten, Verstöße gegen Pflichten von Anbietern von GPAI-Modellen)
|-
|Förderung des Binnenmarktes
|Ausnahmen: militärische Zwecke; Systeme unter open-source-Lizenz (eingeschränkt); reine Forschungszwecke
Inkrafttreten am 1. August 2024; Geltung ab 2. August 2026;

einige Aspekte (verbotene Systeme) gelten seit 2. Februar 2025
|strenge Regulierung von Hochrisiko-
KI-Systemen (zB Risikomanagement,
Datenqualität, Dokumentation, Transparenz,
menschliche Aufsicht)
|Integrierung/Kombination von Anforderungen stellenweise möglich (zB Riskomanagementsysteme)
|Geldbußen von bis zu 7 500 000 Euro/1% des gesamten weltweiten Jahresumsatzes (Bereitstellung von falschen, unvollständigen oder irreführenden Informationen)
|-
|Gewährleistung von Transparenz und Verantwortlichkeit
|Pflichten für Betreiber (professionelle Nutzer*innen) und Anbieter
|Transparenzpflichten für gewisse KI-Systeme (zB Chatbots, Deepfakes)
|Informationspflichten nach der DSGVO
|Geldbußen von bis zu 15 000 000 Euro/3% des gesamten weltweiten Jahresumsatzes
|}

== Einführung ==
[[Datei:AI Act Risikopyramide Neu.png|mini|354x354px|Risikopyramide des AI Act; ''Europäische Kommission'', https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai.]]
Der AI Act stellt die erste EU-weite, sektorübergreifende Regulierung von Künstlicher Intelligenz (KI) dar undfolgt dabei primär einem produktsicherheitsrechtlichem Ansatz, dessen vorrangiges Regulierungsziel die Sicherheit von KI-Systemen und Modellen ist. Damit ist er Teil des sog [https://single-market-economy.ec.europa.eu/single-market/goods/new-legislative-framework_en?prefLang=de "New Legislative Framework"] (NLF), einem unionsrechtlichen Maßnahmenpaket zur Produktregulierung, das auf die Verbesserung der Marktüberwachung abzielt und sich durch einheitliche Kernelemente auszeichnet (zB Konformitätsbewertungsverfahren, Selbstregulierung, Standards und einheitliche Anforderungen). Im Rahmen des Gesetzgebungsprozesses wurde der Rechtsakt - insbesondere auf Bestreben des Europäischen Parlaments - um menschenrechtliche Aspekte und Betroffenenrechte erweitert, weshalb der AI Act mittlerweile deutlich über reines Produktsicherheitsrecht hinausgeht.

Der AI Act verfolgt dabei kontrastierende Ziele: So soll das '''Funktionieren des Binnenmarktes''' durch einen einheitlichen Rechtsrahmen verbessert, '''menschenzentrierte und vertrauenswürdige KI''' gefördert und gleichzeitig ein hohes '''Schutzniveau''' in Bezug auf Gesundheit, Sicherheit und der Grundrechte sichergestellt, der '''Schutz vor schädlichen Auswirkungen''' von KI-Systemen gewährleistet und gleichzeitig die '''Innovation''' unterstützt werden (ErwGr 1 AI Act).

Kernstück des AI Act ist ein '''risikobasierter Ansatz''', der KI-Systeme nach dem mit ihnen verbundenen Risiko in vier Klassen einteilt und KI-Systeme mit inakzeptablem Risiko verbietet, Hochrisiko-KI-Systeme stark reguliert, für gewisse Systeme lediglich Transparenzpflichten vorsieht und Systeme mit minimalem Risiko unberührt lässt.

Durch die Prominenz von ChatGPT wurden spät im Gesetzgebungsprozess auch noch spezielle Bestimmungen in Bezug auf sog '''general purpose AI (GPAI) Modelle''' bzw KI-Modelle mit allgemeinem Verwendungszweck eingefügt.<ref>MwN zu diesen Entwicklungen ''Hacker/Engel/Mauer'', Regulating ChatGPT and other Large Generative AI Models, in ACM (Hrsg), FAccT '23: Proceedings of the 2023 ACM Conference on Fairness, Accountability, and Transparency (2023) 1112, https://doi.org/10.1145/3593013.359406; ''Steindl'', Legistisch innovativ und technologisch auf neuerem Stand: Das EU-Parlament und die Verhandlungen zum AI Act, RdW 2023, 1.</ref>

== Anwendungsbereich ==

=== Sachlicher Anwendungsbereich ===

==== KI-Systeme ====
Zentraler Anknüpfungspunkt für die Anwendbarkeit des AI Act ist dabei das Vorliegen eines "KI-Systems".<ref name=":0">Differenziert zum Begriff "KI-System" ''Wendehorst/Nessler/Aufreiter/Aichinger'', Der Begriff des "KI-Systems" unter der neuen KI-VO, MMR 2024, 605.</ref> Dabei handelt es sich um "ein '''maschinengestütztes''' System, das für einen in '''unterschiedlichem Grade autonomen Betrieb''' ausgelegt ist und das nach seiner Betriebsaufnahme '''anpassungsfähig sein kann''' und das aus den erhaltenen '''Eingaben''' für '''explizite oder implizite Ziele''' '''ableitet''', wie '''Ausgaben''' wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die '''physische oder virtuelle Umgebungen beeinflussen können'''."<ref>Siehe Art 3 Z 1 AI Act. Hervorhebungen nicht im Original. </ref>

Das wichtigsten Abgrenzungsmerkmal der breit gehaltenen Definition ist die Fähigkeit, '''abzuleiten'''. Diese Fähigkeit kann sich auf den Prozess der Erzeugung von Ausgaben sowie auf die Fähigkeit, Modelle oder Algorithmen oder beides aus Eingaben oder Daten abzuleiten, beziehen. Der Begriff umfasst damit sowohl Machine-Learning- als auch (ältere) logik- und wissensgestützte Ansätze.

Hingegen soll sich nach ErwGr 12 der Begriff "KI-System" "nicht auf Systeme beziehen, die auf ausschließlich von natürlichen Personen definierten Regeln für das automatische Ausführen von Operationen beruhen [...]", womit auf eine Abgrenzung von KI von herkömmlichen Softwarelösungen und Programmierungsansätzen abgezielt wird.

Zusammenfassend möchte der EU-Gesetzgeber mit dieser Definition einerseits Rechtssicherheit schaffen, allerdings immer noch Raum für technologischen Fortschritt lassen, um den Anwendungsbereich des AI Act nicht von Vornherein vor potenziellen künftigen technologischen Entwicklungen zu verschließen. Dennoch wurde die Definition als zu vage und unbestimmt empfunden. So wurden diverse Unklarheiten bemängelt, zB ob hybride (neurosymbolische) Systeme unter den Begriff fallen.<ref>''EDPS'', EDPS comments to the AI Office’s consultation on the application of the definition of an AI system and the prohibited AI practices established in the AI Act launched by the European AI Office (2024) 3, https://www.edps.europa.eu/data-protection/our-work/publications/formal-comments/2024-12-19-edps-ai-offices-consultation-application-definition-ai-system-and-prohibited-ai-practices-established-ai-act-launched-european-ai_en.</ref> Um den Begriff des KI-Systems also zu konkretisieren und Unsicherheiten zu beseitigen, sollte die Kommission gemäß Art 96 Abs 1 lit f AI Act Leitlinien vorlegen, und damit eine einheitliche Anwendung des Regelwerks fördern sowie Rechtsicherheit gewährleisten.<ref>Dafür wurde ein Konsultationsprozess durchgeführt, vgl ''European Commission'', Commission launches consultation on AI Act prohibitions and AI system definition, https://digital-strategy.ec.europa.eu/en/news/commission-launches-consultation-ai-act-prohibitions-and-ai-system-definition (Stand 13. 11. 2024).</ref> Die entsprechenden (unverbindlichen) '''Leitlinien''' der Kommission wurden am 6. Februar 2025 veröffentlicht und stellen bspw klar, welche Systeme nicht in den Anwendungsbereich fallen (zB etablierte lineare Modelle, einfache Datenverarbeitungssysteme, auf klassische Heuristik gestützte Systeme, einfache Vorhersagesysteme etc.).<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on the defintion of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act), C(2025) 924 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application.</ref> Eine Positiv-Liste, welche Systeme jedenfalls unter den KI-Begriff fallen, enthalten die Leitlinien allerdings nicht. Sie orientieren sich vielmehr an den 7 Kernelementen der KI-Definition gemäß Art 3 Z 1 AI Act. Es wird überdies betont, dass nicht alle Elemente kontinuierlich in den beiden Hauptphasen des Lebenszyklus von KI ("building phase" / "pre-deployment" oder "use phase" / "post-deployment") vorhanden sein müssen und, dass sich die Leitlinien kontinuierlich weiterentwickeln sollen.

Folgende Konkretisierungen der KI-Definition und Beispiele sind den Leitlinien zu entnehmen:
{| class="wikitable"
|+
!Elemente der KI-Definition
!Erläuterungen in den Leitlinien der EU-Kommission
!Beispiele
|-
|Maschinengestütztes System
|KI benötigt Hardware- und Softwarekomponenten
|zB eine Hardwareinfrastruktur wie processing units, Speicher, Input/Output-Schnittstellen und Software (Code, Programme etc.)
|-
|autonomer Betrieb (in unterschiedlichem Grade)
|Erfordert einen gewissen Grad an Unabhängigkeit von menschlichem Eingreifen, wobei Systeme, die vollständig manuelle menschliche Interaktion erfordern, nicht darunter fallen.
|Umfasst sind Systeme, die zwar einen manuellen Input erfordern, aber von selbst einen Output generieren (zB Chatbots)
|-
|Anpassungsfähigkeit nach Betriebsaufnahme (optional)
|Selbstlernfähigkeiten (nicht zwingend erforderlich); darunter versteht man, ob sich das Verhalten des Systems während seiner Verwendung anpassen oder verändern kann (zB automatisches Lernen, wie Muster oder Beziehungen zwischen Daten erkannt werden können).
|
|-
|Ableitungsfähigkeit
|Inferenz, Schlüsseleigenschaft; dient der Abgrenzung von KI-Systemen von einfacheren herkömmlichen Softwaresystemen und Programmierungsansätzen. Nicht umfasst sind hingegen Systeme, die nur von Menschen programmierten Regeln folgen und automatisiert Operationen ausführen. Die Ableitungsfähigkeit bedeutet daher die Erlernung allgemeiner Konzepte statt fester, vorprogrammierter Regeln.
|Bsp: maschinelles Lernen, logik- und wissensgestützte Systeme (Schlussfolgerungen mittels Deduktion oder Induktion)
|-
|Ableitung aus Eingaben für implizite oder explizite Ziele
|Ableitungen müssen nach entweder:

* expliziten Zielen (klar definierte, direkt in den Code programmierte Ziele, Optimierung von Kostenfunktionen, Wahrscheinlichkeitsberechnung) oder
* impliziten Zielen (Ableitung des Ziels aus dem Verhalten oder den dahinterstehenden Annahmen des Systems; bspw Trainingsdaten oder Interaktion des Systems mit Umwelt) erfolgen.
|
|-
|Erzeugung von Ausgaben
|Ausgabe-Arten umfassen unter anderem

* Vorhersagen (Schätzungen unbekannter Werte basierend auf komplexen Datenmustern)
* Inhalte (Texte, Bilder, Videos oder Musik)
* Empfehlungen (Vorschläge für Maßnahmen, Produkte oder Dienstleistungen, die hochgradig personalisiert sind und Massendaten nutzen).
* Entscheidungen (Vollautomatisierte Schlussfolgerungen oder Auswahlentscheidungen, die Prozesse automatisieren, die üblicherweise menschlichem Urteilsvermögen vorbehalten sind)
|zB die generierten Inhalte von Chatbots, Produktvorschläge, Echtzeit-Vorhersagen, Auswahlentscheidungen
|-
|Beeinflussung physischer oder virtueller Umgebungen
|Frage, ob das System einen aktiven Einfluss auf die Umgebungen hat, in denen es eingesetzt wird, sei es auf materielle physische Objekte oder auf digitale Räume
|zB Roboterarm, Software-Ökosysteme, Datenströme
|}

==== GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck ====
'''General Purpose AI Modelle''' (auf Deutsch "Modelle mit allgemeinem Verwendungszweck"<ref>Art 3 Z 63 KI-VO definiert ein solches Modell als "ein KI-Modell — einschließlich der Fälle, in denen ein solches KI-Modell mit einer großen Datenmenge unter umfassender Selbstüberwachung trainiert wird —, das eine '''erhebliche allgemeine Verwendbarkeit aufweist''' und in der Lage ist, unabhängig von der Art und Weise seines Inverkehrbringens ein '''breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen''', und das in eine Vielzahl nachgelagerter Systeme oder Anwendungen integriert werden kann."</ref>) zeichnen sich durch ihre erhebliche allgemeine Verwendbarkeit und der Fähigkeit, ein breites Spektrum unterschiedlicher Aufgaben kompetent zu erfüllen, aus. Der Begriff "Modell" darf dabei, da Modelle gesondert reguliert werden, nicht mit dem Begriff eines KI-Systems verwechselt werden. Denn damit "KI-Modelle zu KI-Systemen werden, ist die Hinzufügung weiterer Komponenten, zum Beispiel einer Nutzerschnittstelle, erforderlich" (ErwGr 97 AI Act). Man kann hier den Vergleich zu einem KFZ ziehen, wobei das KI-Modell den Motor darstellt, der die eigentliche "Arbeit" leistet. Um jedoch fahrtüchtig zu sein, bedarf es nicht nur eines Motors, sondern das Fahrzeug benötigt darüber hinaus ein Getriebe, eine Karosserie, Räder, Tank etc. Das wiederum bezeichnet das KI-System, welches das Modell erst durch seine Schnittstellen, seine Benutzeroberfläche etc. "fahrtüchtig" und damit nutzbar macht. Ein KI-System bzw GPAI-System,<ref>Art 3 Z 66 KI-VO: "'KI-System mit allgemeinem Verwendungszweck' ein KI-System, das auf einem '''KI-Modell mit allgemeinem Verwendungszweck beruht''' und in der Lage ist, einer Vielzahl von Zwecken sowohl für die direkte Verwendung als auch für die Integration in andere KI-Systeme zu dienen." (Hervorhebungen nicht im Original)</ref> das auf einem GPAI-Modell beruht, muss dabei wiederum nach dem risikobasierten Ansatz des AI Act eingestuft werden.

=== Personeller Anwendungsbereich ===
[[Datei:KI-Servicestelle bei der RTR, AI Act Akteure.svg|links|mini|390x390px|Überblick über die Interaktion der einzelnen Akteure im AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html. ]]

In Bezug auf die Akteure ist primär zwischen Anbietern und Betreibern zu unterscheiden.

'''Anbieter''' ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt (Art 3 Z 3 AI Act).

'''Betreiber''' (in früheren Fassungen "Nutzer") ist eine Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet (Art 3 Z 4 AI Act).

Daneben existieren auch weniger relevante Akteure wie Einführer, Händler und Bevollmächtigte.

=== (Geographischer) Anwendungsbereich (Art 2 AI Act) ===
Der (geographische) Anwendungsbereich des AI Act (Art 2) umfasst dabei primär:<ref>Sekundär werden noch weitere Beteiligte von geringerer Relevanz erfasst:

Einführer und Händler von KI-Systemen; Produkthersteller, die KI-Systeme zusammen mit ihrem Produkt unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringen oder in Betrieb nehmen; Bevollmächtigte von Anbietern, die nicht in der Union niedergelassen sind; betroffene Personen, die sich in der Union befinden.</ref>

* Anbieter, die in der Union KI-Systeme in Verkehr bringen<ref>Art 3 Z 9 KI-VO: "'Inverkehrbringen' die erstmalige Bereitstellung eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck auf dem Unionsmarkt".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder in Betrieb nehmen<ref>Art 3 Z 11 KI-VO: "'Inbetriebnahme' die Bereitstellung eines KI-Systems in der Union zum Erstgebrauch direkt an den Betreiber oder zum Eigengebrauch entsprechend seiner Zweckbestimmung".

Art 3 Z 10 KI-VO: "'Bereitstellung auf dem Markt' die entgeltliche oder unentgeltliche Abgabe eines KI-Systems oder eines KI-Modells mit allgemeinem Verwendungszweck zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit".</ref> oder KI-Modelle mit allgemeinem Verwendungszweck in Verkehr bringen, unabhängig davon, ob diese Anbieter in der Union oder in einem Drittland niedergelassen sind
* Betreiber von KI-Systemen, die ihren Sitz in der Union haben oder sich in der Union befinden
* Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland haben oder sich in einem Drittland befinden, wenn die vom KI-System hervorgebrachte Ausgabe in der Union verwendet wird

=== Ausnahmen (Art 2 Abs 2 ff AI Act) ===
Art 2 Abs 2 ff AI Act enthält eine Reihe von Ausnahmen vom Anwendungsbereich, wobei hier die wichtigsten vorgestellt werden sollen:

* Bereiche, die '''nicht unter das Unionsrecht fallen''' (zB nationale Sicherheit): KI-Systeme (ausschließlich) für militärische Zwecke, Verteidigungszwecke oder Zwecke der nationalen Sicherheit
* KI-Systeme/KI-Modelle, die eigens für den '''alleinigen Zweck der wissenschaftlichen Forschung und Entwicklung''' entwickelt und in Betrieb genommen werden.
* '''Forschungs-, Test- und Entwicklungstätigkeiten''' zu KI-Systemen/KI-Modellen, '''bevor''' diese in Verkehr gebracht oder in Betrieb genommen werden.<ref>Dabei ist zu beachten, dass Tests unter Realbedingungen nicht unter diesen Ausschluss fallen.</ref>
* Der AI Act gilt für Betreiber, die natürliche Personen sind und KI-Systeme im Rahmen einer '''ausschließlich persönlichen und nicht beruflichen Tätigkeit''' verwenden ("Haushaltsausnahme")
*
{| class="wikitable"
|+
!Hinweis zur Sonderregelung von älterem Produktsicherheitsrecht (zB Mobilität)
|-
|Produkte, die unter Produktsicherheitsvorschriften mit dem älteren Ansatz (old approach) fallen und in Anhang I Abschnitt B gelistet werden (zB Luftfahrt und Mobilität), unterliegen nur eingeschränkt dem AI Act (Art 2 Abs 2 AI Act). Sie sind zwar nicht vollständig vom Anwendungsbereich ausgenommen, für sie gelten jedoch nur wenige Bestimmungen (Art 6 Abs 1, Art 102-109, Art 112 und Art 57 AI Act zu Reallaboren).
In der Praxis werden die Anforderungen des AI Act dabei "indirekt" im Wege der delegierten Gesetzgebung/von Durchführungsrechtsakten dieser Produktsicherheitsrechtsakte zur Anwendung kommen.

Die Trennung von Anhang I in Abschnitt A, der direkt dem AI Act unterfällt, und Abschnitt B, für den diese Wirkung indirekt erzielt wird, sollte somit in der Praxis beachtet werden.
|}
*

=== Zeitlicher Anwendungsbereich (Art 113 AI Act) ===
Der AI Act trat am '''1. August 2024''' in Kraft und wird generell am '''2. August 2026''' anwendbar (Art 113 AI Act). Gestaffelt erlangen einige Bestimmungen jedoch bereits vorab oder danach Geltung:<ref>''Future of Privacy Forum (FPF)'', EU AI Act. A Comprehensive Implementation & Compliance Timeline, https://fpf.org/wp-content/uploads/2024/07/FPF_EU_AI_Act_Timeline_July_24.pdf. </ref>

* allgemeine Bestimmungen (inklusive KI-Kompetenz) und verbotene Praktiken ab '''2. Februar 2025'''
* Bestimmungen über Notifizierende Behörden und notifizierte Stellen; GPAI-Modelle, Governance, Sanktionen, Vertraulichkeit ab '''2. August 2025'''
* Artikel 6 Absatz 1 (eingebettete Hochrisiko-KI-Systeme) und die entsprechenden Pflichten ab dem '''2. August 2027'''
[[Datei:KI-Servicestelle bei der RTR, AI Act Zeitlicher Rahmen.svg|mini|394x394px|Überblick über den abgestuften zeitlichen Geltungsbereich des AI Act. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/Zeitplan.de.html.|zentriert]]

Art 111 Abs 2 AI Act enthält dabei jedoch eine sog „grandfathering“ Klausel, nach welcher der AI Act für Betreiber von Hochrisiko-KI-Systemen, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, nur dann gilt, wenn diese Systeme danach in ihrer Konzeption erheblich verändert wurden.<ref>''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 23, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref>

== Zentrale Inhalte ==

=== KI-Kompetenz/AI literacy (Art 4 AI Act) ===
Als allgemeine Bestimmung für alle KI-Systeme fordert Art 4 AI Act, dass die Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an "KI-Kompetenz" verfügen. Dabei sind ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen.

Die Verpflichtung zur Maßnahmenergreifung gilt für Betreiber und Anbieter gleichermaßen und ist ferner unabhängig von der Risikoklasse der infragestehenden KI-Anwendung.

Unter KI-Kompetenz versteht man grundsätzlich "die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden."<ref>Vgl die Definition in Art 3 Z 56 AI Act.</ref> Dies umfasst die notwendigen Kompetenzen, um fundierte Entscheidungen über KI-Systeme zu treffen, technische Elemente zu verstehen sowie korrekt anzuwenden, die Auswirkungen von KI-basierten Entscheidungen auf Betroffene zu verstehen und KI-generierte Ausgaben angemessen zu interpretieren.<ref name=":1">Vgl ErwGr 20 AI Act. </ref> Dazu gehört auch, den einschlägigen Akteuren der KI-Wertschöpfungskette jene erforderlichen Kenntnisse zu vermitteln, um die Einhaltung und Durchsetzung der Vorschriften des AI Act zu gewährleisten.

Weitere Konkretisierungen oder zwingende Mindestvorgaben für die Sicherstellung der KI-Kompetenz enthält der AI Act allerdings nicht und betont sogar, dass die Konzepte der KI-Kompetenz in Bezug auf den jeweiligen Kontext unterschiedlich sein können.<ref name=":1" /> Die EU-Kommission hat daher ein [https://digital-strategy.ec.europa.eu/de/library/living-repository-foster-learning-and-exchange-ai-literacy "Living Repository"] angelegt, in dem Unternehmen ihre Praktiken in Bezug auf KI-Kompetenz eingetragen haben. Das Repository wird laufend ergänzt, ist jedoch nicht rechtsverbindlich. Weiters bilden die darin enthaltenen Praktiken keine Garantie zur Compliance mit Art 4 AI Act, allerdings stellen sie eine gute Orientierung dar, welche Maßnahmen zur Sicherstellung von KI-Kompetenz in unterschiedlichen Branchen bereits ergriffen werden. Häufig genannte Praktiken umfassen:

* interne eLearning-Plattformen,
* interne Weiterbildungen und Trainingsprogramme,
* Kenntnis-basierte Schulungen,
* Video-/Podcast-Reihen,
* spielebasierte Trainings,
* Erstellung von KI-Verhaltenskodizes und Risikobewertungssystemen,
* eigene Chatbots zum Training im Umgang mit Sprachmodellen.

Denkbar ist überdies die Teilnahme an externen Fortbildungen und Schulungen, die Entwicklung von internen Richtlinien ("KI-Guidelines") oder die Schaffung von sog "KI-Beauftragten" in der Organisation. Ob die Schulungsmaßnahmen fortlaufend zu erfolgen haben, ist rechtlich nicht vorgeschrieben, wird allerdings anzunehmen sein.<ref>Dieser Ansicht folgend: ''Siglmüller'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 4 KI-Kompetenz Rz 5.</ref> Ebensowenig sind die genauen Inhalte der Kompetenzvermittlungsmaßnahmen definiert. Es kann jedenfalls davon ausgegangen werden, dass diese zielgruppengerecht und zugeschnitten auf unterschiedliche Bedürfnisse erfolgen sollten. Weiters werden sie sich bei manchen Branchen, KI-Einsatzgebieten oder Personengruppen nicht lediglich auf rechtliche oder technische Anforderungen beschränken, sondern ebenso soziale und ethische Komponenten umfassen. Bei der Entwicklung und Nutzung von GPAI-Modellen wird beispielsweise die Vermittlung von Kenntnissen im Zusammenhang mit Urheberrecht, Datenschutz, "Bias" (Verzerrungen) oder "Halluzinationen" (erfundene falsche Ausgaben) sinnvoll sein.<ref>MwN ''Müller/Scheichenbauer/Schneeberger,'' Wissenskultur im KI-Zeitalter – eine Auseinandersetzung mit der KI-Kompetenz nach Art 4 AI Act und ihren praktischen Implikationen, ZIIR 2025, 250.</ref>

Die EU-Kommission hat darüber hinaus eine [https://digital-strategy.ec.europa.eu/de/faqs/ai-literacy-questions-answers "FAQ-Seite"] mit Fragen und Antworten zur KI-Kompetenz angelegt, um einen besseren Überblick über die Anforderungen zu geben.

=== KI-Systeme mit inakzeptablem Risiko/verbotene Praktiken (Art 5 AI Act) ===
Nach Art 5 AI Act sind gewisse Praktiken im KI-Bereich verboten, da sie besonders schädlich sind, enormes Missbrauchspotenzial aufweisen und im Widerspruch zu europäischen Grundrechten und Grundfreiheiten stehen.<ref>Vgl ErwGr 28 AI Act. MwN ''Neuwirth'', Prohibited artificial intelligence practices in the proposed EU artificial intelligence act (AIA), CLSR 2023, https://doi.org/10.1016/j.clsr.2023.105798; ''Rostaski/Weiss'', § 3. Verbotene Praktiken, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 35.</ref> (Unverbindliche) '''Leitlinien''' der Kommission zu den verbotenen Praktiken konkretisieren die verbotenen Praktiken insbesondere durch zahlreiche Beispiele.<ref>Annex to the Communication to the Commission Approval of the content of the draft Communication from the Commission - Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act), C(2025) 884 final, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act.</ref> Folgende Praktiken sind davon umfasst:
{| class="wikitable"
|+
!Praktik
!Beispiele
!Nicht erfasste Praktiken
!Rechtsgrundlage
|-
|'''Unterschwellige Beeinflussung außerhalb des Bewusstseins oder manipulative/täuschende Techniken''', wodurch die freie Entscheidungsfähigkeit von Personen beeinträchtigt wird und ein Schaden mit hinreichender Wahrscheinlichkeit eintritt
|
* Ableitung sensibler Informationen aus Gehirnen von Nutzern über Maschine-Gehirn-Schnittstellen<ref>Vgl ErwGr 29 AI Act sowie Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 66. </ref>
* Chatbots, die zur Selbstverletzung verleiten<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 87.</ref>
* Unterschwellige visuelle oder auditive Reize bzw generelle sensorische Manipulation<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 65 und 68.</ref>
|Erlaubt ist hingegen der Einsatz eines KI-Systems, das personalisierte Empfehlungen auf der Grundlage transparenter Algorithmen und Nutzerpräferenzen verwendet, und sich nicht absichtlich manipulativer Techniken bedient.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 128.</ref>
|Art 5 Abs 1 lit a
|-
|'''Ausnutzen der Vulnerabilität/Schutzbedürftigkeit''' aufgrund des Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation
|
* Eine KI-Begleit-App, die durch gewisse Sprachmuster und Verhaltensweisen gezielt emotionale Abhängigkeiten und ungesunde Bindungen bei älteren Menschen erzeugt.
* Ein KI-gestütztes Spielzeug, das Kinder zu riskanten Herausforderungen ermutigt oder durch süchtig machende Techniken zu übermäßigem Spielen anregt
* KI-gestützte "Grooming-Praktiken" (gezielte Kontaktaufnahme Erwachsener mit Minderjährigen in Missbrauchsabsicht), um Mädchen mit Behinderung im Internet anzusprechen und zu manipulieren<ref>Vgl Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 88 ff. </ref>
|
* KI-Systeme, die Kinder beim Lernen einer Fremdsprache durch den Einsatz unterschwelliger Techniken unterstützen soll, sofern sie transparent arbeitet und die Nutzerautonomie wahrt.
* KI-Systeme, die Benommenheit und Ermüdung bei Fahrern erkennen und sie im Einklang mit den Sicherheitsvorschriften mit Warnmeldungen auf Ruhepausen hinweisen, gelten ebenso nicht als Ausnutzung von Vulnerabilitäten.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 130ff. </ref>
|Art 5 Abs 1 lit b
|-
|'''Social scoring''' (Bewertung/Einstufung von Personen/Gruppen von Personen auf der Grundlage ihres sozialen Verhaltens/Eigenschaften/Persönlichkeitsmerkmale)
|
* Die Verwendung eines KI-Systems zur Schätzung der Betrugswahrscheinlichkeit bei Empfängern von Haushaltszulagen durch das Sozialamt, das sich auf Merkmale stützt, die in sozialen Kontexten ohne offensichtlichen Zusammenhang mit oder Relevanz für die Bewertung von Betrug erhoben oder abgeleitet werden, wie zB ein Ehepartner mit einer bestimmten Staatsangehörigkeit oder ethnischen Herkunft, der Besitz eines Internetanschlusses, das Verhalten auf sozialen Plattformen oder die Leistung am Arbeitsplatz etc.
* Die Nutzung eines KI-Systems durch eine öffentliche Stelle, um für die Früherkennung gefährdeter Kinder anhand von Kriterien wie der psychischen Gesundheit und Arbeitslosigkeit der Eltern, aber auch anhand von aus verschiedenen Kontexten abgeleiteten Informationen über das soziale Verhalten der Eltern Familienprofile zu erstellen. Auf der Grundlage der erzielten Bewertung werden Familien für Kontrollen ausgewählt und als „gefährdet“ geltende Kinder werden aus ihren Familien genommen, unter anderem auch in Fällen geringfügiger Übertretungen seitens der Eltern, wie zB gelegentlich verpasste Arzttermine oder verhängte Verkehrsstrafen.
* Eine Regierung führt ein umfassendes KI-gestütztes System ein, das die Bürgerinnen und Bürger auf der Grundlage ihres Verhaltens in verschiedenen Lebensbereichen wie sozialen Interaktionen, Online-Aktivitäten, Kaufgewohnheiten und Pünktlichkeit bei der Begleichung von Rechnungen überwacht und einstuft. Menschen mit einer niedrigeren Bewertung müssen damit rechnen, dass sie eingeschränkten Zugang zu öffentlichen Dienstleistungen erhalten, höhere Zinsen auf Kredite zahlen und auf Reisen und bei der Suche nach einer Wohnung oder sogar einem Arbeitsplatz Schwierigkeiten haben.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 166 ff. </ref>
|
* KI-Systeme zur Bonitätsprüfung natürlicher Personen auf Basis persönlicher Merkmale wie dem Einkommen vor Vergabe eines Kredits.
* KI-basierte Erhebung von Geschwindigkeitsüberschreitungen oder hochriskantem Fahrverhalten, die zur Erhöhung der KFZ-Versicherungsprämien führen.
* KI-gestützte gezielte kommerzielle Werbung fällt nicht in den Anwendungsbereich, wenn sie auf relevanten Daten (z. B. Nutzerpräferenzen) beruht, im Einklang mit den Rechtsvorschriften der Union über Verbraucherschutz, Datenschutz und digitale Dienste erfolgt und nicht zu einer Schlechterstellung oder Benachteiligung führt, die in keinem angemessenen Verhältnis zur Tragweite des sozialen Verhaltens des Nutzers steht (z. B. ausbeuterische und unfaire differenzierte Preisgestaltung).<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 177.</ref>
|Art 5 Abs 1 lit c
|-
|'''Bewertung des Risikos, dass eine Person eine Straftat''' begeht (ausschließlich aufgrund von Profiling)
|Eine Polizeidienststelle verwendet KI-gestützte Risikobewertungsinstrumente, um das Risiko zu bewerten, dass kleine Kinder und Jugendliche an „künftigen Gewalttaten und Eigentumsdelikten“ beteiligt sein werden. Das System bewertet Kinder auf der Grundlage ihrer Beziehungen zu anderen Menschen und deren vermeintlichen Risikoniveaus, dh es wird eventuell davon ausgegangen, dass bei Kindern ein höheres Risiko für die Begehung von Straftaten besteht, einfach weil sie mit einer anderen Person wie einem Geschwisterkind oder einem Freund verbunden sind, bei der eine hohe Risikobewertung vorliegt. Das Risikoniveau der Eltern kann sich ebenfalls auf das Risikoniveau eines Kindes auswirken.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 202.</ref>
|
* Standortbezogene oder geodatenbasierte Vorhersagen oder ortsbezogene Verbrechensvorhersagen (zB KI-System zur Berechnung der Kriminalitätswahrscheinlichkeit in bestimmten Stadtgebieten oder von Schmuggelrouten)
* KI-Systeme zur Unterstützung der durch Menschen durchgeführten Bewertung, die sich auf objektive und überprüfbare Tatsachen stützt, die in Zusammenhang mit einer kriminellen Aktivität stehen (zB Profiling zur Vorhersage gefährlichen Verhaltens in einer Menschenmenge, KI-basiertes Profiling von Personen, gegen die bereits ein Verdacht besteht, der auf mehreren überprüfbaren, objektiven Tatsachen beruht).
* KI-basiertes Profiling in Bezug auf juristische Personen
* KI-Systeme zur individuellen Vorhersage von Ordnungswidrigkeiten (zB Bagatellverkehrsdelikte)<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 212 ff.</ref>
|Art 5 Abs 1 lit d
|-
|Erstellung/Erweiterung von '''Datenbanken''' zur Gesichtserkennung durch '''ungezieltes Auslesen von Gesichtsbildern'''
|Ein Unternehmen für Gesichtserkennungssoftware sammelt Bilder von Gesichtern, die mit einem „automatisierten Bildausleser“, der das Internet durchsucht und Bilder mit menschlichen Gesichtern erkennt, aus sozialen Medien (zB Facebook, X) ausgelesen wurden. Der Bildausleser sammelt diese Bilder mit allen damit verbundenen Informationen (wie der Quelle des Bildes (URL), der Geolokalisierung und manchmal den Namen der einzelnen Personen). Die Gesichtsmerkmale werden dann aus den Bildern extrahiert und in mathematische Darstellungen umgewandelt, die für die Indexierung und den künftigen Vergleich mit Hashtags versehen werden. Wenn ein Nutzer das Bild einer Person in das KI-System hochlädt, wird dieses System bestimmen, ob dieses Bild mit einem Gesicht in der Datenbank übereinstimmt.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 232.</ref>
|
* Das ungezielte Auslesen anderer biometrischer Daten als Gesichtsbilder (zB Stimmaufnahmen)
* Gesichtsbilddatenbanken, die nicht für die Erkennung von Personen verwendet werden
* KI-Systeme, die Gesichtsbilder aus dem Internet sammeln, um KI-Modelle zur Erzeugung neuer Bilder fiktiver Personen zu entwickeln
|Art 5 Abs 1 lit e
|-
|'''Emotionserkennungssysteme''' am Arbeitsplatz oder in Bildungseinrichtungen
|
* Ein KI-System, das beispielsweise aus Gesten, Stirnrunzeln oder fehlendem Lächeln ableitet, dass ein Mitarbeiter unglücklich, traurig oder gegenüber den Kunden wütend ist
* Systeme, die aus Stimmführung oder Körpersprache ableiten, dass ein Schüler zornig und im Begriff ist, gewalttätig zu werden
* Ein KI-System, das Emotionen aus Tastenanschlägen (Art des Tippens), Gesichtsausdrücken, Körperhaltungen oder Bewegungen ableitet, beruht auf biometrischen Daten und fällt in den Anwendungsbereich des Verbots
* KI-Systeme, die den emotionalen Ton in hybriden Arbeitsteams überwachen, indem sie Emotionen aus Stimm- und Bildaufnahmen hybrider Videokonferenzen erkennen und ableiten, was in Regel der Förderung des sozialen Bewusstseins, des Managements emotionaler Dynamik und der Konfliktverhütung dienen würde
* Die Nutzung eines KI-Systems bei Online-Prüfungen zur Erkennung von Emotionen wie Erregungs- und Angstzustände
* Emotionserkennung zur Bewertung des Wohlbefindens, des Motivationsniveaus und der Arbeits- oder Lernzufriedenheit von Studierenden oder Arbeitnehmern.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|
* Der Einsatz von KI-Erkennungssystemen, um auf die Ermüdung eines Berufspiloten oder -fahrers zu schließen, ihn zu warnen und ihm zu empfehlen, zur Vermeidung von Unfällen Pausen einzulegen, da Emotionserkennung keine physischen Zustände wie Schmerzen oder Ermüdung einschließt
* Ein KI-System, das aus schriftlichen Texten (Analysen von Inhalt und Stimmung) Emotionen ableitet, um den Stil oder den Ton eines bestimmten Artikels zu bestimmen, beruht nicht auf biometrischen Daten und fällt daher nicht in den Anwendungsbereich des Verbots
* Werden Emotionserkennungssysteme nur zu persönlichen Schulungszwecken eingesetzt, sind sie zulässig, sofern die Ergebnisse nicht Personen mit Personalverantwortung zur Verfügung gestellt werden und keine Auswirkungen auf das Arbeitsverhältnis haben
* Die durch eine Bildungseinrichtung erfolgende Verwendung einer KI-gestützten Software zur Verfolgung der Augenbewegungen bei Online-Prüfungen Studierender, um den Fixierungspunkt und die Bewegung der Augen zu verfolgen (um beispielsweise zu erkennen, ob unerlaubtes Material verwendet wird), ist nicht verboten, da das System Emotionen weder erkennt noch ableitet
* Emotionserkennung aus medizinischen Gründen zur Unterstützung von Arbeitnehmern oder Studierenden mit Autismus und zur Verbesserung der Barrierefreiheit für blinde oder gehörlose Menschen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 249 ff.</ref>
|Art 5 Abs 1 lit f
|-
|'''Biometrische Kategorisierung,''' Ableitung von sensiblen Daten (religiöse Weltanschauung, politische Einstellung)
|
* Ein KI-System, das Personen, die auf einer Plattform sozialer Medien aktiv sind, nach ihrer angenommenen politischen Ausrichtung kategorisiert, indem es die biometrischen Daten der von ihnen auf die Plattform hochgeladenen Fotos analysiert, um ihnen gezielte politische Nachrichten zu übermitteln
* ein System zur biometrischen Kategorisierung, das für sich in Anspruch nimmt, die religiöse Ausrichtung einer Person aus ihren Tätowierungen oder ihrem Gesicht ableiten zu können.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 280 ff.</ref>
|
* KI-Systeme, die mit der Kennzeichnung oder Filterung rechtmäßig erworbener biometrischer Datensätze, auch zu Strafverfolgungszwecken, befasst sind (zB bei Verdacht auf Darstellungen sexuellen Kindesmissbrauchs)
* die Kategorisierung von Patienten, bei der Bilder nach ihrer Haut- oder Augenfarbe verwendet werden, für medizinische Diagnosen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 284 ff.</ref>
|Art 5 Abs 1 lit g
|-
|'''Biometrische Echtzeit-Fernidentifizierungssysteme''' in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken (zahlreiche Ausnahmen)
|
* Die polizeiliche Verwendung von Systemen zur biometrischen Echtzeit-Fernidentifizierung zu dem Zweck, Ladendiebe zu identifizieren und ihre Gesichtsbilder mit Kriminaldatenbanken zu vergleichen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 328.</ref>
|
* Die Nutzung von Echtzeit-Gesichtserkennungstechniken durch die Polizei nach einem schweren Terroranschlag auf einen Weihnachtsmarkt mit zwölf Toten, um den Täter zu identifizieren und festzustellen, wohin er flieht. In diesem Zusammenhang nutzen sie auch die Echtzeit-Gesichtserkennungstechnik des nahe gelegenen Bahnhofs und der Zielbahnhöfe der Züge, die kurz nach dem Angriff von dort abgehen.<ref>Vgl Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz, Rz 354.</ref>
|Art 5 Abs 1 lit h
|}
*

 
Einige dieser Praktiken sind darüber hinaus bereits nach anderen Rechtsvorschriften verboten, so beispielsweise gewisse manipulative und täuschende Techniken als "dark patterns" nach dem [[Digital Services Act (DSA)|Digital Services Act]] (gilt nur für bestimmte Plattform-Anbieter) oder die Verarbeitung biometrischer Daten zur Identifizierung einer Person nach Art 9 Abs 1 DSGVO, sofern keine der in Abs 2 genannten Ausnahmen vorliegt. Gemäß der neuen Plattformarbeitsrichtlinie<ref>Richtlinie (EU) 2024/2831 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit, ABl L 11. 11. 2024.</ref>, die bis Dezember 2026 in nationales Recht umzusetzen ist, ist überdies der Einsatz von automatisierten Überwachungs- und Entscheidungssystemen zur Erfassung personenbezogener Daten über den emotionalen oder psychischen Zustand einer Person (Emotionserkennung) verboten.<ref>MwN ''Wendehorst'' in ''Martini/Wendehorst,'' KI-VO. Künstliche Intelligenz-Verordnung (2024) Art 5 Rz 104.</ref>

=== Hochrisiko-KI-Systeme (Art 6 AI Act) ===

==== Einstufung ====
Der AI Act klassifiziert Hochrisiko-KI-Systeme in Art 6. Dabei kennt er zwei Varianten dieser Systeme, die in der Literatur - nicht aber im AI Act selbst - als "eingebettete" und "eigenständige" Hochrisiko-KI-Systeme bezeichnet werden. <ref>MwN ''Martini'', § 4. Hochrisiko-KI-Systeme: Risikobasierter Ansatz, in ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023) 51 (61 ff).</ref>

Darüber hinaus enthält Art 6 Abs 3 AI Act Ausnahmen von der Einstufung als Hochrisiko-KI-System.

Nach Art 6 Abs 5 AI Act hat die Kommission nach Konsultation des Europäischen Gremiums für Künstliche Intelligenz spätestens bis zum 2. Februar 2026 '''Leitlinien''' zur praktischen Umsetzung und eine umfassende Liste praktischer Beispiele für Anwendungsfälle für KI-Systeme, die hochriskant oder nicht hochriskant sind, bereitzustellen.

===== "Eingebettete" Hochrisiko-KI-Systeme (embedded high-risk AI systems) (Art 6 Abs 1 AI Act) =====
Nach Art 6 Abs 1 AI Act gilt zunächst ein KI-System als Hochrisiko-KI-System, wenn die zwei folgenden Bedingungen erfüllt sind:
* das KI-System soll als Sicherheitsbauteil eines unter die in Anhang I aufgeführten Harmonisierungsrechtsvorschriften der Union fallenden Produkts verwendet werden oder stellt selbst ein solches Produkt dar
* das Produkt, dessen Sicherheitsbauteil das KI-System ist, oder das KI-System selbst als Produkt muss im Rahmen dieser Harmonisierungsrechtsvorschriften einer Konformitätsbewertung durch Dritte unterzogen werden

Anhang I, Abschnitt A nennt dabei zwölf solche Harmonisierungsrechtsvorschriften (bezogen auf Maschinen, Spielzeug, Sportboote und Wassermotorräder, Aufzüge, Geräte und Schutzsysteme in explosionsgefährdeten Bereichen, Funkanlagen, Druckgeräte, Seilbahnen, persönliche Schutzausrüstungen, Geräte zur Verbrennung gasförmiger Brennstoffe, Medizinprodukte, In-vitro-Diagnostika).

Um diese Einstufung als Hochrisiko-KI-System durch ein Beispiel zu illustrieren:
{| class="wikitable"
|+
!Beispiel
|-
|Software kann ein '''Medizinprodukt''' im Sinne der Medizinprodukteverordnung (MPVO) darstellen.<ref>MwN ''Schreitmüller'', Regulierung intelligenter Medizinprodukte. Eine Analyse unter besonderer Berücksichtigung der MPVO und DSGVO (2023).</ref>
Medizinprodukte ab Risikoklasse IIa, das heißt mittlerem Risiko (zB Diagnose oder Überwachung), unterliegen einer Konformitätsbewertung unter Einbeziehung einer "benannten Stelle", das heißt einer externen Konformitätsbewertungsstelle.
Software als Medizinprodukt erfüllt damit - sofern sie unter die KI-Definition subsumiert werden kann - häufig beide Bedingungen:

* einerseits kann sie ein Produkt bzw Sicherheitskomponente eines Produktes darstellen, das unter die MPVO fällt, die in Anhang I Abschnitt A genannt wird, und
* anderseits unterliegt sie im Rahmen der MPVO in fast allen Fällen einer Konformitätsbewertung unter Einbeziehung einer Konformitätsbewertungsstelle, das heißt "Dritter" (mit Ausnahme eines Medizinproduktes der Klasse I).
Software als Medizinprodukt fällt somit gleichzeitig als Medizinprodukt unter die MPVO und, sofern die Software den KI-Begriff erfüllt, als Hochrisiko-KI-System unter den AI Act.
|}

===== "Eigenständige" Hochrisiko-KI-Systeme (stand-alone high-risk AI systems) (Art 6 Abs 2 AI Act) =====
Die zweite Variante von "eigenständigen" Hochrisiko-KI-Systemen wird durch Art 6 Abs 2 AI Act definiert, der dabei auf Anhang III verwiest. Dieser enthält acht Bereiche, untergliedert in konkretere Anwendungsfelder, die ebenfalls als hochriskant gelten: bspw biometrische Identifizierung, kritische Infrastrukturen, grundlegende öffentliche und private Dienste/Leistungen, Strafverfolgung, Migration, Asyl und Grenzkontrolle, Justiz und demokratische Prozesse).

Diese Liste kann dabei mittels delegierter Rechtsakte der Kommission geändert werten (Art 7 AI Act).

===== Ausnahmen (Art 6 Abs 3 AI Act) =====
Art 6 Abs 3 AI Act enthält als Abweichung '''Ausnahmen''' von der Einstufung als "eigenständiges" Hochrisiko-KI-System. Die Ausnahmen greifen dann, wenn sich zeigt, dass ein in Anhang III genanntes System kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis einer Entscheidungsfindung, an der das System beteiligt ist, wesentlich beeinflusst.

Art 6 Abs 3 2. UAbs enthält dabei vier alternative Bedingungen, die die genannten Kriterien erfüllen. ErwGr 53 liefert konkretisierende Beispiele. Ein KI-System gilt somit als nicht hochriskant, wenn
# es dazu bestimmt ist, eine eng gefasste Verfahrensaufgabe durchzuführen (bspw ein KI-System, das unstrukturierte Daten in strukturierte Daten umwandelt)
# es dazu bestimmt ist, das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern (bspw KI-Systeme, deren Ziel es ist, die in zuvor verfassten Dokumenten verwendete Sprache zu verbessern, etwa den professionellen Ton, den wissenschaftlichen Sprachstil oder um den Text an einen bestimmten mit einer Marke verbundenen Stil anzupassen
# es dazu bestimmt ist, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und nicht dazu gedacht ist, die zuvor abgeschlossene menschliche Bewertung ohne eine angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen (bspw KI-Systeme, die in Bezug auf ein bestimmtes Benotungsmuster eines Lehrers dazu verwendet werden können, nachträglich zu prüfen, ob der Lehrer möglicherweise von dem Benotungsmuster abgewichen ist, um so auf mögliche Unstimmigkeiten oder Unregelmäßigkeiten aufmerksam zu machen)
# es dazu bestimmt ist, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke der in Anhang III aufgeführten Anwendungsfälle relevant ist (bspw intelligente Lösungen für die Bearbeitung von Dossiers, wozu verschiedene Funktionen wie Indexierung, Suche, Text- und Sprachverarbeitung oder Verknüpfung von Daten mit anderen Datenquellen gehören)

Art 6 Abs 3 AI Act enthält dabei auch eine '''Rückausnahme''', die einen Bezug zur DSGVO herstellt. Ein KI-System nach Anhang III gilt "immer dann als hochriskant, wenn es ein Profiling natürlicher Personen vornimmt." Als Profiling gilt dabei iSd Art 4 Abs 4 DSGVO jede automatisierte Verarbeitung personenbezogener Daten, die darin besteht, bestimmte persönliche Aspekte einer Person zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten etc. zu analysieren oder vorherzusagen.

==== Anforderungen an Hochrisiko-KI-Systeme (Art 8-15 AI Act) ====
Die Europäische Kommission hat im Rahmen von Public Consultations unter anderem auch Rückmeldungen zu Anforderungen an Hochrisiko-KI-Systeme eingeholt, die eine Grundlage für Leitlinien bilden sollen, welche im Februar 2026 veröffentlicht werden sollen.<ref>European Commission, Commission launches public consultation on high-risk AI systems, https://digital-strategy.ec.europa.eu/en/news/commission-launches-public-consultation-high-risk-ai-systems.</ref> Hochrisiko-KI-Systeme müssen einer Reihe von Anforderungen genügen, die in einem sog Konformitätsbewertungsverfahren geprüft werden, darunter:

===== Risikomanagementsystem (Art 9 AI Act) =====
Ein umfassendes Risikomanagementsystem muss eingerichtet, angewandt, dokumentiert und aufrechterhalten werden.

Dies umfasst die Ermittlung und Analyse von '''Risiken''', ihre Abschätzung und Bewertung sowie die Ergreifung von Risikomanagementmaßnahmen und die Abwägung der Maßnahmen mit dem Restrisiko.

Vorgesehen sind auch Testverfahren.

===== Daten und Daten-Governance (Art 10 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Trainings-, Validierungs- und Testdatensätzen entwickelt werden, die gewissen '''Qualitätskriterien''' entsprechen.

So müssen die Datensätze neben Verfahren in Bezug auf konzeptionelle Entscheidungen, die Datenerhebung und Aufbereitung (hinreichend) '''relevant und so weit wie möglich repräsentativ, fehlerfrei und vollständig''' sein und Verzerrungen (Bias) müssen vermieden werden.

Merkmale/Elemente, die für '''besonderen geografischen, kontextuellen, verhaltensbezogenen oder funktionalen Rahmenbedingungen''' typisch sind, müssen berücksichtigt werden.

In Bezug auf '''Bias''' ist auch eine Regelung zur Verarbeitung von besonders sensiblen personenbezogenen Daten zur Erkennung und Korrektur enthalten, die mit der DSGVO interagiert (Art 10 Abs 5 AI Act).

===== Technische Dokumentation (Art 11 AI Act) =====
Als Basis der Konformitätsbewertung muss eine technische Dokumentation erstellt werden, bevor das Hochrisiko-KI-System in Verkehr gebracht oder in Betrieb genommen wird. Diese ist stets auf dem neuesten Stand zu halten.

Aus ihr muss der '''Nachweis''' hervorgehen, wie das Hochrisiko-KI-System die Anforderungen der Art 8 bis 15 AI Act erfüllt.

Durch die Dokumentation sollen den zuständigen nationalen Behörden und den notifizierten Stellen alle Informationen zur Verfügung stehen, die erforderlich sind, um zu beurteilen, ob das KI-System diese Anforderungen erfüllt.

KMUs können diese Dokumentation in '''vereinfachter Weise''' bereitstellen.

===== Aufzeichnungspflichten (Art 12 AI Act) =====
Hochrisiko-KI-Systeme müssen mit Funktionsmerkmalen konzipiert und entwickelt werden, die eine '''automatische Aufzeichnung''' von Vorgängen und Ereignissen („Protokollierung“) während des Betriebs der Hochrisiko-KI-Systeme ermöglichen.

Die Protokollierung (zB von Situationen, die dazu führen können, dass das System ein Risiko birgt oder dass es zu einer wesentlichen Änderung kommt) gewährleistet, dass das Funktionieren des KI-Systems während seines gesamten Lebenszyklus '''rückverfolgbar''' ist.

===== Transparenz und Bereitstellung von Informationen für die Betreiber (Art 13 AI Act) =====
Hochrisiko-KI-Systeme werden so konzipiert und entwickelt, dass ihr Betrieb hinreichend '''transparent''' ist, damit die Nutzer die Ergebnisse des Systems angemessen '''interpretieren''' und verwenden können.

Auch müssen den Nutzern/Betreibern entsprechende '''Betriebsanleitungen''' (zB zu Merkmalen, Fähigkeiten und Leistungsgrenzen des Hochrisiko-KI-Systems) zur Verfügung gestellt werden.

===== Menschliche Aufsicht (Art 14 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie während der Dauer der Verwendung des KI-Systems von natürlichen Personen '''wirksam beaufsichtigt''' werden können.

Dies dient der Verhinderung/Minimierung der Risiken für Gesundheit, Sicherheit oder Grundrechte und erfordert bspw die Möglichkeit die Fähigkeiten und Grenzen des KI-Systems angemessen und verstehen und seinen Betrieb zu überwachen, Maßnahmen gegen automation bias und die Option, das System nicht zu verwenden, seine Ausgabe außer Acht zu lassen oder in den Betrieb einzugreifen bzw ihn mit einer "Stopptaste" zu unterbrechen.

===== Genauigkeit, Robustheit und Cybersicherheit (Art 15 AI Act) =====
Hochrisiko-KI-Systeme müssen so konzipiert und entwickelt werden, dass sie ein '''angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit''' erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus beständig funktionieren.

Dies umfasst somit Maßnahmen in Hinblick auf '''innere Fehlerquellen''' (Performanzmetriken für Genauigkeit, Widerstandsfähigkeit gegenüber Fehlern, Störungen, Unstimmigkeiten für Robustheit; Maßnahmen gegen Rückkopplungsschleifen), als auch '''Angriffe von Außen''' (Cybersicherheit).

==== Pflichten für Anbieter von Hochrisiko-KI-Systemen (Art 16-21 AI Act) ====
Anbieter von Hochrisiko-KI-Systemen müssen als wichtigste Pflichten ua (Art 16 AI Act):

* sicherstellen, dass diese Systemen die Anforderungen der Art 8-15 AI Act erfüllen
* damit verbunden sicherstellen, dass sie einem Konformitätsbewertungsverfahren unterzogen werden (resultierend in einer Konformitätserklärung und einer CE-Kennzeichnung)
* über ein Qualitätsmanagementsystem (Art 17 AI Act) verfügen (ua Konzept zur Einhaltung der Regulierungsvorschriften, Techniken, Verfahren und systematische Maßnahmen für die Entwicklung, Qualitätskontrolle und Qualitätssicherung des Hochrisiko-KI-Systems; Untersuchungs-, Test- und Validierungsverfahren; Systeme und Verfahren für das Datenmanagement)
* Dokumentation (Art 18 AI Act) und Protokolle (Art 19 AI Act) aufbewahren
* einer Registrierungspflicht nachkommen (Art 49 AI Act) und
* erforderliche Korrekturmaßnahmen ergreifen und Informationen bereitstellen (Art 20 AI Act)

==== Konformitätsbewertungsverfahren (Art 43 AI Act) ====
Zentrale Anbieterpflicht ist die Durchführung eines sog Konformitätsbewertungsverfahrens. In diesem Verfahren wird überprüft, ob das Hochrisiko-KI-System die Anforderungen nach Art 8-15 AI Act erfüllt (Art 3 Z 20 AI Act).

Dabei existieren zwei verschiedene Varianten dieses Verfahrens (Art 43 AI Act).

Diese unterscheiden sich primär darin, ob eine notifizierte Stelle, das heißt eine Stelle, die Konformitätsbewertungstätigkeiten einschließlich Prüfungen, Zertifizierungen und Inspektionen durchführt und dabei als Dritte auftritt und die nach dem AI Act "notifiziert" wurde (Art 3 Z 21, 22 AI Act). Die notifizierten Stellen finden sich in einer entsprechenden [https://webgate.ec.europa.eu/single-market-compliance-space/notified-bodies/notified-body-list?filter=countryId:40,notificationStatusId:1 Datenbank].

* '''interne Kontrolle''' (Anhang VI): Eigenzertifizierung, ohne Beiziehung einer notifizierten Stelle (vorgesehen für eigenständige Hochrisiko-KI-Systeme mit Ausnahme des Bereiches Biometrie)
* '''Bewertung des Qualitätsmanagementsystems und der Bewertung der technischen Dokumentation''' unter Beteiligung einer notifizierten Stelle (Anhang VII) (primär vorgesehen für eingebettete Hochrisiko-KI-Systeme)

Bei eingebetteten Hochrisiko-KI-Systemen ist vorgesehen, dass die nach dem Harmonisierungsrechtsakt einschlägige Konformitätsbewertung (zB nach Medizinprodukteverordnung) durchgeführt wird und die Aspekte des AI Act in dieses Verfahren einbezogen werden (Art 43 Abs 3 AI Act). Ein solches "kombiniertes" Verfahren kann für einer notifizierten Stelle durchgeführt werden, sofern diese die notwendige Expertise, etc aufweist.

Bei wesentlichen Änderungen des Systems ist eine erneute Durchführung notwendig. Dies gilt für Systeme, die im Betrieb weiterlernen, nicht für vorab durch den Anbieter festgelegte Änderungen des Systems und seiner Leistung (Art 43 Abs 4 AI Act).

Der Anbieter hat daraufhin eine '''EU-Konformitätserklärung''' (Art 47 AI Act) auszustellen, eine '''CE-Kennzeichnung''' (Art 48 AI Act) anzubringen und das (selbständige) Hochrisiko-KI-System in einer Datenbank zu '''registrieren''' (Art 49 AI Act).

==== Pflichten für Betreiber von Hochrisiko-KI-Systemen ====

===== Betreiberpflichten nach Art 26 AI Act =====
Betreiber von Hochrisiko-KI-Systemen unterliegen im Vergleich zu Anbietern nur eingeschränkten Pflichten. Sie müssen ua

* geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen, dass sie KI-Systeme '''entsprechend den beigefügten Betriebsanleitungen verwenden'''
* die '''menschliche Aufsicht''' an natürliche Personen übertragen, die über die erforderliche Kompetenz, Ausbildung und Befugnis ([https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#KI-Kompetenz/AI_literacy_(Art_4_AI_Act) "KI-Kompetenz"] nach Art 4<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 40. </ref>) verfügen und ihnen die erforderliche Unterstützung zukommen lassen.
* soweit die '''Eingabedaten''' ihrer Kontrolle unterliegen dafür sorgen, dass diese der Zweckbestimmung des Hochrisiko-KI-Systems entsprechend und ausreichend repräsentativ sind
*den Betrieb des Hochrisiko-KI-Systems anhand der Betriebsanleitung '''überwachen''' und gegebenenfalls Anbieter iSv Art 72 AI Act '''informieren'''. Besteht Grund zur Annahme, dass die Verwendung gemäß der Betriebsanleitung dazu führen kann, dass dieses Hochrisiko-KI-System ein Risiko im Sinne des Art 79 Abs 1 AI Act birgt, so informieren Betreiber unverzüglich den Anbieter oder Händler und die zuständige Marktüberwachungsbehörde und setzen die Verwendung dieses Systems aus. Ähnliches gilt bei Feststellung eines schwerwiegenden Vorfalls.
*Aufbewahrung von automatisiert erzeugten '''Protokollen''' für einen Zeitraum von zumindest 6 Monaten (wobei hier entgegenstehende datenschutzrechtliche Regelungen vorgehen würden<ref>Vgl ''Wendt'' in ''Wendt/Wendt,'' Das neue Recht der Künstlichen Intelligenz2 (2025) § 7 Pflichten bei Hochrisiko-KI-Systemen Rz 42.</ref>)
*'''Information der Arbeitnehmervertreter und betroffenen Arbeitnehmer''', vor Verwendung oder Inbetriebnahme des Hochrisiko-KI-Systems am Arbeitsplatz. Dies umfasst sowohl den Einsatz von "eingebetteten" als auch "eigenständigen" Hochrisiko-KI-Systemen. Weiters sind die Mitwirkungspflichten des Betriebsrats zu berücksichtigen (vgl §§ 96 f ArbVG). Nicht umfasst sind wahrscheinlich Informationspflichten gegenüber Bewerbern, da diese tendenziell nicht unter den von dieser Bestimmung geforderten "Arbeitnehmer-Begriff" fallen.
*'''Information an natürliche Personen''', dass sie der Verwendung eines Hochrisiko-KI-Systems unterliegen, wenn das Hochrisiko-KI-Systeme natürliche Personen betreffende Entscheidungen trifft oder bei solchen Entscheidungen Unterstützung leistet. Diese Bestimmung gilt lediglich für den Einsatz von "eigenständigen" Hochrisiko-KI-Systemen nach Art 6 Abs 2 iVm Anhang III.Die danach mitzuteilende Information sollte die Zweckbestimmung und die Art der getroffenen Entscheidung beinhalten (vgl ErwGr 93) sowie - nach einer hier vertretenen Auffassung - eine vorab Information über das Recht auf Erklärung nach Art 86 AI Act, welches von KI-Entscheidungen Betroffenen das Recht zugesteht, unter gewissen Voraussetzungen vom Betreiber eine klare und aussagekräftige Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess sowie zu den wichtigsten Elementen der getroffenen Entscheidung zu erhalten.<ref>Siehe die entsprechende Argumentationslinie im Detail: ''Research Institute'', Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025) 100 ff, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf. </ref>

===== Grundrechte-Folgenabschätzung (Art 27 AI Act) =====
Als Gegenstück zum Risikomanagement (Art 9 AI Act), das Anbieter von Hochrisiko-KI-Systemen betrifft, müssen gewisse Betreiber<ref>Betreiber, bei denen es sich um Einrichtungen des öffentlichen Rechts oder private Einrichtungen, die öffentliche Dienste erbringen, handelt, und Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III Nummer 5 Buchstaben b [Kreditwürdigkeitsprüfung und Bonitätsbewertung] und c [Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen]. Eine Ausnahme besteht wiederum im Bereich der kritischen Infrastruktur (Anhang III Nummer 2).</ref> von Hochrisiko-KI-Systemen vor der ersten Verwendung eine Abschätzung der Risiken auf Grundrechte durchführen (Art 27 Abs 1 AI Act).<ref>MwN ''Müller/Schneeberger'', Menschenrechtsfolgenabschätzungen im Artificial Intelligence Act, juridikum 2024, 265.</ref>

Die Abschätzung umfasst dabei

* eine Beschreibung der Verfahren, bei denen das Hochrisiko-KI-System verwendet wird
* eine Beschreibung des Zeitraums und der Häufigkeit der Verwendung
* die Kategorien der natürlichen Personen und Personengruppen, die von seiner Verwendung betroffen sein könnten
* die spezifischen Schadensrisiken, die sich auf die ermittelten Kategorien natürlicher Personen oder Personengruppen auswirken könnten
* eine Beschreibung der Umsetzung von Maßnahmen der menschlichen Aufsicht
* die Maßnahmen, die im Falle des Eintretens dieser Risiken zu ergreifen sind.

Das Büro für KI wird dabei ein Muster für einen Fragebogen entwickeln, um dieser Pflicht in vereinfachter Weise nachkommen zu können (Art 27 Abs 5 AI Act).

Art 27 Abs 4 macht überdies die Verzahnung der Grundrechte-Folgenabschätzung (GRFA) mit anderen Folgenabschätzungen deutlich und schreibt bspw vor, dass bei Vorliegen einer Datenschutz-Folgenabschätzung nach Art 35 DSGVO die GRFA diese ergänzen bzw in diese integriert werden solle.<ref>Vgl ''Piltz/Zwerschke'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 27 Grundrechte-Folgenabschätzung für Hochrisiko-KI-Systeme Rz 32.</ref>

Sowohl die Verpflichtungen nach Art 26 als auch die Durchführung einer GRFA nach Art 27 treffen den Betreiber unabhängig davon, ob jemand (bspw Betroffene) deren Einhaltung einfordern. Im Unterschied dazu enthält der AI Act in den Artt 85 ff sog "Betroffenenrechte", die aktiv von betroffenen Personen geltend zu machen sind. Dazu zählt insbesondere das [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Recht auf Erklärung nach Art 86], welches das einzige Betroffenenrecht darstellt, das direkt gegen den Betreiber durchsetzbar ist.

==== Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act) ====
[[Datei:KI-Servicestelle bei der RTR, Rollenverteilung Hochrisiko-KI-Systeme.svg|links|mini|Übersicht über die Rollenverteilung und mögliche Rollenwechsel von Betreiber zu Anbieter bei Hochrisiko-KI-Systemen. © RTR (CC BY 4.0), https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/akteure.de.html.]]

Die Einstufung als Betreiber oder Anbieter ist dabei nicht statistisch, wie Art 25 AI Act zeigt. Dieser normiert Fälle, in denen Betreiber (und Händler, Einführer oder sonstige Dritte) als Anbieter eines Hochrisiko-KI-Systems gelten und damit auch den Anbieterpflichten (Art 16 AI Act) unterliegen.

Ein solcher "Rollenwechsel" findet in folgenden Konstellationen statt (Art 25 Abs 1 AI Act):

* wenn die genannten Personen ein bereits in Verkehr gebrachtes oder in Betrieb genommenes Hochrisiko-KI-System '''mit ihrem Namen oder ihrer Handelsmarke versehen''', unbeschadet vertraglicher Vereinbarungen, die eine andere Aufteilung der Pflichten vorsehen;
* wenn sie eine '''wesentliche Veränderung''' eines Hochrisiko-KI-Systems, das bereits in Verkehr gebracht oder in Betrieb genommen wurde, so vornehmen, dass es weiterhin ein Hochrisiko-KI-System gemäß Art 6 AI Act bleibt;
* wenn sie die '''Zweckbestimmung eines KI-Systems''', das nicht als hochriskant eingestuft wurde und bereits in Verkehr gebracht oder in Betrieb genommen wurde, so '''verändern''', dass das betreffende KI-System zu einem Hochrisiko-KI-System im Sinne von Art 6 AI Act wird.

In diesen Szenarien gilt der ursprüngliche Anbieter (Erstanbieter) nicht mehr als Anbieter dieses spezifischen KI-Systems (Art 25 Abs 2 AI Act). Der Erstanbieter hat jedoch mit dem neuen Anbieter zusammenzuarbeiten, insb Informationen zur Verfügung zu stellen, für technischen Zugang und sonstige Unterstützung zu sorgen.<ref>Diese Pflicht zur Übergabe der Dokumentation gilt nicht, wenn der Anbieter festgelegt hat, dass sein KI-System nicht in ein Hochrisiko-KI-System umgewandelt werden darf.</ref>

{| class="wikitable"
|+
!Hinweis:
|-
|Aufgrund von Art 25 AI Act muss beachtet werden, dass die Rollenverteilung eine dynamische und nicht statische ist. So könnte zB ein Betreiber eines Large Language Models, der dieses zur Generierung von medizinischen Diagnosen verwendet, wenn diese Verwendung entgegen der Zweckbestimmung des (ursprünglichen) Anbieters erfolgt, durch diese Verwendung zum neuen Anbieter werden und auch dessen Pflichten übernehmen. Auch ein Zusammentreffen der Rolle von Anbieter und Betreiber in einem Akteur ist möglich.
|}
=== Transparenzpflichten (Art 50 AI Act) ===
Unabhängig von der Risikoeinstufung eines KI-Systems sieht Art 50 AI Act Transparenzpflichten für gewisse KI-Systeme vor. Die Informationen müssen spätestens zum Zeitpunkt der ersten Interaktion oder Aussetzung in klarer und eindeutiger Weise bereitgestellt werden sowie den Anforderungen an die Barrierefreiheit genügen.

* Anbieter haben bei KI-Systemen, die für die direkte '''Interaktion mit natürlichen Personen''' bestimmt sind (zB Chatbots, Sprachassistenten, Social Bots), sicherzustellen, dass diese so konzipiert und entwickelt werden, dass die betreffenden natürlichen Personen informiert werden, dass sie mit einem KI-System interagieren.<ref>Eine solche Kennzeichnung ist nicht notwendig, wenn es aus Sicht einer angemessen informierten, aufmerksamen und verständigen natürlichen Person aufgrund der Umstände und des Kontexts der Nutzung offensichtlich ist, dass mit einem KI-System interagiert wird. Diese Pflicht gilt ebenfalls nicht für gesetzlich zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten zugelassene KI-Systeme, wenn geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen, es sei denn, diese Systeme stehen der Öffentlichkeit zur Anzeige einer Straftat zur Verfügung.</ref> Diese Pflicht kann entfallen, wenn die Interaktion mit dem KI-System aus Sicht einer angemessen informierten, aufmerksamen und verständigen Person offensichtlich ist oder beim Einsatz von KI-Systemen, die für die Strafverfolgung zugelassen sind.<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 43.</ref>
{| class="wikitable"
|+
*
!Beispiele<ref>Vgl ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 40.</ref>
|-
|'''Chatbots''' können durch einen textlichen Hinweis zu Beginn des Gesprächs oder ein dauerhaft angezeigtes grafisches Symbol vorgestellt werden.
Bei '''Voicebots''' kommt eine der Interaktion vorausgehende Ansage, welche auf den KI-Einsatz hinweist, in Betracht.

'''Social Bots''' können eine Information vor und mit jeder Interaktion des Bots in sozialen Netzwerken erfordern, da das System stets mit einem neuen Personenkreis in Interaktion tritt (zB AI-Influencer).
|}
* Anbieter von KI-Systemen die '''synthetische Audio-, Bild-, Video- oder Textinhalte''' erzeugen, müssen sicherstellen, dass die Ausgaben des KI-Systems in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind.<ref>Diese Pflicht gilt nicht, soweit die KI-Systeme eine unterstützende Funktion für die Standardbearbeitung ausführen oder die vom Betreiber bereitgestellten Eingabedaten oder deren Semantik nicht wesentlich verändern oder wenn sie zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen sind.</ref> <ref>Das KI-Büro hat am 5. November 2025 Arbeiten an einem Verhaltenskodex in Bezug auf die Kennzeichnung von KI-generierten Inhalten aufgenommen. Die entsprechenden Leitlinien werden in einem siebenmonatigen Prozess, der sich insbesondere durch die Einbindung von relevanten Stakeholdern und öffentliche Konsultationen auszeichnen soll, erarbeitet werden. Näheres unter: https://digital-strategy.ec.europa.eu/en/news/commission-launches-work-code-practice-marking-and-labelling-ai-generated-content</ref> Mögliche Methoden wären bspw Wasserzeichen, Metadatenidentifizierungen, Kryptografische Methoden (zB "Hashing"), Protokollierungsmethoden oder Fingerabdrücke.<ref>Vgl ErwGr 133 Satz 4 sowie mwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 84 ff.</ref>
* Betreiber eines '''Emotionserkennungssystems''' oder eines Systems zur '''biometrischen Kategorisierung''' müssen die davon betroffenen natürlichen Personen über den Betrieb des Systems informieren und personenbezogene Daten datenschutzkonform<ref>Dabei wird explizit auf die DSGVO, die VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG und die RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates verwiesen.</ref> verarbeiten.<ref>Diese Pflicht gilt nicht für gesetzlich zur Aufdeckung, Verhütung oder Ermittlung von Straftaten zugelassene KI-Systeme, die zur biometrischen Kategorisierung und Emotionserkennung im Einklang mit dem Unionsrecht verwendet werden, sofern geeignete Schutzvorkehrungen für die Rechte und Freiheiten Dritter bestehen.</ref>
* Betreiber eines KI-Systems, das Bild-, Ton- oder Videoinhalte erzeugt oder manipuliert, die ein '''Deepfake''' sind, müssen offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist. Ist der Inhalt Teil eines offensichtlich künstlerischen, kreativen, satirischen, fiktionalen oder analogen Werks oder Programms, so beschränken sich die Transparenzpflichten darauf, das Vorhandensein solcher erzeugten oder manipulierten Inhalte in geeigneter Weise offenzulegen, die die Darstellung oder den Genuss des Werks nicht beeinträchtigt.</ref> Denkbar ist bspw eine Umsetzung in Form eines sichtbaren Wasserzeichens, eines textlichen Hinweises, durch Hinzufügen von sog C2PA-Content Credentials<ref>Die C2PA („Coalition forContent Provenanceand Authenticity“) ist ein branchenübergreifendes Non-profit-Projekt, das die Entwicklung gemeinsamer technischer Standards zur Ermittlung der Herkunft von digitalen Inhalten zum Ziel hat. Siehe dazu https://c2pa.org/. So hat sich bspw LinkedIn bei der Erkennung KI-generierter Inhalte diesen Standards unterworfen: https://www.linkedin.com/help/linkedin/answer/a6282984. MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 150.</ref> oder bei Audioinhalten durch eine Ansage zu Beginn des Audioinhalts.<ref>''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 148 ff. </ref>
* Betreiber eines KI-Systems, das '''Text erzeugt oder manipuliert, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren''', müssen offenlegen, dass der Text künstlich erzeugt oder manipuliert wurde.<ref>Diese Pflicht gilt nicht, wenn die Verwendung zur Aufdeckung, Verhütung, Ermittlung oder Verfolgung von Straftaten gesetzlich zugelassen ist oder wenn die durch KI erzeugten Inhalte einem Verfahren der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurden und wenn eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung der Inhalte trägt.</ref> Diese Verpflichtung entfällt, wenn die betreffenden Inhalte vor ihrer Veröffentlichung einer menschlichen oder redaktionellen Kontrolle unterzogen wurden und eine Person die redaktionelle Verantwortung dafür trägt. Da die Anforderungen an die menschliche bzw redaktionelle Kontrolle nicht konkretisiert werden, unterwerfen sich bspw im journalistischen Bereich zahlreiche Medien freiwilligen Leitlinien (so etwa die [https://www.blm.de/files/pdf2/ki-leitlinien.pdf Leitlinien des Medienrats der Bayerischen Landeszentrale für neue Medien (BLM) zum Einsatz von Künstlicher Intelligenz im Journalismus]).<ref>MwN ''Merkle'' in ''Bomhard/Pieper/Wende,'' KI-VO. Künstliche Intelligenz-Verordnung (2025) Art. 50 Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme Rz 163 f.</ref>

=== KI-Systeme mit minimalem Risiko ===
Für KI-Systeme, die sich nicht unter die aufgezählten Bestimmungen (verbotene Praktiken, Hochrisiko-KI-Systeme, Transparenzpflichten) einteilen lassen, teilweise als "KI-Systeme mit minimalem Risiko" bezeichnet, sieht der AI Act keine zusätzlichen Pflichten vor. Andere nationale oder unionsrechtliche Vorschriften wie die DSGVO können dennoch auf diese Systeme anwendbar sein. Auf freiwilliger Ebene ist jedoch auch bei Systemen, die kein hohes Risiko bergen, eine (teilweise) Unterwerfung unter den AI Act möglich. Dies soll durch die Aufstellung von sog "Verhaltenskodizes" gefördert werden (Art 95 AI Act).

=== GPAI-Modelle (Art 51 ff AI Act) ===

==== Differenzierung: GPAI-Modelle ohne/mit systemischem Risiko (Art 51-52 AI Act) ====
Wie bereits in Bezug auf den Anwendungsbereich erläutert muss zwischen KI-Systemen und KI-Modellen unterschieden werden. Ein KI-Modell ist dabei nur ein Baustein/Bestandteil eines KI-Systems, weitere Komponenten wie eine Nutzerschnittstelle sind erforderlich, damit ein Modell zu einem KI-System wird (ErwGr 97 AI Act). Bspw bietet ChatGPT eine Nutzerschnittstelle, um auf diverse dahinterstehende GPT-Modelle zurückzugreifen. Während KI-Systeme in den risikobasierten Ansatz fallen (verbotene Systeme, Hochrisiko-KI-Systeme, Transparenzpflichten), unterliegen nur gewisse Modelle, nämlich GPAI-Modelle (in früheren Fassungen foundation models/Basismodelle) einer Sonderregulierung (Art 51 ff AI Act).

Dabei wird binär zwischen GPAI-Modelle ohne und GPAI-Modelle mit systemischem Risiko unterschieden.

Ein solches '''systemisches Risiko''' liegt vor (Art 51 AI Act),

* wenn das Modell über Fähigkeiten mit hohem Wirkungsgrad verfügt, die mithilfe geeigneter technischer Instrumente und Methoden, einschließlich Indikatoren und Benchmarks, bewertet werden. Dies wird angenommen, wenn die kumulierte Menge der für sein Training verwendeten Berechnungen, gemessen in Gleitkommaoperationen (floating point operations [FLOPs]),<ref>Definiert als "jede Rechenoperation oder jede Zuweisung mit Gleitkommazahlen, bei denen es sich um eine Teilmenge der reellen Zahlen handelt, die auf Computern typischerweise durch das Produkt aus einer ganzen Zahl mit fester Genauigkeit und einer festen Basis mit ganzzahligem Exponenten dargestellt wird (Art 3 Z 67 AI Act). Grafisch dargestellt in ''RTR'', FLOPs und der AI Act, https://www.rtr.at/rtr/service/ki-servicestelle/ai-act/2024-07-19_FLOPs-AIA-DE.svg.</ref> mehr als 1025 beträgt. Dies dürfte zurzeit nur auf GPT-4 und potentiell Varianten von Gemini zutreffen. Liegen solche Fähigkeiten mit hohem Wirkungsgrad vor, hat der Anbieter die Kommission (unverzüglich) zu informieren (Art 52 AI Act).
* ein solches Risiko kann von Amts wegen/aufgrund einer Warnung von der Kommission in einer Entscheidung festgestellt werden (unter Einbeziehung der Kriterien in Anhang XIII bspw Anzahl der Parameter, Größe des Datensatzes, Multimodalität, etc)

==== Pflichten für Anbieter von GPAI-Modellen (Art 53 AI Act) ====
Anbieter von GPAI-Modellen (ohne systemisches Risiko) müssen (Art 53 AI Act):

* eine technische Dokumentation des Modells erstellen und aktualisieren (Mindestelemente in Anhang XI).<ref>Das heißt (soweit es anhand der Größe und des Risikoprofils des betreffenden Modells angemessen ist) erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; die Architektur und die Anzahl der Parameter; die Modalität [zum Beispiel Text, Bild] und das Format der Ein- und Ausgaben; die Lizenz) und zweitens eine '''ausführliche Beschreibung der Elemente des Modells''' und relevante Informationen zum Entwicklungsverfahren (bspw die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; die Entwurfsspezifikationen des Modells und des Trainingsverfahrens einschließlich Trainingsmethoden und -techniken, die wichtigsten Entwurfsentscheidungen mit den Gründen und getroffenen Annahmen; gegebenenfalls, was das Modell optimieren soll und welche Bedeutung den verschiedenen Parametern dabei zukommt; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden [zum Beispiel Bereinigung, Filterung usw.], der Zahl der Datenpunkte, ihres Umfangs und ihrer Hauptmerkmale; gegebenenfalls die Art und Weise, wie die Daten erlangt und ausgewählt wurden, sowie alle anderen Maßnahmen zur Feststellung, ob Datenquellen ungeeignet sind, und Methoden zur Erkennung ermittelbarer Verzerrungen; die für das Trainieren des Modells verwendeten Rechenressourcen [zum Beispiel Anzahl der Gleitkommaoperationen], die Trainingszeit und andere relevante Einzelheiten im Zusammenhang mit dem Trainieren; bekannter oder geschätzter Energieverbrauch des Modells).</ref> Diese muss auf Anfrage Behörden zur Verfügung gestellt werden.
* Informationen und die Dokumentation (Mindestelemente in Anhang XII)<ref>Das heißt erstens eine '''allgemeine Beschreibung des KI-Modells''' (bspw der Aufgaben, die das Modell erfüllen soll, sowie der Art und des Wesens der KI-Systeme, in die es integriert werden kann; die anwendbaren Regelungen der akzeptablen Nutzung; das Datum der Freigabe und die Vertriebsmethoden; gegebenenfalls wie das Modell mit Hardware oder Software interagiert, die nicht Teil des Modells selbst ist, oder wie es zu einer solchen Interaktion verwendet werden kann; gegebenenfalls die Versionen der einschlägigen Software im Zusammenhang mit der Verwendung des KI-Modells mit allgemeinem Verwendungszweck; die Architektur und die Anzahl der Parameter; die Modalität (zum Beispiel Text, Bild) und das Format der Ein- und Ausgaben; die Lizenz für das Modell) und zweitens eine '''Beschreibung der Bestandteile des Modells und seines Entwicklungsprozesses (bspw''' die technischen Mittel [zum Beispiel Betriebsanleitungen, Infrastruktur, Instrumente], die für die Integration des KI-Modells mit allgemeinem Verwendungszweck in KI-Systeme erforderlich sind; Modalität [zum Beispiel Text, Bild usw.] und Format der Ein- und Ausgaben und deren maximale Größe [zum Beispiel Länge des Kontextfensters usw.]; gegebenenfalls Informationen über die für das Trainieren, Testen und Validieren verwendeten Daten, einschließlich der Art und Herkunft der Daten und der Aufbereitungsmethoden.)</ref> erstellen und aktualisieren und sie Anbietern von KI-Systemen zur Verfügung stellen, die beabsichtigen, das KI-Modell mit allgemeinem Verwendungszweck in ihre KI-Systeme zu integrieren. Diese Informationen und die Dokumentation müssen die Anbieter von KI-Systemen in die Lage versetzen, die Fähigkeiten und Grenzen des KI-Modells mit allgemeinem Verwendungszweck gut zu verstehen und ihren Pflichten gemäß dem AI Act nachzukommen.
* eine Strategie zur Einhaltung des Urheberrechts der Union und damit zusammenhängender Rechte auch durch modernste Technologien, auf den Weg bringen
* eine hinreichend detaillierte Zusammenfassung der für das Training des GPAI-Modells verwendeten Inhalte erstellen und veröffentlichen

===== Pflichten für Anbieter von GPAI-Modellen mit systemischem Risiko (Art 55 AI Act) =====
Anbieter von GPAI-Modellen mit systemischem Risiko müssen (zusätzlich) (Art 55 AI Act):

* eine Modellbewertung mit standardisierten Protokollen und Instrumenten, die dem Stand der Technik entsprechen, durchführen (inklusive der Durchführung und Dokumentation von Angriffstests beim Modell gehören, um systemische Risiken zu ermitteln und zu mindern)
* mögliche systemische Risiken auf Unionsebene bewerten und mindern,
* einschlägige Informationen über schwerwiegende Vorfälle und mögliche Abhilfemaßnahmen erfassen und dokumentieren und die Behörden darüber unterrichten
* ein angemessenes Maß an Cybersicherheit für die Modelle und die physische Infrastruktur des Modells gewährleisten.

===== Praxisleitfäden (codes of practice) (Art 56 AI Act) =====
Die genannten Pflichten sollen dabei durch sog Praxisleitfäden auf Unionsebene konkretisiert werden, die unter Berücksichtigung internationaler Ansätze zur ordnungsgemäßen Anwendung dieser Verordnung beizutragen sollen (Art 56 Abs 1 AI Act).

Die Praxisleitfäden sollen mindestens die in Art 53-55 AI Act vorgesehenen Pflichten abdecken, darunter (Art 56 Abs 2 AI Act)

* Mittel, mit denen sichergestellt wird, dass die in Art 53 Abs 1 lit a und b AI Act genannten Informationen (technische Dokumentation des Modells; Information und Dokumentation für die Integrierung des Modells) vor dem Hintergrund der Marktentwicklungen und technologischen Entwicklungen auf dem neuesten Stand gehalten werden
* die angemessene Detailgenauigkeit bei der Zusammenfassung der für das Training verwendeten Inhalte
* die Ermittlung von Art und Wesen der systemischen Risiken auf Unionsebene
* die Maßnahmen, Verfahren und Modalitäten für die Bewertung und das Management der systemischen Risiken auf Unionsebene

Für die Ausarbeitung solcher Leitfäden können alle '''Anbieter''' von KI-Modellen mit allgemeinem Verwendungszweck sowie die einschlägigen zuständigen nationalen '''Behörden''' ersucht werden, sich an der Ausarbeitung von Praxisleitfäden zu beteiligen. Organisationen der '''Zivilgesellschaft''', die Industrie, die '''Wissenschaft''' und andere einschlägige '''Interessenträger''' wie nachgelagerte Anbieter und unabhängige Sachverständige können den Prozess ebenfalls unterstützen (Art 65 Abs 3 AI Act).

Ein erster Entwurf eines solchen Leitfadens, ausgearbeitet von internationalen Expert*innen, wurde im November 2024 von der Europäischen Kommission präsentiert.<ref>''European Commission'', First Draft of the General-Purpose AI Code of Practice published, written by independent experts, https://digital-strategy.ec.europa.eu/en/library/first-draft-general-purpose-ai-code-practice-published-written-independent-experts (Stand 14. 11. 2024).

</ref> Für den am 10. Juli 2025 veröffentlichten Praxisleitfaden hat die EU-Kommissionen eine allgemeine [https://digital-strategy.ec.europa.eu/de/faqs/questions-and-answers-code-practice-general-purpose-ai "FAQ-Sektion"] angelegt, um zusätzliche Informationen bereitzustellen.

Die Befugnisse für die '''Aufsicht, Ermittlung, Durchsetzung und Überwachung''' in Bezug auf Anbieter von GPAI-Modellen werden (ausschließlich) der Kommission zugewiesen und in den Art 88-94 AI Act abweichend geregelt.

== Durchsetzung/Rechtsbehelfe (Art 85-87 AI Act) ==
Der AI Act normiert nur wenige Rechtsbehelfe für Betroffene.
{| class="wikitable"
|+
!Hinweis:
|-
|In Bezug auf mögliche Rechtsbehelfe muss der AI Act, der diesbezüglich nur eingeschränkte Möglichkeiten bereithält, im Zusammenhang mit der AILD und PLD gesehen werden.
|}

=== Recht auf Beschwerde bei der Marktüberwachungsbehörde (Art 85 AI Act) ===
Zunächst kann jede natürliche oder juristische Person, die Grund zu der Annahme hat, dass gegen die Bestimmungen des AI Act verstoßen wurde, unbeschadet anderer Rechtsbehelfe, bei der betreffenden Marktüberwachungsbehörde Beschwerden einreichen. Diese Beschwerden werden für die Zwecke der Durchführung von Marktüberwachungstätigkeiten berücksichtigt.

Stand November 2025 wurde in Österreich noch keine Behörde als zuständige Marktüberwachungsbehörde eingerichtet oder benannt. Bereits mit 2. November 2024 sind jedoch einige Behörden und öffentliche Stellen im Grundrechtsbereich gemäß Art 77 Abs 2 mit Aufsichts- und Durchsetzungsbefugnissen für Grundrechte insb im Zusammenhang mit Hochrisiko-KI ausgestattet worden, darunter die Volksanwaltschaft, die Datenschutzbehörde, die Arbeiterkammer, die Gleichbehandlungskommission, die Behindertenanwaltschaft, die KommAustria uvm.<ref>Mehr dazu unter: https://www.digitalaustria.gv.at/themen/kuenstliche-intelligenz/behoerden-art77-ai-act.html.</ref> Dabei treffen auch die (künftig) zuständige Marktüberwachungsbehörde umfassende Kooperationspflichten, wie etwa die Meldung schwerwiegender Grundrechtsvorfälle in diesem Kontext an die genannten Einrichtungen (vgl Art 73 Abs 7 und Art 79 Abs 2 AI Act).<ref>Vgl ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 103, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Dazu hat die Kommission entsprechende Leitlinien zu veröffentlichen, die sich gerade in Ausarbeitung befinden.<ref>Nähere Informationen unter: https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks.</ref>

=== Recht auf Erläuterung der Entscheidungsfindung im Einzelfall (Art 86 AI Act) ===
Zweitens haben Personen,

* die von einer Entscheidung im Einzelfall betroffen sind,
* die der Betreiber auf der Grundlage der Ausgaben eines in Anhang III aufgeführten Hochrisiko-KI-Systems getroffen hat (somit nur eigenständige Hochrisiko-KI-Systeme;<ref>Eine Ausnahme besteht für Hochrisiko-KI-Systeme im Bereich kritische Infrastruktur.</ref> eingebettete Hochrisiko-KI-Systeme wie Medizinprodukte sind nicht erfasst)
* und die rechtliche Auswirkungen hat oder
* sie in ähnlicher Art erheblich auf eine Weise beeinträchtigt, die ihrer Ansicht nach ihre Gesundheit, ihre Sicherheit oder ihre Grundrechte beeinträchtigt,
das Recht, vom Betreiber eine klare und aussagekräftige '''Erläuterung zur Rolle des KI-Systems im Entscheidungsprozess''' und zu den '''wichtigsten Elementen der getroffenen Entscheidung''' zu erhalten (Recht auf Erläuterung der Entscheidungsfindung im Einzelfall gemäß Art 86 Abs 1 AI Act oder auch gemeinhin als '''"Recht auf Erklärung"''' bezeichnet).<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; ''Müller/Scheichenbauer/Schneeberger'', Der Auskunftsanspruch im Zeitalter KI-gestützter Entscheidungsprozesse. Querverbindungen von Art 15 Abs 1 lit h iVm Art 22 DSGVO und Art 86 AI Act in der Praxis, in ''Jahnel'' (Hrsg), Jahrbuch Datenschutzrecht 2024 (2025) 157; ''Poindl/Müller,'' Das Recht auf Erklärung im AI Act. Betroffenenrecht mit Potenzial oder Papiertiger?, VbR 2025, 40. </ref> Dabei ist es unerheblich, ob das KI-System die Entscheidung gänzlich autonom getroffen hat oder unterstützend beteiligt war, es darf lediglich keine untergeordnete Rolle im Entscheidungsprozess gespielt haben. Steht das Recht auf Erklärung zu, hat die betroffene Person einerseits das Recht, eine Erklärung über die Rolle des KI-Systems im Entscheidungsprozess zu verlangen, worunter einerseits Informationen über die zentralen Aufgaben des Systems im Entscheidungsprozess fallen (zB Zielgruppenselektion, Datenanalyse, Vorgabe der Entscheidung usw.) und andererseits auch der Grad dessen Beteiligung (gering, mittel, hoch), was umgekehrt auch den Grad menschlicher Beteiligung an der Entscheidungsfindung erfordert. Weiters sind die wichtigsten Elemente der Entscheidung zu beauskunften, beispielsweise Eingabedaten, wesentliche Entscheidungsgründe, kontrafaktische Erklärungen (inwiefern hätten andere Parameter zu einer anderen Entscheidungen geführt), die Auswirkungen der Entscheidung, die Gewichtung der einzelnen Kriterien und die Verarbeitungslogik (Informationen über die grobe Funktionsweise des KI-Systems, keine komplette Offenlegung des algorithmischen Codes). Weiters muss die Erklärung präzise, korrekt, verständlich, nicht zu technisch (keine komplexen mathematischen Formeln), aber dennoch vollständig sein.<ref>MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf; </ref> Letzter Referenzpunkt ist stets, ob die betroffene Person auf Basis der erlangten Informationen weitere Rechte geltend machen kann, da das Recht auf Erklärung auch oft als "Türöffner" für die Geltendmachung weiterer Rechte dient (so wird bspw eine Klage wegen Diskriminierung in einem Entscheidungsprozess erst erhoben werden können, wenn die betroffene Person genügend Informationen hat, um die Diskriminierung darzulegen, bspw die Gewichtung von bestimmten persönlichen Merkmalen, die ausschlaggebend für die Entscheidung war).

Es handelt sich somit um ein nachgelagertes bzw ''ex post'' Recht, das nicht nur globale, abstrakte Systemerklärungen erfordert, sondern auch lokale, einzelfallbezogene Auskünfte umfasst, damit die betroffene Person die Informationen wirksam nutzbar machen kann . Das Recht auf Erklärung steht Betroffenen gegenüber Betreibern und nicht gegenüber Anbietern zu, wobei letztere wiederum Betreibern entsprechende Betriebsanleitungen bereitzustellen haben (Art 13 AI Act).

Das Recht auf Erklärung gilt nicht, sofern Ausnahmen nach Unionsrecht oder nationalem Recht bestehen (Art 86 Abs 2). Zu denken wäre hier etwa an Beschränkungen der Informationspflicht aufgrund geschützter Betriebs- oder Geschäftsgeheimnisse, wobei diese nicht zu einer pauschalen Auskunftsverweigerung führen dürfen. Art 86 Abs 1 gilt überdies nur insoweit, als dieses Recht nicht anderweitig im Unionsrecht festgelegt ist (Art 86 Abs 3 AI Act). In Hinblick auf diese [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung Subsidiarität] ist insbesondere an das Auskunftsrecht nach Art 15 DSGVO (iVm Art 22 DSGVO) zu denken.

Das Recht auf Erklärung ist immer dann relevant, wenn Unternehmen, Behörden etc. KI in Entscheidungsfindungsprozessen einsetzen, die Auswirkungen auf bestimmte Personen(-gruppen) haben. Zu denken ist etwa an KI-basierte Entscheidungen über die Vergabe von Krediten, über die Berücksichtigung einer Bewerbung, über die Höhe einer Versicherungsprämie oder personalisierte Werbeschaltungen auf Basis von Emotionserkennung.

Zum Umgang mit dem Recht auf Erklärung in der Praxis hat das ''Research Institute'' im Auftrag des Bundesministeriums für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz Leitlinien entwickelt:

* [https://www.sozialministerium.gv.at/dam/jcr:f1685e43-21b8-48f3-9fe5-2c61898960ae/Final_Aufkl%C3%A4rung%204.0_Unternehmensleitfaden_April2025.pdf Leitfaden für Unternehmen] im Umgang mit Art 86 AI Act
* [https://www.sozialministerium.gv.at/dam/jcr:40ba630c-39af-4b8d-8768-a69192427b09/Final_Aufkl%C3%A4rung%204.0_Konsumentinnenleitfaden_April2025.pdf Leitfaden für Konsument:innen und ihre Interessenvertretungen] zur Durchsetzung ihrer Rechte
* [https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf Theoretischer Grundlagenbericht] zur wissenschaftlichen Fundierung der ausgesprochenen Empfehlungen

=== Meldung von Verstößen und Schutz von Hinweisgebern (Art 87 AI Act) ===
Zusätzlich normiert Art 87 AI Act, dass für die Meldung von Verstößen und den Schutz von Personen, die solche Verstöße melden, die Richtlinie zum Schutz von Whistleblowern gilt.<ref>RL (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, ABl L 2019/305, 17.</ref>

== Bedeutung von Normen und Standards (Art 40-42 AI Act) ==
Die Kommission hat die Entwicklung von '''harmonisierten Normen''', die derzeit nicht existieren beauftragt.<ref>Commission Implementing Decision on a standardisation request to the European Committee for Standardisation and the European Committee for Electrotechnical Standardisation in support of Union policy on artificial intelligence, C(2023)3215, https://ec.europa.eu/transparency/documents-register/detail?ref=C(2023)3215&lang=en.</ref> Solche Normen werden im Amtsblatt der EU veröffentlicht.

Stimmen Hochrisiko-KI-Systeme oder GPAI-Modelle mit solchen harmonisierten Normen überein, wird eine Konformität mit den Anforderungen an Hochrisiko-KI-Systeme (Art 8 ff AI Act) oder gegebenenfalls mit den Pflichten für die Anbieter von GPAI-Modellen (Art 53 ff AI Act) vermutet ('''Konformitätsvermutung'''), soweit diese Anforderungen oder Verpflichtungen von den Normen abgedeckt sind (Art 40 AI Act). Diesen harmonisierten Normen kommt somit eine hohe Bedeutung zu, für Rechtssicherheit zu sorgen und die abstrakten Anforderungen des AI Act zu konkretisieren.<ref>MwN ''Ebers'', Standardisierung Künstlicher Intelligenz und KI-Verordnungsvorschlag, RDi 2021, 588.</ref>
{| class="wikitable"
|+
!Hinweis:
|-
|Derartige harmonisierte Normen befinden sich derzeit in Entwicklung und wurden noch nicht veröffentlicht (siehe unterhalb).
|}
Subsidiär kann die Kommission, wenn strenge Bedingungen erfüllt sind (harmonisierte Normen wurden nicht ausgearbeitet oder entsprechen nicht dem Auftrag), Durchführungsrechtsakte zur Festlegung '''gemeinsamer Spezifikationen''' erlassen, mit denen ebenfalls eine solche Konformitätsvermutung einhergeht (Art 41 AI Act).

Ein Kurzüberblick über die Bedeutung von harmonisierten Normen und in Entwicklung befindliche Normen wurde vom Joint Research Centre der Kommission publiziert.<ref>''Soler Garrido/de Nigris/Bassani/Sanchez/Evas/André/Boulangé'', Harmonised Standards for the European AI Act (2024), https://publications.jrc.ec.europa.eu/repository/handle/JRC139430.</ref>

Weitere Konformitätsvermutungen werden in Art 42 AI Act in Bezug auf die Daten-Governance (Art 10 AI Act) und die Cybersicherheit (Art 15 AI Act) für Hochrisiko-KI-Systeme normiert, die mit entsprechenden Daten trainiert und getestet wurden bzw die Cybersicherheitszertifizierungen durchlaufen sind, normiert.

= Synergien =

=== Grundlegende Überschneidungen zwischen dem AI Act und der Datenschutz-Grundverordnung (DSGVO) ===

* Da KI-Systeme bzw -Modelle häufig personenbezogene Daten verarbeiten - bspw im Rahmen des Trainings eines KI-Modells oder zur Entscheidungsunterstützung in Bezug auf konkrete Personen -, stellt sich unweigerlich die Frage nach dem Zusammenwirken des AI Act mit der DSGVO.<ref>Der Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA) des LfDI Baden-Württemberg enthält eine Auswahl von Orientierungshilfen verschiedener Aufsichtsbehörden und Gremien zu den Schnittstellen von DSGVO und KI: https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0. MwN ''Holtz/Ledendal,'' AI Data Governance - Overlaps Between the AI Act and the GDPR (iE, 2026): https://uu.diva-portal.org/smash/record.jsf?pid=diva2%3A1996843&dswid=-4177 sowie der [https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/DE-Bridge-Blueprint-v.0.9.pdf "Bridge Blueprint"-Entwurf] zur einheitlichen Anwendung von Datenschutz- und KI-Regulierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). </ref> Letztere knüpft ihren Anwendungsbereich nämlich an die Verarbeitung personenbezogener Daten iSd Art 4 Abs 1 DSGVO, worunter alle Informationen zu verstehen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die DSGVO ist seit 2018 in Anwendung und verfolgt den Grundsatz, dass jegliche Verarbeitung personenbezogener Daten verboten ist, es sei denn, es liegt ein Erlaubnistatbestand nach Art 6 Abs 1 DSGVO vor. Für die Verarbeitung sog "sensibler Daten" nach Art 9 DSGVO (zB Gesundheitsdaten, die ethnische Herkunft, die religiöse Weltanschauung etc.) legt sie noch strengere Maßstäbe an. Damit verfolgt die DSGVO einen horizontalen sowie prinzipienbasierten Ansatz, wonach bei der Verarbeitung personenbezogener Daten bestimmte Anforderungen und Grundsätze einzuhalten sind, ungeachtet der verwendeten Technologie, des Sektors oder des Einsatzgebiets.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 32, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref> Darüber hinaus orientiert sich die Verordnung daran, inwieweit eine bestimmte Datenverarbeitung ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt ("risikobasierter Ansatz"), wonach sich letztendlich die Strenge der von ihr vorgeschriebenen Verpflichtungen bemisst. Der AI Act erkennt das Primat der DSGVO in Art 2 Abs 7 an und statuiert, dass er deren Anwendungsbereich unberührt lässt. Somit gehen im Falle der Verarbeitung personenbezogener Daten durch eine KI-Anwendung die Regelungen der DSGVO grundsätzlich vor, während der AI Act dem ergänzend eine produktsicherheitsrechtliche Komponente beifügt, die während der Entwicklung und des Einsatzes von KI zu beachten ist.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 33, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.</ref> Überschneidungen beider Rechtsakte ergeben sich bspw, sobald ein KI-Modell mit personenbezogenen Daten trainiert werden soll. In diesem Fall braucht es eine Rechtsgrundlage nach Art 6 Abs 1 DSGVO, wobei hier am ehesten die berechtigten Interessen des Verantwortlichen nach lit f infrage kommen. So hat sich bspw der Facebook-Mutterkonzern Meta auf berechtigte Interessen berufen, um sein Sprachmodell "LLaMA" hinter seiner "Meta AI" mit Nutzerdaten zu trainieren. Dagegen erhob die Verbraucherschutzzentrale NRW Klage, letztendlich entschied jedoch das OLG Köln in seinem Beschluss vom 23.05.2025 (15 UKl 2/25), dass sich Meta für das KI-Training mit Nutzerdaten auf berechtigte Interessen stützen könne.<ref>Nähere Informationen unter: https://www.verbraucherzentrale.nrw/urteilsdatenbank/digitale-welt/olg-koeln-weist-eilantrag-der-verbraucherzentrale-nrw-gegen-meta-wegen-kitraining-zurueck-108065.</ref>

=== Folgenabschätzungen: Datenschutz- und Grundrechte-Folgenabschätzung ===
* Der Anwendungsbereich einer Datenschutz-Folgenabschätzung (Art 35 DSGVO) kann sich mit einer Grundrechte-Folgenabschätzung (Art 27 AI Act) überschneiden, wobei eine integrierte Folgenabschätzung durchgeführt werden kann.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 23 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Umgekehrt ist laut Art 35 DSGVO immer dann eine Datenschutz-Folgenabschätzung durchzuführen, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei Verwendung neuer Technologien. Darunter fallen gemäß §2 Abs 2 Z 4 DSFA-V<ref>Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), BGBl. II Nr. 278/2018.</ref> insbesondere Datenverarbeitung unter Einsatz von künstlicher Intelligenz, welcher jedenfalls die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung nach sich zieht. Somit löst auch der Einsatz von KI unter gewissen Voraussetzungen datenschutzrechtliche Pflichten aus.

=== Verarbeitung von sensiblen Kategorien personenbezogener Daten (Art 9 DSGVO) ===
* Um Verzerrungen (Bias) zu zu erkennen und zu korrigieren, dürfen Anbieter, wenn es unbedingt erforderlich ist, unter strengen Auflagen sensible Kategorien von personenbezogenen Daten (Art 9 DSGVO) verarbeiten (Art 10 Abs 5 AI Act).<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>
* Bei der Entwicklung/Training leistungsfähigerer KI-Modelle kann es zu Friktionen zwischen Art 15 AI Act, der angemessene Genauigkeit iSv Performanz fordert, und Art 9 DSGVO, der die Verarbeitung sensibler personenbezogener Daten prinzipiell verbietet, kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 25 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Zwar gab der Europäische Datenschutzausschuss Ende 2024 eine Stellungnahme zum Training von KI-Modellen heraus, diese behandelt die potentielle Friktion mit Art 9 DSGVO jedoch nur am Rande.<ref>''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en.</ref>

=== Unterschiedliche Verantwortlichkeiten ===

* Die DSGVO stellt primär auf den Verantwortlichen ab. Diese Rolle wird häufig der Betreiber iSd AI Act einnehmen. Die meisten Pflichten nach dem AI Act sind aber primär an Anbieter adressiert. Daher kann es zu einem Auseinanderfallen der Verantwortlichkeiten kommen.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 24, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref>

=== Risikoanalyse: Digital Services Act (DSA) vs AI Act ===
* Der DSA legt einheitliche Regeln für Vermittlungsdienste mit dem Ziel fest, ein vertrauenswürdiges, (rechts-)sicheres und vorhersehbares Online-Umfeld für Verbraucher und Unternehmen durch eine harmonisierte Plattformregulierung zu gewährleisten. Ebenso zielt das Regelwerk auf den Schutz sowie die Gewährleistung einer effektiven Grundrechtsausübung und normiert umfassende Verpflichtungen für Anbieter von Online-Diensten in Form eines abgestuften Regelungsansatzes, der die unterschiedlichen Compliance-Pflichten an die Art und Größe der jeweiligen Online-Dienste knüpft. Dabei kennt der DSA folgende Anbieterkategorien: Anbieter von allgemeinen Vermittlungsdiensten, Hostingdiensten, Online- sowie Transaktionsplattformen und sehr großen Online-Plattformen (VLOPs) und -Suchmaschinen (VLOSEs). Überschneidungen mit dem AI Act können sich auf zweierlei Weise ergeben: Einerseits können KI-Anwendungen zur Generierung oder Manipulation von Inhalten verwendet werden, die dann über Vermittlungsdienste geteilt werden. Andererseits können KI-Systeme das Kernangebot des Diensteanbieters ausmachen, in der Inhaltsmoderation eingesetzt werden oder Produkt- bzw Service-Empfehlungen auf Basis von Nutzerverhalten ("Empfehlungsalgorithmen") schalten.<ref>Vgl ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 48, https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf. </ref> Allgemeine Synergien sind dem [[Digital Services Act (DSA)|Eintrag über den DSA]] zu entnehmen.
* Weiters kann es bei VLOPs und VLOSEs, die generative KI, bspw GPAI-Modelle, integrieren, zu einer Überschneidung zwischen [[Digital Services Act (DSA)|DSA]] und AI Act in Bezug auf die notwendige Risikoanalyse kommen. So fordern die Artikel 34 und 35 DSA die Analyse jener potenzieller systemischer Risiken, die sich durch das Design, die Funktion oder die Nutzung ihrer Services ergeben, insbesondere im Zusammenhang mit algorithmischen Systemen oder Systemen zur Inhaltsmoderation. Demgegenüber legt der AI Act in Art 17 die Verpflichtung für Anbieter von Hochrisiko-KI-Systemen zur Etablierung eines Risikomanagementsystems gemäß Art 9 AI Act fest und sieht spezielle Anforderungen für Anbieter von GPAI-Modellen mit systemischem Risiko vor (Art 55 Abs 1 lit b AI Act). Daher wird teilweise für eine konsolidierte und technologieübergreifende Risikoanalyse plädiert, wobei dem Umstand, dass mehrere Technologien verknüpft sind, entsprechend Rechnung getragen werden muss.<ref>''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024) 19 f, https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.</ref> Im Fall von Anbietern von Hochrisiko-KI-Systemen sieht der AI Act sogar explizit die Möglichkeit vor, Risikomanagementprozesse nach anderen unionsrechtlichen Bestimmungen mit jenen nach dem AI Act zu kombinieren (vgl Art 9 Abs 10 AI Act).<ref>MwN ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), 49, <nowiki>https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf</nowiki>.</ref>

=== Überlappende Anforderungen mit anderem Produktsicherheitsrecht ===

* Art 8 Abs 2 AI Act betont für Produkte, die bereits untere andere Produktsicherheitsvorschriften fallen (Anhang I Abschnitt A), "im Hinblick auf die Gewährleistung der Kohärenz, der Vermeidung von Doppelarbeit und der Minimierung zusätzlicher Belastungen" die Anbieter die Wahl haben, die erforderlichen Test- und Berichterstattungsverfahren, Informationen und Dokumentationen gegebenenfalls in existierende Dokumentationen und Verfahren zu integrieren.

=== Integriertes/kombiniertes Risikomangement ===

* Anbieter von Hochrisiko-KI-Systemen, die den Anforderungen an interne Risikomanagementprozesse gemäß anderen einschlägigen Bestimmungen des Unionsrechts unterliegen, können die in Art 9 AI Act enthaltenen Aspekte als Bestandteil der nach diesem Recht festgelegten Risikomanagementverfahren integrieren bzw die Verfahren kombinieren (Art 9 Abs 10 AI Act).

=== Cybersicherheitsanforderungen ===

* Art 15 Abs 1 AI Act normiert, dass Hochrisiko-KI-Systeme so konzipiert und entwickelt werden müssen, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen. Neben den in Art 15 Abs 5 AI Act konkretisierten speziellen Maßnahmen an die Cybersicherheit von KI-Systemen bleiben auch andere Anforderungen, bspw nach [[Network and Information Security Directive (NIS II-RL)|NIS2-RL]] anwendbar.

=== Recht auf Erläuterung ===

* In Bezug auf das in [https://wiki.atlaws.eu/index.php/Artificial_Intelligence_Act_(AIA)#Recht_auf_Erl%C3%A4uterung_der_Entscheidungsfindung_im_Einzelfall_(Art_86_AI_Act) Art 86 AI Act normierte Recht auf Erläuterung] besteht potentiell eine Subsidiarität gegenüber anderen Auskunftsansprüchen, insb der Auskunftspflicht nach Art 15 Abs 1 lit h DSGVO iVm Art 22 DSGVO. Demnach steht Personen, die von einer automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling betroffen sind, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie ähnlich erheblich beeinträchtigt, das Recht zu, neben allgemeinen Informationen über die Verarbeitung ihrer personenbezogenen Daten aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und Auswirkungen einer derartigen Verarbeitung zu verlangen. Inhaltlich richtet sich der Auskunftsanspruch nach Art 15 Abs 1 lit h DSGVO gemäß rezenter EuGH-Judikatur insb auf die Erläuterung des Verfahrens und der Grundsätze, die bei der automatisierten Verarbeitung der personenbezogenen Daten der betroffenen Person zur Anwendung kamen und zu dem bestimmten Ergebnis geführt haben.<ref>Vgl EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117, Rz 58. </ref> Die Frage nach einer potenziellen Subsidiarität von Art 86 AI Act gegenüber den entsprechenden datenschutzrechtlichen Vorschriften hängt von unterschiedlichen Fallszenarien ab, in denen die jeweils verwendeten Technologien und verarbeiteten Datenkategorien zu unterschiedlichen Ergebnissen führen können:
{| class="wikitable"
|+
!
!Art 86 AI Act
!Art 15 Abs 1 lit h iVm Art 22 DSGVO
!Rechtsfolge
|-
|Hochrisiko-KI-Einsatz in Entscheidungsfindungsprozessen, in denen entweder keine personenbezogenen Daten gemäß Art 4 Z 1 DSGVO verarbeitet werden (zB Verarbeitung lediglich aggregierter Daten) oder keine vollautomatisierte Entscheidung iSd Art 22 DSGVO getroffen wird (etwa weil ein Mensch maßgeblich an der Entscheidungsfindung beteiligt ist)
|Anwendbar
|Nicht anwendbar
|Das Recht auf Erklärung steht vollumfänglich wie in Art 86 Abs 1 dargelegt zu (bei Vorliegen der übrigen Voraussetzungen). Der betroffenen Person sind somit klare und aussagekräftige Erläuterungen zur Rolle des KI-Systems im Entscheidungsprozess und zu den wichtigsten Elementen der getroffenen Entscheidung zu übermitteln, wobei die Erklärung einzelfallbezogen und auf das konkrete Ergebnis gerichtet sein muss. Der Anwendungsbereich von Art 15 (Abs 1 lit h iVm Art 22) DSGVO ist hingegen nicht eröffnet. Das Recht, die Entscheidung anzufechten, steht - zumindest gemäß AI Act - nicht zu.
|-
|Es findet eine vollautomatisierte Entscheidungsfindung auf Basis der Verarbeitung personenbezogener Daten statt, allerdings ohne Beteiligung eines Hochrisiko-KI-Systems iSd Art 6 Abs 2 iVm Anhang III AI Act (bspw wird die Entscheidung durch einen herkömmlichen Algorithmus getroffen, der Anforderungen an ein KI-System nach Art 3 Z 1 AI Act nicht erfüllt oder das KI-System fällt nicht in den Hochrisiko-KI-Bereich)
|Nicht anwendbar
|Anwendbar
|Der Auskunftsanspruch gemäß Art 15 (Abs 1 lit h iVm Art 22) DSGVO steht bei Vorliegen der übrigen Voraussetzungen zu, während das Recht auf Erklärung nach Art 86 AI Act keine Anwendung findet. Es sind der betroffenen Person somit Informationen über die involvierte Logik, Tragweite und Auswirkungen der Entscheidung zu übermitteln, wobei Informationen über die Rolle des eingesetzten Systems nicht darunter fallen. Im Unterschied zu Art 86 AI Act ist in Bezug auf Art 15 Abs 1 lit h DSGVO jedoch noch unklar, ob auch eine Verpflichtung zu einer einzelfallbezogenen Begründung der konkret erzielten Ergebnisse besteht, die über eine abstrakte/allgemeine Erklärung hinausgeht.<ref>Vgl etwa das EuGH-Urteil in der RS Dun & Bradstreet, welches stärker auf das lokale Element, dh die Einzelentscheidung, abzustellen scheint (EuGH 27. 2. 2025, C‑203/22, Dun & Bradstreet Austria, ECLI:EU:C:2025:117). MwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 71, https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.</ref> Art 22 Abs 3 DSGVO enthält jedoch im Gegensatz zum AI Act das Recht, die Entscheidung anzufechten.
|-
|Verarbeitung personenbezogener Daten im Rahmen der Entscheidungsfindung, Einsatz eines Hochrisiko-KI-Systems, vollautomatisierte Entscheidungsfindung
|Anwendbar
|Anwendbar
|Der Anspruch nach Art 86 AI Act tritt ergänzend zu jenem nach der DSGVO hinzu und richtet sich auf jene Informationen, die nach Art 15 DSGVO nicht zu beauskunften sind (bspw die Rolle des KI-Systems im Entscheidungsprozess sowie jedenfalls einzelfallbezogene, lokale Erklärungen). Es handelt sich somit um eine sog "Lückenfüller-Position" von Art 86 AI Act.<ref>Dieser Ansicht folgend und mwN ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), 96 ff, <nowiki>https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf</nowiki>.</ref>
|}
In der Regel werden Betroffene in der Praxis wohl beide Ansprüche gleichzeitig geltend machen. Dies ist allerdings nur möglich, sofern beide Ansprüche auch gegenüber der selben Person bzw Einrichtung geltend zu machen sind. Denn während das Recht auf Erklärung nach Art 86 AI Act gegen den Betreiber des KI-Systems zusteht, ist der Auskunftsanspruch gemäß Art 15 Abs 1 lit h DSGVO gegen jene Person oder Stelle zu richten, welche die Entscheidung getroffen hat (welche zwar meist aber nicht zwangsläufig mit der Person des datenschutzrechtlich Verantwortlichen iSd Art 4 Z 7 DSGVO ident sein wird<ref>Dieser Argumentation folgend: ''Ziegenhorn,'' Wer ist Adressat des Art. 22 DSGVO? Zur Abgrenzung des Entscheiders vom Verantwortlichen, CR 2024, 586.</ref>). Die unterschiedlichen Rollen nach AI Act und DSGVO können somit zusammenfallen, müssen dies allerdings nicht, wodurch sich unterschiedliche Verpflichtungen für die beteiligten Akteure ergeben können.

=== Produkthaftungsrichtlinie neu und Vorschlag für eine AI Liability Directive [zurückgezogen] ===

* Die Produkthaftungsrichtlinie neu (PHRL neu) und insbesondere der (zurückgezogene)<ref>Annexes to the Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions. Commission work programme 2025, (11.2.2025) COM(2025) 45 final, 26.</ref> Vorschlag für eine AI Liability Directive (AILD) nehmen direkt auf den AI Act Bezug und verweisen bei der Begriffsverwendung häufig auf diesen. Die AILD kann somit nicht ohne den Kontext des AI Act verstanden werden. So sollten die Pflichten in Bezug auf Hochrisiko-KI-Systeme (Art 8-15 AI Act) wichtige Sorgfaltspflichten in der AILD bilden ([[KI-Haftungsregelungen#AI Act und AILD|siehe ausführlicher im Rahmen der Haftungsregeln]]).

= Sanktionen/sonstige Konsequenzen =

=== Sanktionen (Art 99 AI Act) ===
Art 99 Abs 1 AI Act übertragt die Festsetzung von Sanktionen primär den MS und normiert nur grobe '''Richtlinien''' dafür. Die Kommission hat jedoch Leitlinien (Art 96 AI Act) zu veröffentlichen, die zu berücksichtigen sind.
{| class="wikitable"
|+
!Hinweis
|-
|Zum derzeitigen Stand gibt es noch kein nationales Durchführungsgesetz, das die Sanktionen konkretisiert.
|}
Somit sind nach dieser Bestimmung Vorschriften für Sanktionen und andere Durchsetzungsmaßnahmen, zu denen auch Verwarnungen und nicht monetäre Maßnahmen gehören können, von den MS zu erlassen. MS müssen alle Maßnahmen ergreifen, die für deren ordnungsgemäße und wirksame Durchsetzung notwendig sind.

Die vorgesehenen Sanktionen müssen '''wirksam, verhältnismäßig''' und '''abschreckend''' sein und die '''Interessen von KMU''' sowie deren wirtschaftliches Überleben berücksichtigen.

Jeder MS erlässt auch Vorschriften darüber, in welchem Umfang '''gegen Behörden und öffentliche Stellen''' im MS Geldbußen verhängt werden können (Art 99 Abs 8 AI Act).

Die höchsten Geldstrafen drohen für eine Verletzung gegen die verbotenen Praktiken (Art 5 AI Act). Bei Missachtung des Verbots werden '''Geldbußen von bis zu 35 000 000''' Euro oder — im Falle von Unternehmen — von bis zu '''7% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 3 AI Act).

Für Verstöße gegen andere Bestimmungen werden '''Geldbußen von bis zu 15 000 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''3 % des gesamten weltweiten Jahresumsatze'''s des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 4 AI Act):

* Verstöße gegen Pflichten der Anbieter (Art 16 AI Act)
* Verstöße gegen Pflichten der Bevollmächtigten (Art 22 AI Act)
* Verstöße gegen Pflichten der Einführer (Art 23 AI Act)
* Verstöße gegen Pflichten der Händler (Art 24 AI Act)
* Verstöße gegen Pflichten der Betreiber (Art 26 AI Act)
* Verstöße gegen für notifizierte Stellen geltende Anforderungen und Pflichten (Art 31, Art 33 Abs 1, 3, 4, Art 34 AI Act)
* Verstöße gegen Transparenzpflichten für Anbieter und Betreiber (Art 50)
Für die Bereitstellung von '''falschen, unvollständigen''' oder '''irreführenden Informationen''' an notifizierte Stellen oder zuständige nationalen Behörden werden '''Geldbußen von bis zu 7 500 000 Euro''' oder — im Falle von Unternehmen — von bis zu '''1% des gesamten weltweiten Jahresumsatzes''' des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist (Art 99 Abs 5 AI Act).

Um nicht die Wirtschaft zugunsten von größeren Unternehmen zu verzerren sieht Art 99 Abs 6 AI Act '''Sondervorschriften für KMUs''' vor. Diesbezüglich gilt für jede genannte Geldbuße der jeweils niedrigere Betrag aus den genannten Prozentsätzen oder Summen.

Art 99 Abs 7 AI Act präzisiert, welche '''Kriterien''' bei der Entscheidung, ob eine Geldbuße verhängt wird, und bei der Festsetzung der Höhe der Geldbuße zu berücksichtigen sind.<ref>In jedem Einzelfall sind alle relevanten Umstände der konkreten Situation zu berücksichtigen. Darüber hinaus sind bspw die Art, Schwere und Dauer des Verstoßes und seiner Folgen; Größe, Jahresumsatz und Marktanteil des Akteurs; jegliche anderen erschwerenden oder mildernden Umstände etc.</ref>

=== Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union (Art 100 AI Act) ===
Parallel dazu gibt Art 100 AI Act Kriterien für die Verhängung von '''Geldbußen gegen Organe, Einrichtungen und sonstige Stellen der Union''' durch den Europäischen Datenschutzbeauftragen vor.

Diesbezüglich drohen bei Missachtung der Verbotenen Praktiken (Art 5 AI Act) Geldbußen von bis zu 1 500 000 EUR und bei bei Nichtkonformität des KI-Systems anderen Anforderungen oder Pflichten Geldbußen von bis zu 750 000 EUR (Art 100 Abs 2, 3 AI Act).

=== Geldbußen für Anbieter GPAI-Modellen (Art 101 AI Act) ===
Art 101 AI Act wiederum normiert Sonderbestimmungen für Geldbußen für Anbieter von [[Artificial Intelligence Act (AIA)#GPAI-Modelle (Art 51 ff AI Act)|GPAI-Modellen]], die sich somit nur an einen eingeschränkteren Personen- bzw Unternehmenskreis richten als die "allgemeinen" Sanktionsbestimmungen des Art 99 AI Act.

Diesbezüglich liegt die Zuständigkeit, anders als bei den allgemeinen Sanktionen, bei der Europäischen Kommission. Diese kann gegen Anbieter von GPAI-Modellen '''Geldbußen von bis zu 3% ihres gesamten weltweiten Jahresumsatzes''' im vorangegangenen Geschäftsjahr oder '''15 000 000 Euro''' verhängen, je nachdem, welcher Betrag höher ist.

Dazu muss sie feststellen, dass der Anbieter vorsätzlich oder fahrlässig

* gegen die einschlägigen Bestimmungen des AI Act verstoßen hat (diese Blankettstrafnorm erfasst somit undefiniert alle relevanten Bestimmungen für GPAI-Modelle)
* der Anforderung eines Dokuments oder von Informationen durch die Kommission (Art 91 AI Act) nicht nachgekommen ist oder falsche, unvollständige oder irreführende Informationen bereitgestellt hat
* einer geforderten Maßnahme nicht nachgekommen ist (Art 93 AI Act, bspw Maßnahmen, um die Verpflichtungen gem Art 53, 54 AI Act einzuhalten oder Risikominderungsmaßnahmen)
* der Kommission keinen Zugang zu dem GPAI-Modell oder dem GPAI-Modell mit systemischem Risiko gewährt hat, um eine Bewertung durchführen (Art 92 AI Act, bspw um die Einhaltung der Pflichten aus dieser Verordnung durch den Anbieter zu beurteilen oder systemische Risiken auf Unionsebene zu ermitteln)
Bei der Festsetzung der Höhe der Geldbuße oder des Zwangsgelds muss der '''Art, der Schwere und der Dauer des Verstoßes''' sowie den Grundsätzen der Verhältnismäßigkeit und der Angemessenheit gebührend Rechnung getragen werden.

Geldbußen müssen wiederum wirksam, verhältnismäßig und abschreckend sein (Art 101 Abs 3 AI Act).

== Fallbeispiele ==

=== Beispiel 1: KI-gestütztes Kreditscoring ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System, das bestimmungsgemäß für Kreditscoring eingesetzt wird, führt zur Verweigerung eines Kredits bzw günstigerer Kreditkonditionen für eine Interessentin.
Durch die Trainingsdaten des Systems wurde suggeriert, dass Frauen aufgrund eines niedrigeren Durchschnittseinkommens weniger kreditwürdig wären.
|-
!Einordnung AI Act
|Es liegt ein Hochrisiko-KI-System gemäß Artikel 6 Absatz 2 in Verbindung mit Anhang III Z 5 lit b vor (siehe im Detail [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 AI Act)|Hochrisiko-KI-Systeme im AI Act]]).
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 1: KI-gestütztes Kreditscoring|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Chatbotassistenz wird von einer Bank im Überweisungsprozess eingesetzt, um Kund*innen die Dateneingabe zu erleichtern.
Bei einem Kunden kommt es in der Folge (ohne sein Verschulden) dadurch zu einer fehlerhaften Überweisung, wobei der zehnfache Betrag überwiesen wird, weil das KI-System bei der Überweisungssumme eine Kommastelle falsch übernommen hat.<ref>Eventuelle sektorale bankenrechtliche Sonderbestimmungen, die auf dieses Beispiel Anwendung finden könnten, werden in diesem Kontext nicht behandelt und einbezogen.</ref>
|-
!Einordnung AI Act
|Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen.
Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein, wobei auf die Interaktion mit einem Chatbot hingewiesen werden muss (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|Transparenzpflichten]]). Je nach Ausgestaltung könnte die Bank die Rolle des Anbieters, des Betreibers des KI-Systems oder beide Rollen zugleich einnehmen.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 2: KI-Chatbot-Assistent für Bankkund*innen|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer ===
{| class="wikitable"
!Sachverhalt
|Ein KI-Assistenzsystem, das standardmäßig auf Betriebssysstemebene bei einer bestimmten Marke privater Computer impementiert ist, wird durch eine Nutzerin des Computers aufgefordert, eine bestimmte Dateien (Scans von wichtigen, privaten Dokumenten) zu suchen.
Aufgrund einer Cybersicherheits-Schwachstelle ist es einem Angreifer allerdings zuvor gelungen, in das System einzudringen, sodass das Assistenzsystem die Dateien an den Angreifer schickt und anschließend auf dem Computer der Nutzerin löscht.

'''Variante:''' Es liegt kein Cyberangriff vor. Bei den von der Nutzerin gesuchten Dateien handelt es sich um Scans von einem Beschluss eines Grundbuchsgerichts zur Löschung eines Pfandrechts. Für die Nutzerin ist weiters nicht erkennbar, dass bei der Eingabe ihrer Suche ein KI-Assistenzsystem aktiv wird. Dieses interpretiert das Wort „''Löschung''“ im Suchbefehl als Anweisung, die entsprechenden Dateien direkt zu löschen, was daraufhin auch passiert.
|-
!Einordnung AI Act
|Für die Nutzerin als Betreiberin liegt vermutlich die "Haushaltsausnahme" vor, wodurch der AI Act nicht zur Anwendung kommt (Art 2 Abs 10 AI Act).
Für den Anbieter: Auch wenn grundsätzlich ein KI-System im Sinne des AI Act vorliegt, würde hierbei grundsätzlich weder eine prinzipiell verbotene Praxis gemäß Art 5 AI Act, noch ein Hochrisiko-KI-System gemäß Art 6 AI Act vorliegen. Selbst wenn das Assistenzsystem in einem Hochrisikobereich iSv Anhang III (zB durch Justizbehörden) Verwendung finden würde, könnte eine Ausnahme nach Art 6 Abs 3 AI Act vorliegen, wenn es kein erhebliches Risiko birgt. Es könnte allerdings, insbesondere je nach den Umständen des Kontextes, die Informationspflicht des Anbieters gemäß Art 50 Abs 1 AI Act einschlägig sein (siehe im Detail [[Artificial Intelligence Act (AIA)#Transparenzpflichten (Art 50 AI Act)|'''Transparenzpflichten''']]). Dies ist primär davon abhängig, ob man das Assistenzsystem als ein System klassifiziert, das "für die direkte Interaktion mit natürlichen Personen bestimmt" ist.
|-
!EInordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 3: KI-Assistenzsystem auf Betriebssystemebene für private Computer|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung ===
{| class="wikitable"
!Sachverhalt
|Ein KI-System wird in einer Klinik zur Erkennung von Hautkrebs eingesetzt, wobei Bildaufnahmen der entsprechenden Hautstellen analysiert werden. Daraufhin erstellt das System eine vorläufige Diagnose und eine Empfehlung für eine Therapie.
Die Trainingsdaten des Systems bezogen sich jedoch überwiegend auf Personen mit hellerer Hautfabe, weshalb das System Hautkrebs bei Personen mit dünklerer Hautfarbe seltener erkennt bzw häufiger fehlerhafte Diagnosen und Therapievorschläge erstellt.

Im Fall eines Patienten folgt die behandelnde Ärztin den fehlerhaften Empfehlungen ohne ausreichende Prüfung, wodurch der Patient einen körperlichen Schaden erleidet.
|-
!Einordnung AI Act
|Da das KI-System ein entsprechendes Medizinprodukt nach der Medizinprodukteverordnung darstellt, die in Anhang I Abschnitt A genannt wird, und ein Konformitätsbewertungsverfahren unter Einbindung Dritter durchlaufen muss, handelt es sich um ein Hochrisiko-KI-System im Sinne des Art 6 Abs 1 AI Act.
Auf Seiten des Anbieters wurden insbesondere die Anforderungen an Trainingsdaten gemäß Art 10 AI Act verletzt.

Grundsätzlich würde die im Sachverhalt genannte Klinik wohl den Betreiber im Sinne des AI Acts darstellen (vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]]). Diesbezüglich könnte eine Verletzung gegen die Pflicht zur menschlichen Aufsicht (Art 14 AI Act) vorliegen, wenn der Betrieb des Systems nicht entsprechend überwacht wird.
|-
!Einordnung AILD/PLD
|[[KI-Haftungsregelungen#Beispiel 4: KI-System zur Hautkrebserkennung, Diagnoseerstellung und Therapieempfehlung|Siehe die Analyse im Rahmen der KI-Haftungsregelungen.]]
|}

=== Beispiel 5: Transkriptionstool im Rahmen der Rechtspflege ===
{| class="wikitable"
!Sachverhalt
|Im Rahmen des Verfassens von Urteilen oder Protokollen wird das gesprochene Wort (Diktat des Entscheidungsorgans) digital aufgezeichnet und anschließend transkribiert. Das System ist in der Lage, mithilfe KI-gestützter Spracherkennung die jeweils Sprechenden (Speaker Diarisation) sowie juristische Begriffe und Redewendungen zu erkennen.
|-
!Einordnung AI Act
|Der Transkriptionssoftware liegt ein Sprachmodell (LLM) zugrunde, das auf maschinellem Lernen basiert. Dieses wird durch ein User-Interface praktisch nutzbar gemacht und stellt somit ein KI-System iSd AI Act dar.
Der Einsatz von KI in der Rechtspflege zu gewissen Zwecken kann in den Hochrisiko-KI-Bereich gemäß Art 6 Abs 2 iVm Anhang III Nr 8 lit a AI Act fallen. Solche Systeme sind jedoch nicht als hochriskant einzustufen, sofern sie für rein begleitende administrative Tätigkeiten bestimmt sind, worunter jedenfalls Spracherkennungsprogramme für das Diktieren von Entscheidungen fallen können (ErwGr 61). In einem nächsten Schritt ist die Ausnahmeregelung des Art 6 Abs 3 AI Act zu prüfen, wonach das System höchstwahrscheinlich gemäß lit a leg cit aus dem Hochrisiko-KI-Bereich ausgenommen ist, da es rein für Protokollierungszwecke eingesetzt wird und damit nur eine eng gefasste Verfahrensaufgabe übernimmt. Ebenso ist denkbar, gemäß lit d leg cit aus dem Hochrisiko-KI-Bereich ausgenommen zu sein, sofern das System lediglich eine vorbereitende Aufgabe für die Urteilserstellung übernimmt.

Bejaht man hingegen das Vorliegen von Hochrisiko-KI, so treffen deren Anbieter die Pflichten der Art 8 ff AI Act und den Betreiber insbesondere die Pflichten nach Art 26 und 27 AI Act.
Sofern es sich um ein KI-Modell mit allgemeinem Verwendungszweck (mit systemischem Risiko) handelt, treffen den Anbieter diesbezüglich Verpflichtungen.
Unabhängig von der Risikoeinstufung des Modells bzw Systems sind darüber hinaus die Transparenzpflichten nach Art 50 AI Act zu beachten sowie ein ausreichendes Maß an KI-Kompetenz unter den Beschäftigten, die mit dem Transkriptionstool arbeiten, herzustellen.
|}

=== Beispiel 6: KI-System zur Filterung und Priorisierung von Bewerbungen ===
{| class="wikitable"
!Sachverhalt
|Ein Unternehmen möchte eine neue Stelle besetzen und erhält unzählige Bewerbungen. Daher entschließt es sich, ein KI-basiertes System einzusetzen, das Bewerbungen filtert und mit einem Einstufungswert versieht, wodurch die Bewerbungen priorisiert werden. Die zuständigen HR-Mitarbeiter*innen weichen nicht mehr von dem Wert ab und vergeben die Stelle schließlich an jene Person, die den höchsten Einstufungswert erhalten hat.
|-
!Einordnung AI Act
|Sofern es sich bei der Anwendung um ein KI-System nach Art 3 Z 1 AI Act handelt, ist der Anwendungsbereich des AI Act grundsätzlich eröffnet. Das Unternehmen ist jedenfalls als dessen Betreiber zu qualifizieren, da es das System in eigener Verantwortung zu beruflichen Zwecken einsetzt. Sofern es das KI-System auch selbst entwickelt / entwickeln lässt und es unter eigener Marke bzw eigenem Namen in Betrieb nimmt, ist es sogar Anbieter.<ref>Vgl jedoch die [[Artificial Intelligence Act (AIA)#Änderung der Rolle des Akteurs/Verantwortlichkeit entlang der Wertschöpfungskette (Art 25 AI Act)|Möglichkeit der Änderung der Rolle]].</ref>
Darüber hinaus stellt das System ein "eigenständiges" Hochrisiko-KI-System nach Art 6 Abs 2 iVm Anhang III Punkt 4a AI Act dar, da es bestimmungsgemäß für die Einstellung oder Auswahl natürlicher Personen verwendet wird, um Bewerbungen zu filtern und Bewerber zu bewerten. Eine Ausnahme nach Art 6 Abs 3 AI Act vom Hochrisiko-KI-Bereich liegt nicht vor, da das KI-System das Ergebnis der Entscheidungsfindung wesentlich beeinflusst (von dem KI-generierten Eignungswert wird nicht mehr abgewichen). Je nach Rolle treffen das Unternehmen nun weitereichende Verpflichtungen. In den meisten Fällen wird das Unternehmen wohl als Betreiber zu klassifizieren sein, weshalb es unter anderem die Betreiberpflichten nach Art 26 AI Act zu erfüllen und unter gewissen Voraussetzungen eine Grundrechte-Folgenabschätzung nach Art 27 AI Act durchzuführen hat. Art 26 Abs 7 sieht grundsätzlich auch die spezielle Betreiberpflicht vor, vor Inbetriebnahme oder Verwendung eines Hochrisiko-KI-Systems am Arbeitsplatz die Arbeitnehmervertreter und betroffenen Arbeitnehmer über den KI-Einsatz zu informieren. Inwieweit diese Verpflichtung auch gegenüber Bewerbern gilt, die streng genommen (noch) keine Arbeitnehmer sind, ist fraglich und wird wohl zu verneinen sind. Diese vermeintliche Rechtsschutzlücke wird jedoch ohnehin wieder durch die Verpflichtung gemäß Art 26 Abs 11 AI Act ausgeglichen, von Hochrisiko-KI-Entscheidungen betroffene Personen über diesen KI-Einsatz zu informieren.
|}

= Digitaler Omnibus =
Am 19. November 2025 stellte die Europäische Kommission das sogenannte '''„Digital Omnibus Package“''' vor, ein Legislativpaket mit dem Ziel, den digitalen Rechtsrahmen der EU zu vereinfachen.<ref name=":2">Vgl https://ec.europa.eu/commission/presscorner/detail/de/ip_25_2718. </ref> Ziel der Maßnahme ist, Verwaltungs- und Umsetzungskosten zu senken, Rechtsklarheit zu erhöhen und insbesondere kleine und mittlere Unternehmen (KMU) zu entlasten, da Unternehmen zunehmend Schwierigkeiten bei der Umsetzung und Koordination von Vorgaben wie etwa dem AI Act sehen. Das Paket umfasst Änderungen und Anpassungen unterschiedlicher Rechtsrahmen, so auch einige Bestimmungen des AI Act.<ref>Vgl https://ec.europa.eu/newsroom/dae/redirection/document/121744.</ref> Inhaltliche Änderungen betreffen einerseits die Verpflichtung zur Sicherstellung von KI-Kompetenz (Art 4), welche nunmehr nicht Unternehmen bzw. Einrichtungen selbst treffen soll, sondern die Kommission und die Mitgliedstaaten sind dazu angehalten, Anbieter und Betreiber zur Sicherstellung eines angemessenen Maßes an KI-Kompetenz zu unterstützen. Ebenso stellt die Kommission eine Verzögerung der Anwendbarkeit der Hochrisiko-KI-Bestimmungen in Aussicht, welche mit 2. August 2026 bzw 2. August 2027 Anwendung erlangen sollten. Grund ist das Fehlen von entsprechenden Standards, die eigentlich bis August 2025 zu setzen waren und ohne die laut Kommission die Einhaltung der entsprechenden AI Act-Bestimmungen nicht möglich sei. Die Anwendbarkeit der Hochrisiko-KI-Bestimmungen soll sich um bis zu maximal 16 Monate verzögern, wobei die Vorschriften Geltung erlangen, sobald die Kommission die Verfügbarkeit der erforderlichen Standards und Unterstützungsinstrumente bestätigt.<ref name=":2" /> Darüber hinaus enthält der Vorschlag einen neuen Art 4a, der die Verarbeitung sensibler personenbezogener Daten zur Erkennung und Minderung von Bias unter gewissen Voraussetzungen ermöglicht.

= Weiterführende Literatur =

== Einführungsbücher ==
* ''Hense/Mustac'', AI Act kompakt. Compliance Management- & Use Cases in der Unternehmenspraxis (2024)
* ''Hilgendorf/Roth-Isigkeit'' (Hrsg), Die neue Verordnung der EU zur Künstlichen Intelligenz (2023)
* ''Ulbricht/Brajovic/Duhme'', Praxishandbuch KI und Recht (2024)
* ''Schwartmann/Keber/Zenner'' (Hrsg), KI-Verordnung. Leitfaden für die Praxis² (2024)
* ''Voigt/Hullen'', Handbuch KI-Verordnung. FAQ zum EU AI Act (2024)
* ''Wendt/Wendt'', Das neue Recht der Künstlichen Intelligenz. Artificial Intelligence Act (AI Act)2 (2025)
* ''Windholz'', Praxishandbuch KI-VO (2024)

== Kommentare ==
* ''Bomhard/Pieper/Wende'', KI-VO. Künstliche Intelligenz-Verordnung (2025)
* ''Ebers/Zou'', Artificial Intelligence Act. A Commentary (2025, iE)
* ''Feiler/Forgó'', KI-VO. EU-Verordnung über Künstliche Intelligenz (2024)
* ''Heinze/Steinrötter/Zerdick'', KI-Verordnung. Gesetz über künstliche Intelligenz (2025)
* ''Martini/Wendehorst'', KI-VO. Künstliche Intelligenz-Verordnung (2024) (2. Auflage 2026, iE)
* ''Pehlivan/Forgó/Valcke'', The EU Artificial Intelligence (AI) Act. A Commentary (2024)
* ''Reusch/Chibanguza'', KI-VO. Künstliche Intelligenz-Verordnung (2026, iE)
* ''Schefzig/Kilian,'' BeckOK KI-Recht3 (2025)
* ''Schwartmann/Keber/Zenner'', KI-VO (2024)
* ''Wendt/Wendt'', Artificial Intelligence Act. Article-by-Article Commentary (2026, iE)
* ''Wendt/Wendt'', Artificial Intelligence Act. Gesetz über Künstliche Intelligenz (2025)
* ''Zankl'', KI-Verordnung. Verordnung über künstliche Intelligenz (Artificial Intelligence Act) (2025)

== Weiterführende Materialien/Links ==
* ''BITKOM'', Get Started Guide. AI Act (Stand April 2024), https://www.bitkom.org/sites/main/files/2024-04/bitkom-get-started-guide-ai-act.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Compliance in der Praxis – Schritt für Schritt (Version 1.0 - Stand 29.10.2024), https://www.bitkom.org/sites/main/files/2024-10/241028-bitkom-umsetzungsleitfaden-ki.pdf
* ''BITKOM'', Umsetzungsleitfaden zur KI-Verordnung. Click-Through-Tool, https://www.bitkom.org/Klick-Tool-Umsetzungsleitfaden-KI-Verordnung
* ''CNIL'', Self-assessment guide for artificial intelligence (AI) systems, https://www.cnil.fr/en/self-assessment-guide-artificial-intelligence-ai-systems
* ''EDPB'', Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models (2024), https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-282024-certain-data-protection-aspects_en
* ''European Parliament'', Legislative train: the AI Act, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-regulation-on-artificial-intelligence
* ''Future of Life Institute (FLI)'', AI Act Explorer, https://artificialintelligenceact.eu/ai-act-explorer/
* ''Future of Life Institute (FLI)'', EU AI Act Compliance Checker, https://artificialintelligenceact.eu/assessment/eu-ai-act-compliance-checker/
* ''Gesellschaft für Datenschutz und Datensicherheit (GDD)'', GDD-Praxishilfe Europäische Datenstrategie: KI-VO, Data Act etc. - Adressaten und Regelungsschwerpunkte der neuen Digitalakte (Stand Juli 2024), https://www.gdd.de/wp-content/uploads/2024/07/GDD-Praxishilfe-Europaeische-Datenstrategie-KI-VO-Data-Act-etc-1.pdf
* ''Graux/Garstka/Murali/Cave/Botterman,'' Interplay between the AI Act and the EU digital legislative framework (2025), https://www.europarl.europa.eu/RegData/etudes/ATAG/2025/778577/ECTI_ATA(2025)778577_EN.pdf.
* ''Hacker'', Der AI Act im Spannungsfeld von digitaler und sektoraler Regulierung (2024), https://www.bertelsmann-stiftung.de/en/publications/publication/did/der-ai-act-im-spannungsfeld-von-digitaler-und-sektoraler-regulierung.
* ''Hochrangige Expertengruppe für Künstliche Intelligenz,'' Ethik-Leitlinien für eine vertrauenswürdige KI (2019), https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=60425
* [https://www.baden-wuerttemberg.datenschutz.de/onkida/?v=2.0 Orientierungshilfen-Navigator KI & Datenschutz (ONKIDA)]
* ''Österreichische Datenschutzbehörde'', FAQ zum Thema KI und Datenschutz (Stand: 2. Juli 2024), https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html
* ''Plattform Lernende Systeme'', AI Act der Europäischen Union. Regeln für vertrauenswürdige KI (Juni 2024), https://www.plattform-lernende-systeme.de/files/Downloads/Publikationen/KI_Kompakt/KI_Kompakt_AI_Act_Plattform_Lernende_Systeme_2024.pdf
* ''Research Institute,'' Aufklärung 4.0 - Entscheidungen der KI als Mensch verstehen. Bericht über die theoretischen Grundlagen des Rechts auf Erläuterung der Entscheidungsfindung im Einzelfall nach Artikel 86 AI Act (2025), https://www.sozialministerium.gv.at/dam/jcr:3d0ab567-4d81-40c9-ace8-471a5819178a/Final_Aufkl%C3%A4rung%204.0_Grundlagenbericht_April2025.pdf.
* ''WKO'', KI-Guidelines für KMU. Empfehlungen zum positiven Umgang mit künstlicher Intelligenz (Stand 11.03.2024), https://www.wko.at/digitalisierung/ki-guidelines-fuer-kmu

== Kommissionsleitlinien und sonstige Materialen/Verhaltenskodizes ==

* Leitlinien der Kommission zur Definition eines Systems der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 6. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118628
* Leitlinien der Kommission zu verbotenen Praktiken der künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689 (KI-Verordnung) vom 4. Februar 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118661
* Living Repository zur Förderung des Lernens und des Austausches über KI-Kompetenz vom 04. Februar 2025 (mit Update von April 2025): https://ec.europa.eu/newsroom/dae/redirection/document/112203
* Verhaltenskodex für KI-Modelle mit allgemeinem Verwendungszweck (GPAI Modelle) vom 10. Juli 2025:
*# Kapitel zu Transparenz: https://ec.europa.eu/newsroom/dae/redirection/document/118120
*# Kapitel zu Urheberrecht: https://ec.europa.eu/newsroom/dae/redirection/document/118115
*# Kapitel zu Sicherheit: https://ec.europa.eu/newsroom/dae/redirection/document/118119
*Leitlinien zum Umfang der Verpflichtungen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck nach dem AI Act vom 18. Juli 2025: https://ec.europa.eu/newsroom/dae/redirection/document/118340
*Leitlinien und Meldevorlagen zur Meldung schwerwiegender KI-Vorfälle gemäß Art 73 AI Act (''Entwurf, noch in Ausarbeitung''): https://digital-strategy.ec.europa.eu/de/consultations/ai-act-commission-issues-draft-guidance-and-reporting-template-serious-ai-incidents-and-seeks
*''Europäische Kommission,'' AI Act Service Desk. Frequently Asked Questions (FAQs): https://ai-act-service-desk.ec.europa.eu/en/faq.

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-20T08:15:49Z

Georg.froewis: /* Anwendungsbereich (Art 1 ESPR) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>Europäische Kommission, Arbeitsplan 2025-2030 für Ökodesign für nachhaltige Produkte und für die Energieverbrauchskennzeichnung, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref name=":2">Europäische Kommission, Entwurf einer delegierten Verordnung - Ares(2025)5207942, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
{| class="wikitable"
|+
!Hinweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind. In diesem Zusammenhang ist ein Entwuf für einen Rechtsakt zu Ausnahmen vom Recycling für unverkaufte Produkte in Arbeit.<ref name=":2" />[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-20T08:15:25Z

Georg.froewis: /* Anwendungsbereich (Art 1 ESPR) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>Europäische Kommission, Arbeitsplan 2025-2030 für Ökodesign für nachhaltige Produkte und für die Energieverbrauchskennzeichnung, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref name=":2">Europäische Kommission, Entwurf einer delegierten Verordnung - Ares(2025)5207942, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
{| class="wikitable"
|+
!Hinweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind. In diesem Zusammenhang ist ein Entwuf für einen Rechtsakt zu Ausnahemen vom Recycling für unverkaufte Produkte in Arbeit.<ref name=":2" />[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Data Governance Act (DGA)

2025-11-19T23:10:04Z

Georg.froewis: /* Einleitung und Hintergrund */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

=== Digital Omnibus ===
Die Europäische Kommission plant eine weitgehende Anpassung digitaler Rechtsakte mit dem Digital Omnibus, die auch für den DGA und dessen Regelungsgehalt weitreichende Folgen hätte, allerdings bleibt die weitere Entwicklung abzuwarten.<ref>European Commission, Digital Omnibus Regulation Proposal, https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal (abgerufen 20.11.2025).</ref>

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T22:30:43Z

Georg.froewis: /* Einführung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>Europäische Kommission, Arbeitsplan 2025-2030 für Ökodesign für nachhaltige Produkte und für die Energieverbrauchskennzeichnung, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref>Europäische Kommission, Entwurf einer delegierten Verordnung - Ares(2025)5207942, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
{| class="wikitable"
|+
!Hinweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Data Governance Act (DGA)

2025-11-19T22:27:37Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 30.10.2025).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Data Governance Act (DGA)

2025-11-19T22:24:03Z

Georg.froewis: /* Nachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 19.11.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Data Governance Act (DGA)

2025-11-19T22:19:59Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 18.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 19.11.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 19.11.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 19.11.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 30.10.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 19.11.2025).

== Nachweise ==

Data Governance Act (DGA)

2025-11-19T22:08:07Z

Georg.froewis: /* Weiterführende Literatur */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 18.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 8.1.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).

== Nachweise ==

Data Governance Act (DGA)

2025-11-19T21:45:54Z

Georg.froewis: /* Datenschutzrechtliche Rollenverteilung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2022|Nummer=868|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724|Kurztitel=Data Governance Act/Daten-Governance-Rechtsakt|Bezeichnung=DGA|Rechtsmaterie=Datenrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2022/152, 1|Anzuwenden=24. September 2023|Gültig=anwendbar}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalt
!Synergie
!Konsequenzen bei Nichtumsetzung
|-
|Förderung der Weiterverwendung von (geschützten) Daten des öffentlichen Sektors
|Weiterverwender (juristische und natürliche Personen)
|Vorgaben für die sichere Weiterverwendung von Daten des öffentlichen Sektors
|
* Rechtsgrundlagen für die Datenverarbeitung nach der DSGVO
* Richtlinie (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors
* Verordnung (EU) 2018/1807 betreffend nicht-personenbezogene Daten
* Informationsfreiheitsgesetz
|Rechtsschutzmöglichkeiten nach nationalem Recht (Beschwerderecht)
|-
|Stärkung des Vertrauens in den Datenaustausch
|Datenvermittlungsdienste
|Schaffung eines neuen Geschäftsmodells zur Förderung von Datenvermittlungsdiensten, die Unternehmen oder Einzelpersonen helfen, Daten auf sichere Weise auszutauschen
|
* Wettbewerbsrecht, ua Art 101 und Art 102 AEUV, UWG
* DSA
* DSGVO
|
* Verwaltungsstrafen, einschl Zwangsgelder mit Rückwirkung
* Aussetzung oder Einstellung der Erbringung des Datenvermittlungsdienstes
* Verfall von Gegenständen
* Reputationsschäden
|-
|Förderung von Datenaltruismus
|Datenaltruistische Organisationen
|Rahmen für die freiwillige Registrierung von Einrichtungen, die Daten erheben und verarbeiten, die für gemeinnützige Zwecke zur Verfügung gestellt werden
|
* DSA
* DSGVO
|
* Verlust des Status als anerkannte datenaltruistische Organisation
* Verfall von Gegenständen
* Reputationsschäden
|-
|Erfolgreiche Umsetzung des Rahmens für die Daten-Governance
|Europäischer Dateninnovationsrat
|Einrichtung des Europäischen Dateninnovationsrats zur Unterstützung und Beratung der Kommission bei der Umsetzung des DGA
|
* DA
|
* ineffiziente Daten-Governance
* Verzögerungen bei der Entwicklung des Datenbinnenmarkts
|}

== Einleitung und Hintergrund ==

=== Hintergrund ===
Data Governance Act (DGA) und [[Data Act (DA)#Kurzübersicht|Data Act (DA)]] bilden gemeinsam die erste Säule der '''[[Datenstrategie#Hintergrund|Europäischen Datenstrategie]].'''<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final.</ref> Sie sollen den rechtlichen Rahmen für einen vertrauenswürdigen und sicheren Datenaustausch im europäischen Binnenmarkt schaffen.<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).</ref>

Der DGA verfolgt das Ziel, dass Daten, die mithilfe öffentlicher Gelder generiert oder erhoben wurden, auch der Gesellschaft zugutekommen.<ref>ErwGr 6 DGA; vgl Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final, 8.</ref> Ua soll Unternehmen die Nutzung von Daten, die im Besitz von Behörden sind, ermöglicht werden ('''''G2B-Datennutzung''''').

Zu beachten ist, dass der DGA jedoch '''keine Verpflichtungen''' für öffentliche Stellen vorsieht, die Datenweiterverwendung zu erlauben. Die Zugangsgewährung zu amtlichen Dokumenten richtet sich somit weiterhin nach besonderen Vorschriften des Unionsrechts und des nationalen Rechts. Der DGA befreit öffentliche Stellen auch nicht von etwaigen Geheimhaltungspflichten (Art 1 Abs 2 DGA).

=== Struktur ===
Der DGA regelt:<ref>Art 1 Abs 1 lit a bis d DGA.</ref>

* Bedingungen für die Weiterverwendung bestimmter Daten, die im Besitz öffentlicher Stellen sind;
* einen Anmelde- und Aufsichtsrahmen für die Erbringung von Datenvermittlungsdiensten;
* einen Rahmen für die freiwillige Eintragung von Einrichtungen, die für altruistische Zwecke zur Verfügung gestellte Daten erheben und verarbeiten;
* die Einsetzung eines Europäischen Dateninnovationsrats.

=== Nationale Begleitgesetzgebung ===
Die nationale Begleitgesetzgebung zum DGA erfolgte im Datenzugangsgesetz (DZG).<ref>Bundesgesetz, mit dem ein Bundesgesetz über Daten-Governance, Anbieter von Datenvermittlungsdiensten und datenaltruistische Organisationen nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Datenzugangsgesetz – DZG) erlassen wird, BGBl I 2025/33.</ref> Dort werden insb Zuständigkeiten geregelt.

== Anwendungsbereich ==

=== Sachlich ===
Der Datenbegriff des DGA ist weit gefasst und legt damit einen umfassenden Anwendungsbereich fest, der grds sämtliche digitalen Inhalte umfasst, <ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', DGA (2024) Art 2 Rz 3.</ref> zB Gesundheitsdaten, Mobilitätsdaten, Umweltdaten oder Agrardaten.<ref>''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (Stand: 10 Oktober 2024).</ref> Der Datenbegriff entspricht dem der Art 2 Z 24 [[Digital Markets Act (DMA)#Einleitung|DMA]] und Art 2 Z 1 [[Data Act (DA)#Sachlich|DA]]. [[Datei:Anwendungsbereich DSGVO und DGA-DA.jpg|mini|Der Datenbegriff nach DSGVO und DGA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
Voraussetzung dafür, dass Daten in den Anwendungsbereich des DGA fallen, ist, dass sie:

* im '''Besitz [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlicher Stellen]]''' sind und
* '''aus den folgenden Gründen geschützt''' sind (Art 3 Abs 1 lit a bis d DGA):
** geschäftliche Geheimhaltung, einschließlich Betriebsgeheimnisse, Berufsgeheimnisse, Unternehmensgeheimnisse,
** statistische Geheimhaltung,
** Schutz geistigen Eigentums Dritter,
** Datenschutz.

Daten sind vom Anwendungsbereich wiederum ausgenommen, '''wenn'''

*die Daten aus Gründen der öffentlichen Sicherheit, der Landesverteidigung oder der nationalen Sicherheit geschützt sind, oder
* die Bereitstellung der Daten nicht unter den '''öffentlichen Auftrag''' der betreffenden öffentlichen Stelle fällt.

'''Ausgenommen''' sind weiters allgemein Datenkategorien im Besitz folgender Einrichtungen:

* '''öffentlicher Unternehmen,'''
* öffentlich-rechtlicher Rundfunkanstalten, sofern die Daten der Wahrnehmung eines öffentlichen Sendeauftrags dienen,
* Kultureinrichtungen<ref>Laut ErwGr 12 sind das etwa Bibliotheken, Archive, Museen, Orchester, Opern, Ballette und Theater.</ref> und Bildungseinrichtungen.
Daten, die lediglich analog vorliegen, fallen von Vornherein nicht in unter den Datenbegriff des DGA.

=== Personell ===
==== Öffentliche Stellen ====
Die Regelungen zur Datenweiterverwendung adressieren '''alle in der EU tätigen öffentlichen Stellen'''. Das sind gem Art 2 Z 17 DGA:

* Staat,
* Gebietskörperschaften,
* Einrichtungen des öffentlichen Rechts (zB Kammern, Universitäten, Religionsgemeinschaften, Anstalten oder Stiftungen des öffentlichen Rechts),<ref>''Wischmeyer'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 3 DGA Rz 8 (Stand 1.5.2024).</ref>
* Verbände, die aus einer oder mehreren dieser Körperschaften oder einer oder mehreren dieser Einrichtungen des öffentlichen Rechts bestehen.
'''Forschungseinrichtungen''', die als öffentliche Stellen oder öffentlich-rechtliche Einrichtungen gegründet wurden, können im Einzelfall erfasst sein (ErwGr 12).<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 3, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref>

==== Datenvermittlungsdienste ====
Unter Datenvermittlungsdienst ist gem Art 2 Z 11 DGA ein Dienst zu verstehen, der eine '''unbestimmte Zahl''' von betroffenen Personen und '''Dateninhabern''' mit '''Datennutzern''' verbindet, um eine '''geschäftliche Beziehung''' zum Datenaustausch herzustellen.

'''Nicht davon erfasst''' sind somit Dienste, die für geschlossene Nutzer*innengruppen (zB im Rahmen von Lieferanten- und Kund*innenbeziehungen) eingerichtet sind. Ist der Zugang zu den Daten etwa von der Zugehörigkeit zu einem Verein oder einem Unternehmen abhängig, liegt idR kein Datenvermittlungsdienst iSd DGA vor.<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'' Art 2 Rz 58.</ref> Weiters nicht als Datenvermittlungsdienste zu qualifizieren sind Cloud-Anbieter, Datenbroker und Anbieter von Analysediensten.<ref>Siehe zur Abgrenzung im Detail etwa ''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 23.</ref>

'''Definitionen:'''

* '''Dateninhaber''' (Art 2 Z 8 DGA): Eine juristische Person (inkl. öffentliche Stellen und internationale Organisationen) oder natürliche Person, die selbst '''nicht die betroffene Person''' der Daten ist und nach EU- oder nationalem Recht befugt ist, Zugang zu den Daten (personenbezogen oder nicht-personenbezogen) zu gewähren oder diese weiterzugeben.

* '''Datennutzer''' (Art 2 Z 9 DGA):<ref>Der Begriff unterscheidet sich vom Begriff des [[Data Act (DA)#Nutzer|Nutzers nach dem DA]].</ref> Eine natürliche oder juristische Person, die rechtmäßigen Zugang zu Daten (personenbezogen oder nicht-personenbezogen) hat und diese - bei personenbezogenen Daten unter Beachtung der DSGVO - für beliebige Zwecke (kommerziell oder nicht-kommerziell) nutzen darf.

===== Kategorien =====
Datenvermittlungsdienste lassen sich gem Art 10 DGA den folgenden drei Kategorien zuordnen:'''<ref>Siehe dazu im Detail ua ''Schumacher/Lück'' in ''Paschke/Rücker'' Art 10 Rz 26 ff.</ref>'''
{| class="wikitable"
|+
!Bestimmung
!Kategorie
!Fallgruppen
|-
|Art 10 lit a DGA
|
====== Vermittlungsdienste zwischen Dateninhabern und potenziellen Datennutzern ======
|Datenaustausch, Plattformen und Datenbanken, andere spezielle Infrastruktur
|-
|Art 10 lit b DGA
|
====== Vermittlungsdienste zwischen betroffenen Personen, die ihre personenbezogenen Daten zugänglich machen wollen, oder natürlichen Personen, die nicht personenbezogene Daten zugänglich machen wollen, und potenziellen Datennutzern ======
|Datentreuhänder, Personal Information Management Systems (PIMS),<ref>Vgl Gutachten der deutschen Datenethikkommission (2019) 133 f.</ref> Datenräume, Vermittlungsdienste zur Ausübung der DSGVO-Betroffenenrechte
|-
|Art 10 lit c DGA
|
====== Dienste von Datengenossenschaften ======
|Organisationen, die die kollektiven Datenrechte und -interessen ihrer Mitglieder verwalten und vertreten
|}

==== Datenaltruistische Organisationen ====
Datenaltruismus ist die freiwillige gemeinsame Nutzung von Daten ohne Gewinnerzielungsabsicht für Ziele von allgemeinem Interesse gem nationalem Recht, wie die Gesundheitsversorgung oder die wissenschaftliche Forschung (Art 2 Z 16).

=== Räumlich ===

* Öffentliche Stellen sind vom DGA erfasst, wenn deren Zuständigkeitsbereich in der Europäischen Union liegt.

* Privatwirtschaftliche Akteure fallen in den Anwendungsbereich, wenn sie
** ihren Sitz in der EU haben oder
** ihre Dienste in der EU anbieten.

=== Zeitlich ===
Nach der Annahme am 16. Mai 2022 trat der DGA am 23. Juni 2022 in Kraft. Die Bestimmungen sind seit dem 24. September 2023 anwendbar.<ref>Ausgenommen sind Datenvermittlungsdienste, die ihre Dienste bereits am 23.6.2022 erbracht haben. Für sie gelten die Verpflichtungen erst ab dem 24.9.2025. (Art 37 DGA)</ref> Das DZG trat am 24. Juli 2025 in Kraft.

== Zentrale Inhalte ==
=== Weiterverwendung geschützter Daten (Kapitel II) ===
Der DGA soll es ermöglichen, Erkenntnisse aus geschützten Daten zu gewinnen. Dazu sieht er Regeln und Schutzmaßnahmen vor, um die Weiterverwendung von Daten zu erleichtern, soweit dies grds durch andere Rechtsvorschriften erlaubt ist. Weiterverwendung bedeutet iSd Art 2 Z 2 DGA: "[D]ie Nutzung von Daten, die im Besitz öffentlicher Stellen sind, durch natürliche oder juristische Personen '''für kommerzielle oder nichtkommerzielle Zwecke''', die sich von dem ursprünglichen Zweck im Rahmen des öffentlichen Auftrags, für den die Daten erstellt wurden, unterscheiden, abgesehen vom Austausch von Daten zwischen öffentlichen Stellen ausschließlich im Rahmen der Erfüllung ihres öffentlichen Auftrags." (Hervorhebung durch die Verfasser*innen)

==== Bedingungen für die Weiterverwendung ====

Den [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] wird die Aufgabe auferlegt, einerseits den Schutz der Daten zu wahren und andererseits die Weiterverwendung im Einklang mit nationalen oder unionsrechtlichen Vorgaben zu ermöglichen.<ref>''Weiden'' in ''Paschke/Rücker,'' DGA Art 5 Rz 1.</ref>

Zu diesem Zweck müssen die öffentlichen Stellen Bedingungen für die Weiterverwendung aufstellen (Art 5 Abs 1 DGA). Diese Bedingungen dürfen gem Art 5 Abs 2 DGA nicht diskriminierend sein, dh, zwischen Weiterverwendern darf nicht unsachlich unterschieden werden.<ref>''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 4 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 18.11.2025).</ref> Weiters müssen sie transparent, verhältnismäßig und objektiv gerechtfertigt ausgestaltet sein und dürfen den Wettbewerb nicht behindern. Ein besonderer Fokus liegt auf der Förderung des Datenzugangs für kleine und mittlere Unternehmen (KMU)<ref>Empfehlung 2003/361/EG der Kommission vom 6.5.2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl L 2003/124, 36.</ref> sowie Start-ups, um Innovation und wirtschaftliches Wachstum zu fördern (ErwGr 2 DGA).

Folgende '''Maßnahmen''' können die [[Data Governance Act (DGA)#Öffentliche Stellen|öffentlichen Stellen]] zum Schutz der Daten ergreifen:

* Der Zugang zur Weiterverwendung kann davon abhängig gemacht werden, dass
** personenbezogene Daten anonymisiert wurden,
** vertrauliche Geschäftsinformationen verändert, aggregiert oder aufbereitet wurden.
* Der Zugang kann durch Fernzugriff oder in einer sicheren Verarbeitungsumgebung<ref>Damit gemeint ist eine von der öffentlichen Stelle kontrollierte IT-Umgebung, ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, 5 f, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).</ref> (zB in [[Data Act (DA)#Datenräume|Datenräumen]])<ref>''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained<nowiki/>(Stand 11.10.2024).</ref> gewährt werden.
* Der Zugang kann innerhalb bestimmter Räumlichkeiten unter Einhaltung hoher Sicherheitsstandards erfolgen.

Die Bedingungen sind von den öffentlichen Stellen den nationalen [[Data Governance Act (DGA)#Zentrale Informationsstellen|Zentralen Informationsstellen]] zur Verfügung zu stellen, über welche diese zugänglich gemacht werden.

Es gilt grundsätzlich ein '''Verbot von Ausschließlichkeitsvereinbarungen.''' Nur in Ausnahmefällen und unter sehr restriktiven Bedingungen kann bei allgemeinem Interesse eine [[Data Governance Act (DGA)#Öffentliche Stellen|öffentliche Stelle]] einem Unternehmen ein solches ausschließliches Recht gewähren (Art 4 DGA).<ref>Der Unionsgesetzgeber zeigt eine klare Tendenz, die Weiterverwendung von Daten im Besitz öffentlicher Stellen auf faire und offene Weise zu ermöglichen. So wurde auch im Rahmen der Neufassung der RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56, die Möglichkeit für Ausschließlichkeitsvereinbarungen eingeschränkt (Art 12 Open Data und PSI 2-RL, EG 48).</ref>[[Datei:DGA Datenweiterverwendung.png|mini|Antrag auf Weiterverwendung geschützter Daten durch eine Forschungseinrichtung - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|189x189px]]

==== Antragsverfahren für die Weiterverwendung (Art 9 DGA) ====

'''Bestandsliste:''' Alle verfügbaren Datenressourcen und einschlägigen Informationen sollen in einer öffentlichen nationalen '''Bestandsliste''' einsehbar sein. Diese wird von der zentralen Informationsstelle zur Verfügung gestellt. Das [https://data.europa.eu/data/datasets?superCatalogue=erpd&locale=de Europäische Register für geschützte Daten im Besitz des öffentlichen Sektors (ERPD)] bei der Kommission stellt darauf aufbauend ein durchsuchbares Register dieser Informationen bereit.

'''Antrag''': Anträge zur Weiterverwendung von Daten können gem § 4 Abs 4 DZG über [https://www.data.gv.at/ data.gv.at] eingebracht werden. Die Zentrale Informationsstelle veranlasst dann die Weiterleitung an die Zuständigen Stellen oder Öffentlichen Stellen, die den Antrag abwickeln. Diese haben grds zwei Monate Zeit, um über einen Antrag zu entscheiden (Art 9 Abs 1 DGA).

'''Gebühren''': Öffentliche Stellen können für die Genehmigung der Weiterverwendung angemessene Gebühren erheben, die die erforderlichen Kosten nicht übersteigen dürfen. Es sollen Anreize durch Gebührensenkungen oder -befreiungen für Forschung, nicht-kommerzielle Zwecke, KMU und Start-ups geschaffen werden.

=== Internationaler Datentransfer (Art 5 und Art 31 DGA) ===
Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. Um das hohe Schutzniveau der EU auch bei der Übermittlung von nicht personenbezogenen Daten zu wahren, sieht der DGA gewisse Schutzmaßnahmen und Voraussetzungen vor.<ref>Der DA sieht [[Data Act (DA)#Internationaler Datentransfer (Kapitel VII)|ähnliche Bestimmungen]] vor.</ref> Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DGA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act2 (2024) § 15 Rz 5 ff.</ref>
{| class="wikitable"
|+
!
!DSGVO
!DGA
|-
|'''Transfer'''
|rechtmäßige und unrechtmäßige Übertragungen und

Zugriffe
|unrechtmäßige internationale Datenübertragungen oder Zugriffe
|-
|'''Daten'''
|personenbezogene Daten
|nicht personenbezogene Daten
|-
|'''Zugang'''
|durch jedermann
|durch eine Regierungsorganisation
|}

Die Bestimmungen des DGA zum internationalen Datentransfer richten sich an sämtliche Akteure des DGA, dh sowohl an Anbieter von Datenvermittlungsdiensten, als auch an anerkannte datenaltruistische Organisationen, an öffentliche Stellen, sowie an natürliche oder juristische Personen, denen das Recht auf Weiterverwendung von Daten gewährt wurde.

Weiterverwender müssen bereits mit ihrem [[Data Governance Act (DGA)#Antragsverfahren für die Weiterverwendung (Art 9 DGA)|Antrag auf Weiterverwendung]] die Absicht und den Zweck einer Datenübermittlung in ein Drittland offenlegen (Art 5 Abs 9 DGA). Analog zur DSGVO sieht der DGA für die Datenübermittlung durch Weiterverwender Instrumente wie '''Angemessenheitsbeschlüsse''' und '''Vertragsmuster''' vor. Diese ermöglichen eine standardisierte und rechtssichere Übermittlung von Daten in Drittländer.

=== Datenvermittlungsdienste (Kapitel III) ===
Datenvermittlungsdienste agieren als Vermittler für die Nutzung und Zusammenführung von Daten und unterliegen dabei strengen Anforderungen an Neutralität und Transparenz.

==== Anmeldung (Art 11 DGA) ====
[[Datei:DE EU-Recognised Data Intermediary POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für Datenvermittlungsdienste, die in der EU anerkannt sind - Europäische Kommission]]
Die Tätigkeit als Datenvermittlungsdienst kann erst aufgenommen werden, nachdem eine Anmeldung durchgeführt wurde. Sämtliche Anbieter sind in einem [https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services Register der Kommission] abrufbar.

===== Behördenzuständigkeit =====
* '''Dienst mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem der Dienst seine Hauptniederlassung hat.
* '''Dienst ohne Niederlassung in der EU''': Hat ein Anbieter keine Niederlassung in der EU, bietet seine Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist ein '''gesetzlicher Vertreter''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich der gesetzliche Vertreter befindet.

===== Erforderliche Informationen =====
Folgende Informationen sind zwingend bei der Anmeldung zu übermitteln:

* der Rechtsstatus, die Rechtsform, die Eigentümerstruktur, die relevanten Tochtergesellschaften und, sofern gegeben, die Registernummer,
* die Anschrift der Hauptniederlassung in der Union, falls zutreffend, und die Anschrift einer etwaigen Zweigniederlassung in einem anderen Mitgliedstaat oder des gesetzlichen Vertreters,
* eine '''öffentliche Website''' mit vollständigen und aktuellen Informationen über den Anbieter und seine Tätigkeiten,
* die Kontaktpersonen und Kontaktangaben,
* eine Beschreibung des Datenvermittlungsdienstes und Angaben dazu, unter welche [[Data Governance Act (DGA)#Kategorien|Kategorie]] dieser Datenvermittlungsdienst fällt,
* den voraussichtlichen Tag der Aufnahme der Tätigkeit, falls dies ein anderer als der Tag der Anmeldung ist.

==== Führen des Logos ====
Die Kommission hat gemeinsame Logos für anerkannte Anbieter von Datenvermittlungsdiensten eingeführt.<ref name=":1">Die Logos wurden durch die Durchführungsverordnung (EU) 2023/1622 der Kommission vom 9. August 2023 über die Ausgestaltung gemeinsamer Logos für die in der Union anerkannten Anbieter von Datenvermittlungsdiensten und datenaltruistischen Organisationen, ABl L 2023/200, 1, angenommen und als Marken eingetragen.</ref> Diese Logos sollen es den Interessenträgern erleichtern, vertrauenswürdige Akteure im Datenmarkt der EU zu identifizieren. Anbieter, die die im DGA festgelegten Anforderungen erfüllen und sich für die Nutzung der Logos entscheiden, müssen diese gut sichtbar auf allen Veröffentlichungen anbringen. Die Logos sind durch eine Verordnung geregelt und als Marken geschützt.

Das Logo kann von der [https://digital-strategy.ec.europa.eu/en/library/logos-data-intermediaries-and-data-altruism-organisations-recognised-union offiziellen Website] der Europäischen Kommission in diversen Formaten heruntergeladen werden.

==== Pflichten ====
Die Erbringung von Datenvermittlungsdiensten setzt die Einhaltung folgender Bedingungen voraus (Art 12 DGA):
{| class="wikitable"
|+
!Verpflichtung
!Erklärung
!Praxishinweise/Synergien
|-
|'''Zweckbindungsgrundsatz'''
|Die Daten dürfen ausschließlich zur Bereitstellung für Datennutzer verwendet werden.
|Die Daten dürfen zB nicht für KI-gestützte Datenanalysen verwendet werden.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 24.</ref>
|-
|'''Unabhängigkeit'''
|Der Dienst muss von einer getrennten juristischen Person erbracht werden.
|
|-
|'''Monetarisierungsverbot'''
|Es darf keine Monetarisierung der Daten erfolgen.
|
|-
|'''Kopplungsverbot'''
|Kommerzielle Bedingungen dürfen nicht von der Nutzung weiterer Dienste desselben Anbieters abhängig gemacht werden.
|
|-
|'''Verwendung von Daten zur Dienstentwicklung'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, wie Zeit- oder Standortangaben, dürfen nur zur Entwicklung des Dienstes verwendet werden.
|
|-
|'''Zurverfügungstellung der Daten'''
|Daten, die in Bezug auf Tätigkeiten einer Person zur Erbringung des Datenvermittlungsdienstes erhoben werden, sind auf Anfrage den Dateninhabern zur Verfügung zu stellen.
|Synergie mit der DSGVO: Natürliche Personen haben in Bezug auf ihre personenbezogenen Daten bereits aufgrund von Art 15 DSGVO Anspruch auf Auskunft über ihre Daten.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 15.</ref>
|-
|'''Datenformat und Umwandlung'''
|Die Daten müssen im Originalformat bereitgestellt werden; Umwandlungen erfolgen nur zur Verbesserung der Interoperabilität oder auf Wunsch des Datennutzers oder wenn das Unionsrecht dies vorschreibt oder wenn dies der Harmonisierung mit internationalen oder europäischen Datennormen dient. Betroffene Personen oder Dateninhaber haben die Möglichkeit, auf diese Umwandlungen zu verzichten („opt out“), sofern sie nicht durch das Unionsrecht vorgeschrieben sind.
|Lock-in-Effekte sind zu vermeiden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 17.</ref>
|-
|'''Zusätzliche Werkzeuge'''
|Zusätzliche Dienste und Werkzeuge zur Erleichterung des Datenaustauschs (zB Anonymisierung, Pseudonymisierung, vorübergehende Speicherung, Konvertierung) dürfen nur auf '''ausdrücklichen Antrag oder mit Zustimmung''' der betroffenen Personen oder des Dateninhabers angeboten werden.
|Auch konkludente Willenserklärungen, die auf Initiative des Anbieters hin erteilt werden, sind wirksam.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 25.</ref>
|-
|'''Transparenz und Fairness'''
|Der Zugang zu den Datenvermittlungsdiensten muss fair, transparent und nichtdiskriminierend erfolgen.<ref>Eine ähnliche Regelung enthält Art 8 Abs 1 Data Act, wonach Vereinbarungen über die Datenbereitstellung nur faire, angemessene und nichtdiskriminierende Bedingungen vorsehen dürfen (sog [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen).]]</ref>
|Transparenz kann durch Angaben auf der [[Data Governance Act (DGA)#Erforderliche Informationen|Website]], die nach Art 11 DGA ohnehin zwingend einzurichten ist, gewährleistet werden.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 32.</ref>
|-
|'''Betrugs- und Missbrauchsprävention'''
|Der Anbieter muss über Verfahren verfügen, um betrügerische oder missbräuchliche Nutzung seiner Datenvermittlungsdienste zu verhindern.
|Anbieter sollten ein Compliance-System implementieren, das betrügerische oder missbräuchliche Nutzung identifiziert und gezielte Maßnahmen ermöglicht, zB den Ausschluss von Nutzern, die gegen AGB oder gesetzliche Vorschriften verstoßen.<ref>Vgl ErwGr 36 DGA.</ref>
|-
|'''Weiterführung bei Insolvenz'''
|Bei Insolvenz muss der Anbieter die fortlaufende Datenbereitstellung sicherstellen und den Zugang zu den Daten ermöglichen. Datenvermittlungsdienste nach [[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Art 10 lit b]] und [[Data Governance Act (DGA)#c) Dienste von Datengenossenschaften:|lit c]] müssen Betroffenen und Datennutzern die Ausübung von Rechten ermöglichen.
|
* Synergie mit Insolvenzrecht: Die Regelung kann in einem Spannungsverhältnis zum Insolvenzrecht stehen.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 35.</ref>
* Synergie mit der DSGVO: Betroffenenrechte nach der DSGVO stehen unabhängig von einer etwaigen Insolvenz zu.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 37.
</ref>
|-
|'''Interoperabilität'''
|Der Anbieter muss Interoperabilität mit anderen Datenvermittlungsdiensten gewährleisten.
|
|-
|'''Schutzmaßnahmen'''
|Der Anbieter muss Maßnahmen ergreifen, um rechtswidrige Datenübertragungen und den rechtwidrigen Zugang zu nicht personenbezogenen Daten zu verhindern.
|Als angemessene Maßnahmen zählen etwa die Verschlüsselung der Daten oder innerbetriebliche Vorgaben. Einschlägige technische Standards, Verhaltenskodizes und Zertifizierungen auf Unionsebene sind einzuhalten.<ref>ErwGr 23 DGA.</ref>
|-
|'''Unterrichtung bei Datenmissbrauch'''
|Dateninhaber müssen bei unbefugter Datenübertragung oder -nutzung unverzüglich informiert werden.
|Synergie mit der DSGVO: Nach Art 34 DSGVO sind im Falle eines Data Breaches betroffene Personen zu informieren, wenn ein '''hohes Risiko für die Rechte und Freiheiten''' natürlicher Personen besteht. Der DGA verpflichtet hingegen zu einer Information bei '''jeder Verletzung''' nicht personenbezogener Daten, die Risiken spielen keine Rolle.
|-
|'''Sicherheitsniveau'''
|Es bedarf Maßnahmen für einen '''angemessenen Schutz nicht personenbezogener Daten''' und den '''höchsten Schutz sensibler wettbewerbsrelevanter Informationen''' (wie Informationen über Kund*innen, Produktionskosten, Kapazitäten).<ref>Siehe ErwGr 37 DGA.</ref>
|Synergie mit der DSGVO: Art 32 DSGVO enthält eine entsprechende Verpflichtung in Bezug auf personenbezogene Daten: demnach sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
|-
|'''Interessenwahrung für betroffene Personen'''
|[[Data Governance Act (DGA)#b) Vermittlungsdienste zwischen betroffenen und natürlichen Personen und Datennutzern|Anbieter, die für betroffene Personen tätig sind]], müssen im Interesse der Betroffenen handeln und sie vor Erteilung einer Einwilligung auf prägnante, transparente, verständliche und leicht zugängliche Weise über die beabsichtigte Datennutzung und die üblichen Geschäftsbedingungen für solche Nutzungen informieren.
|
|-
|'''Werkzeuge zur Einholung von Einwilligungen, Widerrufsrecht und Informationen über Drittländer'''
|Der Anbieter muss Werkzeuge für die Einwilligungs- und Erlaubniserteilung, sowie zum Widerruf bereitstellen und ggf das Drittland anführen, in dem die Datennutzung stattfinden soll.
|
|-
|'''Protokollierungspflicht'''
|Der Anbieter muss ein Protokoll über seine Datenvermittlungstätigkeiten führen.
|Synergie mit der DSGVO: Werden personenbezogene Daten verarbeitet, so bestehen bei der Protokollierungspflicht Überschneidungen mit Art 30 Abs 1 DSGVO, der die Pflicht zur Führung eines Verarbeitungsverzeichnisses vorsieht.<ref>''Schumacher/Lück'' in ''Paschke/Rücker'' Art 12 Rz 67.</ref>
|}

=== Datenaltruistische Organisationen (Kapitel IV) ===
Datenaltruismus stellt ein neues Konzept der europäischen Datenstrategie dar. Es ermöglicht die freiwillige gemeinsame Nutzung von Daten für Ziele von allgemeinem Interesse. Grundlage ist die Einwilligung der betroffenen Personen oder die Erlaubnis der Dateninhaber. Die Ziele, die damit verfolgt werden, sind vielfältig und im nationalen Recht verankert - sie reichen von der Verbesserung der Gesundheitsversorgung über die Bekämpfung des Klimawandels bis hin zur wissenschaftlichen Forschung im allgemeinen Interesse. Daten können direkt bei natürlichen oder juristischen Personen gesammelt oder von Dritten, einschließlich öffentlicher Stellen, erhoben und weiterverarbeitet werden. Um den Prozess zu vereinfachen und zu harmonisieren, wurde ein europäisches Einwilligungsformular für Datenaltruismus eingeführt. Dieses Instrument fördert die transparente und ethische Nutzung von Daten für gesellschaftlich relevante Zwecke und stärkt gleichzeitig das Vertrauen in den Datenaustausch.

==== Eintragungsvoraussetzungen ====
[[Datei:EU-Recognised Data Altruism POSITIVE HORIZONTAL (RGB).jpg|mini|Geschütztes Logo für datenaltruistische Organisationen, die in der EU anerkannt sind - Europäische Kommission]]
Folgende Voraussetzungen müssen erfüllt sein, damit eine Organisation eingetragen werden kann:

Die Einrichtung muss

* datenaltruistische Tätigkeiten durchführen;
* gemäß nationalem Recht Rechtspersönlichkeit haben, um ggf gemäß dem nationalen Recht '''Ziele von allgemeinem Interesse''' zu erreichen;
* selbst '''ohne Erwerbszweck''' tätig sein und rechtlich unabhängig von jeder Organisation, die Erwerbszwecke verfolgt, handeln;
* die Datenaltruismus-Tätigkeiten über eine Struktur ausüben, die von ihren anderen Tätigkeiten '''funktionell getrennt''' ist;
* dem "Regelwerk" gem Art 22 Abs 1 DGA entsprechen, das von der Kommission zu erlassen ist.

===== Antragstellung =====
Die Einrichtung kann dann einen Antrag auf Eintragung in das nationale öffentliche Register der anerkannten datenaltruistischen Organisationen stellen. Dafür sind die folgenden Informationen zu übermitteln:

* Name, Rechtsstatus, Rechtsform und ggf. Registernummer der Einrichtung;
* Satzung, Einnahmequellen und Adressen der Haupt- und Zweigniederlassungen oder der gesetzlichen Vertretung;
* öffentliche Website mit aktuellen Informationen über die Einrichtung und ihre Tätigkeiten;
* Kontaktpersonen und -angaben;
* Ziele von allgemeinem Interesse, die mit der Erhebung der Daten gefördert werden sollen;
* Art der zu verarbeitenden Daten (einschließlich Kategorien personenbezogener Daten);
* Nachweise zur Erfüllung der Eintragungsvoraussetzungen.

Die für die Registrierung zuständige Behörde teilt die Registrierung der Kommission mit, welche diese in das öffentliche [https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations Unionsregister der anerkannten datenaltruistischen Organisationen] aufnimmt.

===== Behördenzuständigkeit =====
* '''Einrichtung mit Niederlassung in der EU''': Zuständig ist die Behörde in dem Mitgliedstaat, in dem die Organisation ihre Hauptniederlassung hat.
* '''Einrichtung ohne Niederlassung in der EU''': Hat eine Einrichtung keine Niederlassung in der EU, bietet ihre Dienste aber in einem oder mehreren Mitgliedstaaten an, so ist eine '''gesetzliche Vertretung''' in einem dieser Mitgliedstaaten zu benennen. Zuständig ist dann der Mitgliedstaat, in dem sich die gesetzliche Vertretung befindet.

===== Führen des Logos =====
Anerkannte datenaltruistische Organisationen können das entsprechende Logo der Europäischen Kommission verwenden.<ref name=":1" /> Zusätzlich muss ein QR-Code zum öffentlichen EU-Register beigefügt werden. Diese Maßnahme soll Transparenz und Vertrauen auf dem Datenmarkt stärken.

==== Transparenzanforderungen ====
Anerkannte datenaltruistische Organisationen müssen vollständige Aufzeichnungen über Folgendes führen:

* Datenzugriffsberechtigte,
* Verarbeitungszwecke,
* Zeiträume der Datenverarbeitung,
* Gebühren

Außerdem müssen sie jährliche Tätigkeitsberichte führen, die Folgendes transparent dokumentieren:

* ihre Aktivitäten,
* Einnahmen und Ausgaben,
* die Förderung von Zwecken von allgemeinem Interesse,
* Beschreibung der technischen Mittel,
* Ergebnisse der Datenverarbeitung.

==== Schutz der Rechte und Interessen Betroffener und Dateninhaber bei der Datenverarbeitung ====
Anerkannte datenaltruistische Organisationen müssen betroffene Personen und Dateninhaber ua klar über die Zwecke der Datenverarbeitung informieren. Sie sind verpflichtet, die Einwilligung der Betroffenen einzuholen und einfache Möglichkeiten zum Widerruf dieser Einwilligung bereitzustellen. Außerdem müssen sie ein hohes Sicherheitsniveau für die Datenverarbeitung gewährleisten. Bei Datenschutzverletzungen sind die Betroffenen unverzüglich zu informieren. Die Nutzung der Daten darf ausschließlich für die Ziele von allgemeinem Interesse erfolgen.

===== Einwilligungsformular =====
Um die Datenerhebung zu erleichtern und sicherzustellen, dass betroffene Personen ihre Einwilligung gem der DSGVO erteilen und widerrufen können, wird ein europäisches Einwilligungsformular entwickelt.<ref>Art 25 DGA.</ref> Dieses wird modular aufgebaut, sowie sektor- und zweckbezogen anpassbar sein.

=== Europäischer Dateninnovationsrat (EDIB, Kapitel VI) ===
[[Datei:Overview of the legislative initiative for the governance of data spaces.png|mini|453x453px|Übersicht Europäischer Dateninnovationsrat - Europäische Kommission.<ref>''Europäische Kommission'', Commission Staff Working Document, Impact Assessment Report Accompanying the document Proposal for a Regulation of the European Parliament and of the Council on European data governance (Data Governance Act), Brüssel, 25.11.2020, SWD(2020) 295 final, 53.</ref>]]Der Europäische Dateninnovationsrat<ref>https://ec.europa.eu/transparency/expert-groups-register/screen/expert-groups/consult?lang=en&groupID=3903 (abgerufen am 24.1.2025). Eine eigene Website gibt es offenbar (noch) nicht. </ref> spielt eine zentrale Rolle bei der Gestaltung der europäischen Datenwirtschaft. Seine Hauptaufgaben umfassen den Austausch bewährter Praktiken, insbesondere im Bereich der Datenvermittlung, des Datenaltruismus und der Nutzung nicht-offener öffentlicher Daten. Dabei liegt ein besonderer Fokus auf der Förderung sektorübergreifender Interoperabilitätsstandards. In seiner beratenden Funktion tauscht der EDIB Informationen aus und bietet Expertise zu datenrelevanten Themen. Zudem besitzt er die Befugnis, Leitlinien für gemeinsame europäische Datenräume vorzuschlagen. Dies schließt Empfehlungen zum angemessenen Schutz von Datenübermittlungen außerhalb der Union ein (ErwGr 53 f).
==== Zusammensetzung ====

* Vertreter*innen der für Datenvermittlungsdienste zuständigen nationalen Behörden,<ref name=":2">Eine Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten ist auf der Website der Europäischen Kommission abrufbar und wird laufend aktualisiert, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>
* Vertreter*innen der für die Registrierung von datenaltruistischen Organisationen zuständigen nationalen Behörden,<ref name=":2" />
* Vertreter*innen des [https://www.edpb.europa.eu/edpb_de Europäischen Datenschutzausschusses],
* Vertreter*innen des [https://www.edps.europa.eu/_de Europäischen Datenschutzbeauftragten],
* Vertreter*innen der [https://www.enisa.europa.eu/about-enisa/about/de Agentur der Europäischen Union für Cybersicherheit (ENISA)],
* Vertreter*innen der Europäischen Kommission,
* Der/die KMU-Beauftragte der EU oder ein*e [https://single-market-economy.ec.europa.eu/smes/sme-strategy-and-sme-friendly-business-conditions/sme-envoys-network_en vom Netz der KMU-Beauftragten] benannte*r Vertreter*in,
* Andere Vertreter*innen von maßgeblichen Stellen in bestimmten Sektoren und von Stellen mit spezifischen Fachkenntnissen.
Die Expert*innengruppe wird in thematische Untergruppen untergliedert (Art 29 Abs 2 DGA).

==== Aufgaben ====
In Art 30 lit a bis m DGA werden 13 Aufgaben des Dateninnovationsrates genannt. Diese lassen sich folgendermaßen zusammenfassen:<ref>''Keppeler/Poncza'' in ''Paschke/Rücker'', Data Governance Act (2024) Art 30 Rz 4 ff.</ref>

* Entwicklung einer einheitlichen Praxis bei der Umsetzung des DGA (Art 30 lit a bis c),
* Entwicklung einheitlicher Leitlinien zum Schutz von Daten und zur Cybersicherheit (Art 30 lit d und e),
* Beratung und Unterstützung der Kommission bei der Normentwicklung und -verbesserung (Art 30 lit f und g),
* Unterbreitung von Leitlinien zu gemeinsamen europäischen Datenräumen (Art 30 lit h),
* Erleichterung der Zusammenarbeit zwischen den Mitgliedstaaten und zwischen den nationalen Behörden (Art 30 lit i und j),
* Prüfung des Erlasses von Durchführungsrechtsakten gem Art 5 Abs 11 (Mustervertragsklauseln) und 12 DGA (Anerkennung eines angemessenen Schutzniveaus in Drittstaaten) (Art 30 lit k),
* Entwicklung eines europäischen Einwilligungsformulars für Datenaltruismus gem Art 25 Abs 1 (Art 30 lit l),
* Verbesserung des internationalen Regelungsumfelds, einschließlich der Normung (Art 30 lit m).
Auch nach dem [[Data Act (DA)#EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)|Data Ac]]<nowiki/>t kommen dem EDIB gewisse Aufgaben zu.

== Anwendungsfälle ==
=== Datenvermittlungsdienste ===

* In Österreich wurde die "DID Daten-Intermediär-Dienste FlexCo"<ref>https://intermediary.at/.</ref> als Datenvermittlungsdienst registriert.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>Die Tätigkeit dieses Unternehmens, das sich lt Website erst in einer Testphase befindet, liegt dem Meldeblatt zufolge in der Unterstützung der Energiewende durch die Ermöglichung des sicheren Austauschs von energiebezogenen Daten sowie der Erleichterung der Einführung digitaler Produktpässe zur Verbesserung der Rückverfolgbarkeit und Nachhaltigkeit von Produkten.<ref>https://ec.europa.eu/newsroom/dae/redirection/document/120077.</ref>

=== Organisationen für Datenaltruismus ===

* In Österreich wurde noch keine Organisation für Datenaltruismus registriert, soweit dies in der europäischen Datenbank ersichtlich ist.<ref>https://digital-strategy.ec.europa.eu/de/policies/data-altruism-organisations.</ref> In Belgien wurde zB "101 Genome"<ref>https://www.f101g.org/de/.</ref> registriert. Die spendenfinanzierte Stiftung "101 Genome Foundation (F101G)" bezweckt, die Forschung zu seltenen Krankheiten (wie dem Marfan-Syndrom) zu fördern, indem eine Cross-Datenbank mit genomischen und phänotypischen Daten von Patient*innn zur Verfügung gestellt wird.

=== Auswirkungen des DGA auf Forschungsprojekte ===
Der DGA soll den Zugang zu Daten der öffentlichen Verwaltung für Forschungseinrichtungen erleichtern. Durch zentrale Informationsstellen und Bestandslisten wird das Auffinden relevanter Datenquellen vereinfacht. Die Förderung datenaltruistischer Organisationen könnte gemeinwohlorientierten Datenplattformen den Zugang zu neuen Datenquellen eröffnen. Agieren Forschungseinrichtungen selbst als Anbieter von Datenvermittlungsdiensten, dürfen sie die über die Plattform bereitgestellten Daten nicht monetarisieren. Dies kann die Möglichkeiten zur Entwicklung nachhaltiger Geschäftsmodelle nach Abschluss eines Projekts begrenzen.<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 26 ff.</ref>

== Synergien ==
=== DSGVO ===
Der DGA gilt für [[Data Governance Act (DGA)#Weiterverwendung geschützter Daten (Kap II)|geschützte Daten]], worunter sowohl personenbezogene, als auch nicht personenbezogene Daten fallen können. Werden '''personenbezogene Daten''' verarbeitet, so kommen die Regeln der [https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&qid=1727782610873 '''DSGVO''']<ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1. </ref> und des [https://ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=10001597 Datenschutzgesetzes]<ref>Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I 1999/165 idF BGBl I 2024/70.</ref> '''im Falle eines Konflikts ausdrücklich vorrangig''' zur Anwendung (ErwGr 4, Art 1 Abs 3 DGA).<ref>Siehe dazu im Detail ''Brink/Ungern-Sternberg'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK Datenschutzrecht49 Art 1 DGA Rz 52 ff.</ref> Zu beachten ist, dass der DGA gerade keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten schafft.

Auch die Datenschutzverordnung für die Stellen der EU (VO 2018/1725), die ePrivacy-RL (RL 2002/58/EG) sowie [[Data Governance Act (DGA)#Strafverfahren|die JI-RL]] (RL 2016/680) lässt der DGA "unbeschadet" (Art 1 Abs 3 DGA).

Es ist zu befürchten, dass das unklare Verhältnis zwischen Datenschutzrecht und DGA zu einer eher zurückhaltenden Anwendung des DGA führen könnte. Auch wird dadurch uU nicht der erwünschte Anreiz geschaffen, sich als datenaltruistische Organisation zu engagieren.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act mit Data Governance Act2 (2024) § 10 Rz 10, 14.</ref>

==== Datenschutzrechtliche Rollenverteilung ====
Der DGA enthält keine ausdrückliche Regelung zur [[Data Act (DA)#Exkurs: Rollendefinitionen nach der DSGVO|datenschutzrechtlichen Rollenverteilung]].

Im DZG werden in Bezug auf die Wahrnehmung ihrer Befugnisse und Aufgaben nach dem DGA als datenschutzrechtlich Verantwortliche Art 4 Z 7 DSGVO genannt:<ref>§ 6 Abs 1 DZG.</ref> [[Data Governance Act (DGA)#Kontroll- und Aufsichtsbehörden|Die zuständige Behörde, die zentrale Informationsstelle und Zuständige Stellen.]] Es wird mitunter vertreten, dass die öffentliche Stelle, die eine Weiterverwendung personenbezogener (nicht anonymisierter) Daten ermöglicht, und der Datennutzer als '''gemeinsam Verantwortliche''' iSv Art 26 DSGVO anzusehen sind und konsequenterweise eine [[Data Act (DA)#Pflichten gemeinsam Verantwortlicher|entsprechende Vereinbarung]] zur gemeinsamen Verantwortlichkeit abzuschließen haben.<ref>''Der Bayerische Landesbeauftragte für den Datenschutz'', Daten-Governance-Rechtsakt - Auf dem Weg zu einem europäischen Binnenmarkt für Daten - Orientierungshilfe, Rz 53, https://www.datenschutz-bayern.de/infothek/OH_DGA.pdf (Stand 1.5.2024). </ref>

Datenaltruistische Organisationen werden als Verantwortliche einzuordnen sein.

=== Strafverfahren ===
Der normierte Vorrang datenschutzrechtlicher Bestimmungen erstreckt sich auch auf die Bestimmungen der RL (EU) 2016/680<ref>RL (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 2016/119, 89.</ref>, die den Schutz personenbezogener Daten bei der Verarbeitung durch Strafverfolgungsbehörden regelt. Diese RL wurde in Österreich in der Strafprozessordnung (StPO)<ref>Strafprozeßordnung 1975 (StPO), BGBl 1975/631 idF BGBl I 2024/157.</ref> umgesetzt. Der DGA sollte keine Auswirkungen auf diesen Bereich haben, da die StPO aufgrund des Anwendungsvorrangs weiterhin maßgeblich ist. Konkret erfolgt die Verarbeitung iRd Übermittlung personenbezogener Daten aus einem Strafverfahren ausschließlich nach § 76 Abs 4 StPO und bleibt vom DGA unberührt.<ref name=":0">Siehe Stellungnahme des Bundesministeriums für Justiz zum DZG-E, 15/SN-352/ME 28. GP, 2.</ref> Daten der Gerichtsbarkeit, einschließlich staatsanwaltschaftlicher Daten, dürften gar vom Anwendungsbereich des DGA ausgeschlossen sein.<ref name=":0" />

=== Sektorspezifische Datenräume ===
Sektorspezifische EU-Rechtsvorschriften für '''konkrete Datenräume''', beispielsweise der [https://www.europarl.europa.eu/doceo/document/TA-9-2023-0462_DE.html EHDS]<ref>Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über den Europäischen Raum für Gesundheitsdaten (EHDS), COM(2022) 197 final.</ref> für den Gesundheitsbereich, sollen die allgemeinen Bestimmungen ergänzen und Regelungen für spezifische Datenräume unter Berücksichtigung der jeweiligen Branchenanforderungen schaffen.

=== Open Data-Regulierung ===
[[Datei:Verhältnis Anwendungsbereich DGA und IWG.jpg|mini|Daten im öffentlichen Sektor - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|208x208px]]
Die Open Data und PSI 2-RL<ref>RL (EU) 2019/1024 des Europäischen Parlaments und des Rates vom 20.6.2019 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (Open Data und PSI 2-RL), ABl L 2019/172, 56.</ref> regelt die Weiterverwendung von nicht geschützten, öffentlich zugänglichen Informationen (sog Open Data), die sich im Besitz öffentlicher Stellen befinden (EG 8 Open Data und PSI 2-RL). Ziel ist es, den gesellschaftlichen und wirtschaftlichen Nutzen öffentlicher Daten zu erhöhen, indem deren Zugänglichkeit verbessert und faire Nutzungsbedingungen gewährleistet werden. Zentrale Aspekte der Richtlinie umfassen die unentgeltliche bzw kostengünstige Bereitstellung von Daten, insbesondere für KMU und Start-ups, sowie die Einbeziehung von Daten öffentlicher Unternehmen und von Forschungseinrichtungen. Die Richtlinie soll Innovation fördern, zur Bewältigung gesellschaftlicher Herausforderungen beitragen und die Entwicklung neuer Technologien wie der KI unterstützen. In Österreich wurde die Richtlinie durch das Informationsweiterverwendungsgesetz 2022 (IWG 2022)<ref>Bundesgesetz über die Weiterverwendung von Informationen öffentlicher Stellen, öffentlicher Unternehmen und von Forschungsdaten, BGBl I 2022/116.</ref> umgesetzt. Ua verpflichtet das IWG 2022 öffentliche Stellen sowie Öffentliche Unternehmen, Forscher, Forschungseinrichtungen und Forschungsförderungseinrichtungen dazu, Dokumente, die zur Weiterverwendung verfügbar sind, durch Bestandslisten und maschinenlesbare Formate zugänglich zu machen und '''mit dem Portal [https://www.data.gv.at/ data.gv.at] zu verknüpfen''', sofern dies zumutbar ist (§ 11 IWG 2022).

Personenbezogene Daten und vertrauliche Geschäftsinformationen dürfen nach der Open Data und PSI 2-RL nur in anonymisierter oder aggregierter Form freigegeben werden.

Der DGA ergänzt die Open Data und PSI 2-RL, indem Vorschriften für die Nutzung nicht-öffentlicher Daten vorgesehen werden, ohne den Schutz der Informationen zu beeinträchtigen. Daten, die bereits von der Open Data und PSI 2-RL erfasst sind, sind vom DGA ausgenommen (ErwGr 10 DGA).

=== Informationsfreiheit ===
Das Informationsfreiheitsgesetz (IFG)<ref>Bundesgesetz über den Zugang zu Informationen (Informationsfreiheitsgesetz – IFG), BGBl I 2024/5.</ref> ermöglicht seit dem 1.9.2025 den Zugang zu staatlichen Informationen und staatsnaher unternehmerischer Informationen.<ref>Siehe etwa ''Miernicki'', IFG – Informationsfreiheitsgesetz (2024). </ref> Insbesondere schafft das IFG eine aktive verfassungsgesetzliche Informationsverpflichtung und ein verfassungsgesetzlich gewährleisteten Recht auf Zugang zu Informationen. Ausnahmen gelten bei bestimmten öffentlichen und überwiegenden privaten Interessen (insb aufgrund des Grundrechts auf Datenschutz).<ref>ErläutRV 2238 BlgNR 27.GP 1 f.</ref>

Während das IFG das '''Recht auf Zugang zu amtlichen Informationen''' im Interesse der Transparenz und Meinungsfreiheit normiert, schafft der DGA einen Rahmen für die '''Weiterverwendung von geschützten Daten''' im Besitz öffentlicher Stellen zur Förderung der europäischen Datenwirtschaft.

== Konsequenzen/Sanktionen ==

=== Sanktionen ===
Die Höhe etwaiger Geldbußen richtet sich nach nationalem Recht. Die folgende Tabelle bietet einen Überblick über die maßgeblichen Strafdrohungen nach dem DZG:
{| class="wikitable sortable"
!Verstoß
!Adressat
!Strafdrohung
|-
|Fehlende oder unvollständige Aufzeichnungen
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Fehlender oder unvollständiger jährlicher Tätigkeitsbericht
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung des "Regelwerks" gem Art 22 Abs 1 DGA
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung von [[Data Governance Act (DGA)#Anmeldung (Art 11 DGA)|Mitteilungspflichten nach Art 11 DGA]], insb Benennung einer gesetzlichen Vertretung, wenn keine Niederlassung in der EU besteht
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 10.000 EUR
|-
|Nichteinhaltung der [[Data Governance Act (DGA)#Pflichten|Bedingungen für die Erbringung von Datenvermittlungsdiensten]]
|Anbieter von Datenvermittlungsdiensten
|Geldstrafe bis zu 20.000 EUR
|-
|Verstoß gegen die [[Data Governance Act (DGA)#Eintragungsvoraussetzungen|Allgemeinen Eintragungsanforderungen]]
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 20.000 EUR
|-
|Verletzung von Anforderungen an den Schutz der Rechte Betroffener und der Dateninhaber<ref>Das Verhältnis zu den Strafdrohungen nach der DSGVO bleibt unklar, siehe etwa die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 5.</ref>
|Anerkannte datenaltruistische Organisation
|Geldstrafe bis zu 100.000 EUR
|-
|Übertragung nicht personenbezogener Daten in ungeeignete Drittländer
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|-
|Verstöße gegen die Bestimmungen zum internationalen Zugang und zur internationalen Übertragung
|Natürliche oder juristische Personen mit Weiterverwendungsrecht
|Geldstrafe bis zu 100.000 EUR
|}
Bei der Bemessung der Sanktion sind die folgenden Umstände zu berücksichtigen:<ref>Art 34 Abs 2 DGA; 352/ME 27. GP Erläut 6.</ref>

* Art, Schwere und Umfang des Verstoßes;
* Getroffene Maßnahmen zur Schadensminderung oder -behebung;
* frühere Verstöße;
* finanzielle Auswirkungen des Verstoßes (Gewinne/Verluste, soweit feststellbar);
* sonstige erschwerende oder mildernde Umstände.

=== Beschwerderecht und Rechtsbehelfe ===
Auch private Rechtsdurchsetzung durch Mittbewerber*innen oder Dateninhaber ist möglich.

Gem Art 27 DGA besteht ein Beschwerderecht. Gegen Entscheidungen einer öffentlichen Stelle oder einer zuständigen Stelle steht ein Recht auf gerichtliche Überprüfung zu.

=== Kontroll- und Aufsichtsbehörden ===
Die Benennung von nationalen Behörden zur Überwachung von Datenvermittlungsdiensten und zur Errichtung eines Registers für datenaltruistische Organisationen obliegt den nationalen Gesetzgebern. Art 13 bis 26 DGA nennen konkrete Anforderungen, denen diese Stellen entsprechen müssen. In einigen Mitgliedstaaten wurden unter anderem Minister*innen, aber auch Telekommunikations-Aufsichtsbehörden oder Datenschutzbehörden<ref>Laut ErwGr 4 DGA besteht ausdrücklich die Möglichkeit, nationale Datenschutzbehörden mit diesen Aufgaben zu betrauen.</ref> mit diesen Aufgaben betraut.<ref>Siehe die Liste der zuständigen Stellen und Behörden sämtlicher Mitgliedstaaten der Europäischen Kommission, https://digital-strategy.ec.europa.eu/de/library/national-competent-bodies-and-authorities-under-data-governance-act (Stand 17.7.2024).</ref>

Des DZG sieht folgende Zuständigkeiten vor:
{| class="wikitable"
|+
!Stelle nach dem DGA
!DZG
!Aufgaben
!Auftragsverarbeiter
|-
|'''Zentrale Informationsstelle (ZIS)'''
|der Bundeskanzler (§ 4 Abs 1 DZG)
|
* Entgegennahme von Anfragen oder Anträgen zur Weiterverwendung von Daten.
* Weiterleitung von Anfragen an zuständige öffentliche Stellen, auch automatisiert.
* Bereitstellung einer elektronisch durchsuchbaren '''Bestandsliste''' aller verfügbaren Datenressourcen.<ref>Die Bestandsliste soll eine Übersicht aller verfügbaren Datenressourcen darstellen und enthält grds ausschließlich Metadaten. Die Bestandsliste wird mit [https://www.data.gv.at/ data.gv.at] verknüpft und an das europäische Datenportal [https://data.europa.eu/en data.europa.eu] angebunden, 352/ME 27. GP Erläut 4.</ref>
* Veröffentlichung relevanter Informationen zu Datenformat, -umfang und Nutzungsbedingungen.
|Bundesanstalt Statistik Österreich; BRZ GmbH als Sub-Auftragsverarbeiter<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 4.</ref>
|-
|'''Zuständige Behörde für Datenvermittlungsdienste und für die Registrierung von datenaltruistischen Organisationen'''
|der Bundeskanzler (§ 3 Abs 1 DZG)
|
* Anmeldeverfahren
* Überwachung der Datenvermittlungsdienste und der datenaltruistischen Organisationen
* Führung eines öffentlichen Registers der anerkannten datenaltruistischen Organisationen
* Entscheidungen über Beschwerden
* Verhängung von Bußgeldern
|Bundesrechenzentrum GmbH (in Bezug auf die Führung eines Registers der anerkannten datenaltruistischen Organisationen)<ref>Siehe die Stellungnahme der DSB zum DZG-Entwurf, 6/SN-352/ME, 3.</ref>
|-
|'''Zuständige Stellen, welche die öffentlichen Stellen, die Zugang zur Weiterverwendung von Daten gewähren oder verweigern, unterstützen'''
|Festlegung durch '''Verordnung''' des Bundeskanzlers (§ 5 Abs 1 DZG):
Für Forschungsmikrodaten und Ergebnisdatensätze der Amtlichen Statistik die Bundesanstalt Statistik Österreich.<ref>Verordnung des Bundeskanzlers über zuständige Stellen für den Zugang zur Weiterverwendung von geschützten Daten in bestimmten Datenkategorien nach der Verordnung (EU) 2022/868 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Benennungsverordnung – DGBenV), BGBl II 2025/186.</ref>
|Unterstützung der öffentlichen Stellen durch:

* Bereitstellung sicherer Verarbeitungsumgebungen.
* Beratung zur Datenstrukturierung und -speicherung.
* Technische Unterstützung bei Pseudonymisierung und Datenschutzmaßnahmen.
* Anonymisierung und Entfernung vertraulicher Informationen.
* Unterstützung bei Einwilligungseinholung.
* Bewertung von vertraglichen Zusagen der Weiterverwender.
|
|}
Die '''Datenschutzbehörde''', die nationalen Wettbewerbsbehörden, die für Cybersicherheit zuständigen Behörden sowie andere relevante Fachbehörden<ref>Einen Überblick über die Behörden in Deutschland bietet ''Paschke'' in ''Paschke/Rücker'', Data Governance Act (2024) Einleitung Rz 28 ff.</ref> behalten ihre jeweiligen Aufgaben und Befugnisse, wobei eine effektive Zusammenarbeit mit diesen sicherzustellen ist.

== Weiterführende Literatur ==

=== Einführungsbücher ===

* ''Knyrim'', DGA - Data Governance Act (2023).
* ''Schreiber/Pommerening/Schoel'', Der neue Data Act (DA) mit Data Governance Act (DGA)2 (2024).
* ''Schreiber/Pommerening/Schoel'', New Data Governance Act. A Practitioner's Guide (2023).
* ''Steinrötter'' (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
* ''Steinrötter/Heinze/Denga'' (Hrsg), EU Platform Regulation. A Handbook (2025).

=== Kommentare ===

* ''Paschke/Rücker'', Data Governance Act: DGA (2024).
* ''Specht-Riemenschneider/Hennemann'', Data Governance Act (2025).
* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht49 (2024).

== Weiterführende Links ==

* ''Europäische Kommission,'' Daten-Governance-Gesetz erläutert, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act-explained (Stand 11.10.2024).
* ''Europäische Kommission'', Europäisches Daten-Governance-Gesetz, https://digital-strategy.ec.europa.eu/de/policies/data-governance-act (abgerufen am 24.1.2025).
* ''Bundeskanzleramt Österreich'', Der europäische Weg für eine starke Datenwirtschaft, https://www.digitalaustria.gv.at/Themen/Daten.html (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Praktischer Leitfaden zum Daten-Governance-Gesetz, https://ec.europa.eu/newsroom/dae/redirection/document/108539 (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Register der Datenvermittlungsdienste, https://digital-strategy.ec.europa.eu/de/policies/data-intermediary-services (abgerufen am 24.1.2025).
* ''Europäische Kommission,'' European data: Das offizielle Portal für Daten zu Europa, https://data.europa.eu/data/datasets?locale=en (abgerufen am 24.1.2025).
* ''Europäische Kommission'', Liste der zuständigen nationalen Stellen und Behörden, https://ec.europa.eu/newsroom/dae/redirection/document/98966 (Stand 8.1.2025).
* ''International Data Spaces Association (IDSA)'', Data Spaces Radar, https://www.dataspaces-radar.org/radar/ (abgerufen am 24.1.2025).

== Nachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:28:16Z

Georg.froewis: /* Einzelnachweise */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>Europäische Kommission, Arbeitsplan 2025-2030 für Ökodesign für nachhaltige Produkte und für die Energieverbrauchskennzeichnung, https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref>Europäische Kommission, Entwurf einer delegierten Verordnung - Ares(2025)5207942, https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:23:37Z

Georg.froewis: /* Anwendungsbereich (Art 1 ESPR) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref>https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:22:32Z

Georg.froewis: /* Anwendungsbereich (Art 1 ESPR) */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref> Außerdem ist ein Entwuf für einen Rechtsakt in Arbeit, der konkretisieren soll, für welche unverkauften Produkte Ausnahmen hinsichtlich Recyclings bestehen.<ref>https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/14591-Nachhaltige-Produkte-Ausnahmen-vom-Verbot-der-Vernichtung-unverkaufter-Bekleidung-und-Schuhe_de.</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:12:29Z

Georg.froewis: /* Einführung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:09:08Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 wurde veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2023), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T20:00:20Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 wurde veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.
* Europäische Kommission, Ecodesign for Sustainable Products Regulation (ESPR): Frequently Asked Questions (FAQ) (2024), [https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf? https://www.europen-packaging.eu/wp-content/uploads/2024/10/ESPR-FAQ-V1_25_09_2024_final-2.pdf?].

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T19:48:21Z

Georg.froewis: /* Einführung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Im April 2025 wurde ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 wurde veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T19:47:50Z

Georg.froewis: /* Einführung */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>

Ein Arbeitsplan basierend auf der ESPR für den Zeitraum 2025-2030 wurde veröffentlicht.<ref>https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:52025DC0187.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T19:43:24Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).
* Beschluss (EU) 2024/2779 der Kommission vom 24. Oktober 2024 zur Einsetzung der Sachverständigengruppe für Ökodesign für nachhaltige Produkte und Energieverbrauchskennzeichnung (Ökodesign-Forum), https://eur-lex.europa.eu/eli/dec/2024/2779/oj.

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T19:22:37Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.

Die Kommission hat am 16. April 2025 einen Arbeitsplan zur ESPR veröffentlicht.<ref>[https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en https://environment.ec.europa.eu/document/5f7ff5e2-ebe9-4bd4-a139-db881bd6398f_en].</ref>
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 29. 9. 2025).

== Einzelnachweise ==

Ecodesign for Sustainable Products Regulation (ESPR)

2025-11-19T12:20:01Z

Georg.froewis: /* Weiterführende Links */

{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2024|Nummer=1781|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2024/1781 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Schaffung eines Rahmens für die Festlegung von Ökodesign-Anforderungen für nachhaltige Produkte, zur Änderung der Richtlinie (EU) 2020/1828 und der Verordnung (EU) 2023/1542 und zur Aufhebung der Richtlinie 2009/125/EG|Kurztitel=Ecodesign for Sustainable Products Regulation/Ökodesign-Verordnung|Bezeichnung=ESPR|Rechtsmaterie=Umweltrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2024/1781, 1|Anzuwenden=31. Dezember 2026/2030 (mit Ausnahmen/Übergangsbestimmungen)|Gültig=inkraft}}

{{TOC limit}}

== Kurzübersicht ==
{| class="wikitable"
|+
!Ziele
!Anwendungsbereich
!Inhalte
|-
|Rahmen für Ökodesign-Anforderungen
|alle physischen Waren (einschließlich von Bauteilen, Zwischenprodukten)
|Ökodesign-Anforderungen (Leistungs- und Informationsanforderungen)
|-
|Verbesserung der ökologischen Nachhaltigkeit von Produkten
|Ausnahmen: Lebensmittel, Futtermittel, Arzneimittel, Tierarzneimittel, lebende Pflanzen, Tiere und Mikroorganismen, Erzeugnisse menschlichen Ursprungs, Fahrzeuge
|Digitaler Produktpass (produktspezifischen Datensatz)
|-
|Einführung eines digitalen Produktpasses
|
|Etiketten
|-
|verbindliche Anforderungen für umweltorientierte Vergabe
|
|Priorisierung, Planung und Konsultation
|-
|Verbot der Vernichtung von unverkauften Verbrauchsprodukten
|
|Vernichtung unverkaufter Verbraucherprodukte
|}

== Einführung ==
Die ESPR will einen Rahmen für die Festlegung von '''Ökodesign-Anforderungen'''<ref>Ökodesign-Anforderung wird definiert als "eine Leistungs- oder Informationsanforderung, die darauf abzielt, ein Produkt, einschließlich der Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden, ökologisch nachhaltiger zu gestalten" (Art 2 Z 7 Ökodesign-VO).</ref> für Produkte schaffen, um so ihre ökologische Nachhaltigkeit zu verbessern, damit nachhaltige Produkte zu Norm werden, der CO2-Fußabdruck und Umweltfußabdruck verringert wird und der freie Verkehr mit diesen Produkten sichergestellt wird (Art 1 Abs 1 ESPR).

Die ESPR ist damit ein wichtiger Grundpfeiler für den '''Circular economy action plan''' (CEAP) der EU, der wiederum Teil des "European Green Deal",<ref>''European Commission'', Circular economy action plan, https://environment.ec.europa.eu/strategy/circular-economy-action-plan_en.</ref> dh Europas Strategie für nachhaltiges Wachstum (ErwGr 1 ESPR), ist.

Gerade derzeitige Produktionsverfahren und Verbrauchsmuster wären nach wie vor zu linear und müssten zu einem '''Kreislaufwirtschaftsmodell''' umgestellt werden (ErwGr 1 ESPR). Dafür sei ein voll funktionsfähiger Binnenmarkt für nachhaltige Produkte eine Voraussetzung (ErwGr 3 ESPR).

Sekundär werden

* ein digitaler '''Produktpass''' eingeführt
* verbindliche Anforderungen für die '''umweltorientierte Vergabe''' öffentlicher Aufträge eingeführt
* ein Rahmen geschaffen, um zu verhindern, dass '''unverkaufte Verbrauchsprodukte''' vernichtet werden.
Ökodesign wird als "die Einbeziehung von Erwägungen der ökologischen Nachhaltigkeit in die Merkmale eines Produkts und die Prozesse, die entlang der gesamten Wertschöpfungskette des Produkts stattfinden" definiert (Art 2 Z 6 ESPR).

Ein einführendes Video, dass den Inhalt der ESPR zusammenfasst, findet sich auf der Seite der Kommission.<ref>''European Commission'', Ecodesign for Sustainable Products Regulation, https://commission.europa.eu/energy-climate-change-environment/standards-tools-and-labels/products-labelling-rules-and-requirements/ecodesign-sustainable-products-regulation_en.</ref>
{| class="wikitable"
|+
!HInweis
|-
|Der ESPR legt primär den (ersten) Grundstein für eine nachgelagerte Implementierung über delegierte Rechtsakte. Diese werden die Anforderungen produktspezifisch oder horizontal festlegen. Die Prioritäten werden dabei im "ESPR Working Plan" festgelegt werden.<ref>''European Commission'', Implementing the Ecodesign for Sustainable Products Regulation, https://green-business.ec.europa.eu/implementing-ecodesign-sustainable-products-regulation_en.</ref>
|}
[[Datei:ESPR Framework Legislation.png|zentriert|mini|594x594px|Die Rolle des ESPR als Grundstein für nachgelagerte Implementierung. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Bearbeitungshinweis ===
Die folgenden Ausführungen geben '''keinen vollständigen Überblick''' über die ESPR, sondern konzentrieren sich im Sinne der Ausrichtung von ATLAWS auf Digitalisierungsrechakte insbesondere auf den digitalen Produktpass (Art 9-15 ESPR) in Verbindung mit dem Anwendungsbereich (Art 1 ESPR) und Informationen zu den Ökodesign-Anforderungen (Art 4-8 ESPR), die für das Verständnis des Produktpasses notwendig sind.

Dabei enthält die ESPR jedoch noch eine Reihe von weiteren Abschnitten und Inhalten, bspw zu Governance durch Behörden, zum Konformitätsbewertungsverfahren sowie zur Regulierung/zum Verbot der Vernichtung unverkaufter Verbraucherprodukte, die in in dieser Ausarbeitung nicht näher erläutert werden. Die in dieser Ausarbeitung bearbeiteten Abschnitte (Art 1-15) sind in der folgenden strukturellen Übersicht über den gesamten Inhalt der ESPR '''fett hervorgehoben''':

* '''Allgemeine Bestimmungen (Art 1-3 ESPR)'''
* '''Ökodesign-Anforderungen (Art 4-8 ESPR)'''
* '''Digitaler Produktpass (Art 9-15 ESPR)'''
* Etiketten (Art 16-17 ESPR)
* Priorisierung, Planung und Konsultation (Art 18-22 ESPR)
* Vernichtung unverkaufter Verbraucherprodukte (Art 23-26 ESPR)
* Pflichten der Wirtschaftsteilnehmer (Art 27-38 ESPR)
* Produktkonformität (Art 39-47 ESPR)
* Notifizierung von Konformitätsbewertungsstellen (Art 48-63 ESPR)
* Anreize (Art 64-65 ESPR)
* Marktüberwachung (Art 66-68 ESPR)
* Schlutzklauselverfahren (Art 69-71 ESPR)
* Übertragene Befugnisse und Ausschussverfahren (Art 72-73 ESPR)
* Schlussbestimmungen (Art 74-80 ESPR)

== Anwendungsbereich (Art 1 ESPR) ==
Die ESPR gilt für '''alle physischen Waren''', die in Verkehr gebracht<ref>"Inverkehrbringen" bezeichnet "die erstmalige Bereitstellung eines Produkts auf dem Unionsmarkt" (Art 2 Z 40 ESPR).

„Bereitstellung auf dem Markt“ bezeichnet "jede entgeltliche oder unentgeltliche Abgabe eines Produkts zum Vertrieb, Verbrauch oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit" (Art 2 Z 39 ESPR).</ref> oder in Betrieb genommen werden,<ref>"Inbetriebnahme" bezeichnet "die erstmalige bestimmungsgemäße Verwendung eines Produkts in der Union" (Art 2 Z 41 Ökodesign-VO).</ref> einschließlich von Bauteilen (zB Reifen)<ref>Ein Produkt, das zum Einbau in ein anderes Produkt bestimmt ist (Art 2 Z 2 ESPR).</ref> und Zwischenprodukten<ref>Ein Produkt, das einer weiteren Handhabung oder Verarbeitung bedarf, um es für Endnutzer geeignet zu machen (Art 2 Z 3 ESPR).</ref> (Art 1 Abs 2 ESPR).

'''Ausnahmen''' bestehen für

* Lebensmittel
* Futtermittel
* Arzneimittel
* Tierarzneimittel
* lebende Pflanzen, Tiere und Mikroorganismen
* Erzeugnisse menschlichen Ursprungs
* Erzeugnisse von Pflanzen und Tieren, die unmittelbar mit ihrer künftigen Reproduktion zusammenhängen
* Fahrzeuge<ref>Mit Ausnahme von Elektrofahrrädern und Elektrorollern (ErwGr 13 ESPR).</ref>
Auch '''digitale Inhalte''', die integraler Bestandteil eines physischen Produktes sind, werden in den Anwendungsbereich aufgenommen (ErwGr 13 ESPR).

In Hinblick auf den '''zeitlichen Anwendungsbereich''' treten ESPR-Anforderungen an Produkte 2027 in Kraft, während erste delegierte Rechtsakte zum Produktpass Ende 2025 zu erwarten sind.
[[Datei:Time Line ESPR.png|zentriert|mini|682x682px|Zeitstrahl ESPR. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

== Zentrale Inhalte ==

=== Ökodesign-Anforderungen (Art 3-8 ESPR) ===

==== Allgemeines ====
Produkte dürfen dabei nur in Verkehr gebracht oder in Betrieb genommen werden, wenn sie die geltenden '''Ökodesign-Anforderungen''' erfüllen. Diese werden durch delegierte Rechtsakte gemäß Art 4 ESPR festgelegt (Art 3 Abs 1 ESPR). Die Anforderungen lassen sich dabei in '''Leistungsanforderungen''' und '''Informationsanforderungen''' unterscheiden (Art 5 Abs 9 ESPR).

Die Befugnis zur Erlassung von '''delegierten Rechtsakten''' liegt dabei bei der Kommission (Art 4 Abs 1 ESPR). In der Regel sollen die Anforderungen für '''spezifische Produktgruppen''' wie Haushaltswaschmaschinen und Haushaltswaschtrockner gelten, wobei auch '''horizontale Ökodesign-Anforderungen''' für umfassendere Produktgruppen wie elektronische Geräte möglich sind (ErwGr 15 ESPR).

Es besteht die Möglichkeit, festzulegen, dass für bestimmte Produktparameter '''keine Leistungsanforderungen oder keine Informationsanforderungen''' bzw weder Leistungs- noch Informationsanforderungen festzulegen sind, wenn sich eine Anforderung in Bezug auf diese spezifischen Produktparameter negativ auf die für die betroffene Produktgruppe in Erwägung gezogenen Ökodesign-Anforderungen auswirken würde (Art 4 Abs 2 ESPR, vgl mit Beispielen ErwGr 19 ESPR).

Dabei ist den Wirtschaftsteilnehmern genügend Zeit zur Erfüllung der Ökodesign-Anforderungen einzuräumen und insbesondere den Bedürfnissen von KMU Rechnung zu tragen (Art 4 Abs 4 ESPR). Bei Besonderheiten von Produktgruppen können auch '''zusätzliche Anforderungen''' durch delegierte Rechtsakte normiert werden (Art 4 Abs 6 ESPR).

Die '''Mindestinhalte''' der delegierten Rechtsakte werden dabei in Art 8 ESPR festgelegt (bspw Definition der erfassten Produktgruppen, Ökodesign-Anforderungen, Prüf-, Mess- oder Berechnungsnormen oder -methoden).

Die Ökodesign-Anforderungen in den delegierten Rechtsakten müssen auf der Grundlage von in Anhang I genannten Produktparametern so gestaltet sein, dass sie in Art 5 Abs 1 ESPR gelistete '''Produktaspekte''' (bspw Nachrüstbarkeit, Reparierbarkeit, Energieverbrauch, Umweltauswirkungen) verbessern.

Anhang I ESPR listet dabei '''Produktparameter''', dh Parameter, die als Grundlage für die Verbesserung der Produktaspekte herangezogen und bei Bedarf ergänzt werden können, bspw:

* Indikatoren für Funktionsbeständigkeit und Zuverlässigkeit des Produkts oder seiner Bauteile: garantierte Lebensdauer des Produkts [...]
* Indikatoren für einfache Reparatur und Wartung: Merkmale, Verfügbarkeit, Lieferzeit und Erschwinglichkeit von Ersatzteilen [...]
Im Wege der Ökodesign-Anforderungen und der in Anhang I genannten Produktparameter soll sichergestellt werden, dass Produkte '''nicht vorzeitig obsolet''' werden (Art 5 Abs 2 ESPR).

Anforderungen werden prinzipiell jeweils für bestimmte Produktgruppen festgelegt, wobei bspw bei Ähnlichkeiten von Produktgruppen horizontale Anforderungen möglich sind (Art 5 Abs 4, 6-8 ESPR).

Ökodesign-Anforderungen müssen in Art 5 Abs 11 ESPR genannte '''Kriterien''' erfüllen (zB darf es zu keinen nennenswerten nachteiligen Auswirkungen auf die Funktionsweise des Produktes oder für die Verbraucher in Bezug auf die Erschwinglichkeit kommen).
[[Datei:Ökodesign-Anforderungen.png|zentriert|mini|469x469px|Ökodesign-Anforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

==== Leistungsanforderungen (Art 6 ESPR) ====
Produkte müssen einerseits Leistungsanforderungen erfüllen, die in delegierten Rechtsakten gemäß Art 4 ESPR festgelegt sind (Art 6 Abs 1 ESPR).

Die Leistungsanforderungen, die wiederum auf den Produktparametern nach Anhang I ESPR beruhen, umfassen (gegebenenfalls) (Art 6 Abs 1 ESPR):

* '''Mindest- oder Höchstwerte''' (in Bezug auf einen/mehrere Produktparameter)
* '''nicht quantitative Anforderungen''' zur Verbesserungen der Leistung (in Bezug auf einen/mehrere Produktparameter) (zB das Verbot einer spezifischen technischen Lösung, die sich nachteilig auf die Reparierbarkeit auswirkt, ErwGr 24 ESPR)

==== Informationsanforderungen (Art 7 ESPR) ====
Neben Leistungsanforderungen müssen Produkte auch '''Informationsanforderungen''' erfüllen, die ebenfalls in delegierten Rechtsakten gem Art 5 ESPR festgelegt sind (Art 7 Abs 1 ESPR, ErwGr 28 ESPR).

Diese Anforderungen müssen '''mindestens'''

* Anforderungen in Bezug auf den digitalen Produktpass und
* Anforderungen in Beug auf besorgniserregende Stoffe

umfassen und klar, leicht verständlich und auf die besonderen Merkmale der betreffenden Produktgruppe sowie vorgesehenen Empfänger zugeschnitten (Art 7 Abs 2 ESPR).

Gegebenenfalls müssen auch '''weitere Informationen''' über die Leistung des Produkts, für Kunden und andere Akteure über die Installation, Nutzung, Wartung und Reparatur, etc beigefügt werden (Art 7 Abs 2 lit b ESPR).

Die Kommission kann bei Informationen über die Leistung des Produktes '''Leistungsklassen''' festlegen (Art 7 Abs 4 ESPR).

Die Informationsanforderungen sollen dabei auch die '''Rückverfolgung von besorgniserregenden Stoffen''' ermöglichen (Art 7 Abs 5 ESPR).

In den Informationsanforderungen ist auch anzugeben, wie die Informationen zur Verfügung zu stellen sind. Diese sind primär, wenn verfügbar, im digitalen Produktpass anzugeben und erforderlichenfalls auch auf andere Art (auf dem Produkt selbst, auf der Verpackung, auf dem Etikett, in der Bedienungsanleitung, kostenfrei auf der Website) bereitzustellen (Art 7 Abs 7 ESPR).

Die Informationen müssen in einer Sprache zur Verfügung gestellt werden, die von den Kunden '''leicht verstanden''' werden kann. Die Sprache wird vom MS festgelegt, auf dessen Markt das Produkt bereitgestellt in dem es in in Betrieb genommen werden soll (Art 7 Abs 8 ESPR).
[[Datei:Informations- und Leistungsanforderungen ESPR.png|zentriert|mini|513x513px|Informations- und Leistungsanforderungen. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf.]]

=== Digitaler Produktpass (Art 9-15 ESPR) ===

==== Allgemeines (Art 9 ESPR) ====
Als eine sog Informationsanforderung sieht die ESPR vor, dass Produkte nur in Verkehr gebracht oder in Betrieb genommen werden dürfen, wenn ein digitaler Produktpass verfügbar ist (Art 9 Abs 1 ESPR).

Dieser ist ein wichtiges digitales Instrument, um Informationen für Akteure '''entlang der gesamten Wertschöpfungskette''' bereitzustellen und soll die Rückverfolgbarkeit eines Produktes erheblich verbessern. Ein Kunde soll dadurch in der Lage sein, fundierte Entscheidungen zu treffen (ErwGr 32 ESPR).

Der Begriff digitaler Produktpass bezeichnet dabei "einen produktspezifischen Datensatz", Informationen enthält, die durch delegierten Rechtsakt festgelegt werden und der elektronisch über einen Datenträger<ref name=":0">"Datenträger" bezeichnet "einen Strichcode, ein zweidimensionales Symbol oder ein anderes automatisches Datenerfassungsmedium, das von einem Gerät gelesen werden kann" (Art 2 Z 29 ESPR). ZB ein Wasserzeichen oder ein QR-Code (ErwGr 37 ESPR).</ref> zugänglich ist (Art 2 Z 28 ESPR).

Dieser Produktpass muss in Einklang mit den erlassenen '''delegierten Rechtsakten''' nach Art 4, 10, 11 ESPR sein.

Die Daten im Produktpass müssen dabei '''richtig''', '''vollständig''' und auf dem '''neuesten Stand''' sein.

Die konkrete Anforderungen an den Produktpass werden dabei durch delegierte Rechtsakte festgelegt.

Art 9 Abs 2 ESPR gibt hier, abhängig von der Produktgruppe, '''Mindestanforderungen''' vor. '''Anhang III''' ESPR listet dabei Daten, die im Wege von delegierten Rechtsakten in den digitalen Produktpass aufgenommen werden können.

Dadurch soll sichergestellt werden, dass die Akteure auf für sie relevante Produktinformationen umstandslos zugreifen und diese verstehen können, die Überprüfbarkeit der Produktkonformität durch die zuständigen nationalen Behörden erleichtert werde und die Rückverfolgbarkeit von Produkten entlang der Wertschöpfungskette verbessert werden (Art 9 Abs 3 ESPR).

Die Kommission kann dabei bestimmte Produktgruppe von der Anforderung, einen digitalen Produktpass zu haben, '''ausnehmen''' (Art 9 Abs 4, ErwGr 35 ESPR).

==== Anforderungen an den digitalen Produktpass (Art 10 ESPR) ====

Art 10 Abs 1 ESPR nennt '''grundlegende Bedingungen''', die der Produktpass erfüllen muss. Er muss ua

* über einen Datenträger<ref name=":0" /> mit einer dauerhaften eindeutigen Produktkennung<ref name=":1">Dh "eine eindeutige Zeichenfolge zur Identifizierung eines Produkts, die auch einen Weblink zum digitalen Produktpass ermöglicht" (Art 2 Z 30 ESPR).</ref> verbunden sein
* der Datenträger muss auf dem Produkt, seiner Verpackung oder den dem Produkt beigefügten Unterlagen angebracht sein
* der Datenträger und die eindeutigen Produktkennungen müssen einer oder mehreren der in Anhang III Abs 2 ESPR genannten Normen oder gleichwertigen europäischen oder internationalen Normen entsprechen<ref>Diese Normen können gemäß Art 10 Abs 1 ESPR durch die Kommission im Wege von delegierten Rechtsakten angepasst werden.</ref>
* alle im digitalen Produktpass enthaltenen Daten müssen auf offenen Standards beruhen, die in einem interoperablen Format entwickelt wurden. Die Daten müssen gegebenenfalls maschinenlesbar, strukturiert und durchsuchbar sein und über ein offenes interoperables Datenaustauschnetz ohne Anbieterbindung übertragen werden können. Grundlegende Anforderungen werden neben Art 10 in Art 11 ESPR festgelegt.
* personenbezogene Daten, die sich auf Kunden beziehen, dürfen nicht ohne deren ausdrückliche Einwilligung im Einklang mit Art 6 DSGVO im Produktpass gespeichert werden
* die im Produktpass enthaltenen Daten beziehen sich auf das Produktmodell, die Produktcharge/den Artikel
* der Zugang zu den im Produktpass enthaltenen Informationen wird - im Einklang mit Art 10, 11 ESPR - durch delegierte Rechtsakte geregelt
Der '''Wirtschaftsteilnehmer''', der das Produkt in Verkehr bringt muss den Händlern und Anbietern von Online-Marktplätzen eine digitale Kopie des Datenträgers/die eindeutige Produktkennung bereitstellen, damit diese den Kunden zur Verfügung gestellt werden können (Art 10 Abs 3 ESPR).

Eine '''Sicherungskopie''' ist über einen unabhängigen Digitalproduktpass-Drittdienstleister zur Verfügung zu stellen (Art 10 Abs 4 ESPR).

==== Technische Gestaltung und Einsatz des digitalen Produktpasses (Art 11 ESPR) ====
Art 11 ESPR listet Anforderungen an die technische Gestaltung und den Einsatz des digitalen Produktpasses.

Die wichtigsten Anforderungen bestehen in Bezug auf

* Interoperabilität mit anderen digitalen Produktpässen (in Bezug auf die technischen, semantischen und organisatorischen Aspekte der Ende-zu-Ende-Kommunikation und der Datenübertragung)
* kostenloser und einfacher Zugang zum digitalen Produktpass (auf der Grundlage der jeweiligen Zugangsrechte der Akteure)
* Speicherung des digitalen Produktpasses (von dem für die Ausstellung verantwortlichen Wirtschaftsteilnehmer/unabhängigen Digitalproduktpass-Dienstleister<ref>Dh "eine natürliche oder juristische Person, die ein Dritter ist, die im Auftrag des Wirtschaftsteilnehmers, der das Produkt in Verkehr bringt oder in Betrieb nimmt, die digitalen Produktpassdaten für dieses Produkt verarbeitet, um diese Daten Wirtschaftsteilnehmern und anderen relevanten Akteuren zur Verfügung zu stellen, die nach [der ESPR] oder anderen Unionsvorschriften ein Recht auf Zugang zu diesen Daten haben" (Art 2 Z 32 ESPR).</ref>)
* Verfügbarkeit des digitalen Produktpasses über einen durch delegierten Rechtsakt festgelegten Zeitraum
* Einschränkung des Rechtes auf Eingabe, Änderung, Aktualisierung von Daten auf der Grundlage der Zugangsrechte
* Gewährleistung der Authentizität, Zuverlässigkeit und Integrität der Daten
* Gewährleistung eines hohen Maßes an Sicherheit und Privatsphäre, Vermeidung von Betrug
Bei Speicherung/Verarbeitung von einem '''Digitalproduktpass-Drittdienstleistern''', dürfen diese unabhängigen Digitalproduktpass-Drittdienstleister die Daten nicht verkaufen, wiederverwenden oder über das für die Erbringung der betreffenden Speicher- oder Verarbeitungsdienste erforderliche Maß hinaus verarbeiten.

Die '''Anforderungen an Digitalproduktpass-Dienstleister''' werden dabei durch die Kommission im Wege von delegierten Rechtsakten konkretisiert (zB Zertifizierungssystems). Auch zu Verfahren für die Ausstellung und Überprüfung der '''digitalen Zertifikate''' kann die Kommission Durchführungsrechtsakte erlassen.

==== Eindeutige Kennung (Art 12 ESPR) ====
Zunächst normiert Art 12 Abs 1 ESPR, dass die '''eindeutigen Kennungen''' '''der Wirtschaftsteilnehmer'''<ref>Nach Art 2 Z 31 ESPR ist die "<nowiki>''eindeutige Kennung des Wirtschaftsteilnehmers'</nowiki> eine eindeutige Zeichenfolge zur Identifizierung eines an der Wertschöpfungskette eines Produkts beteiligten Akteurs".</ref> (Anhang III Abs1 lit g und h) und die '''eindeutigen Kennungen der Einrichtungen'''<ref>Nach Art 2 Z 33 ESPR ist die "'eindeutige Kennung der Einrichtung' eine eindeutige Zeichenfolge zur Identifizierung von Standorten oder Gebäuden, die an der Wertschöpfungskette eines Produkts beteiligt sind oder von Akteuren genutzt werden, die an der Wertschöpfungskette eines Produkts beteiligt sind".</ref> (Anhang III Abs 1 lt i) den in Anhang III Abs 1 lit c und Anhang III Abs 2 '''genannten Normen'''<ref>"GTIN (Global Trade Identification Number) gemäß der Norm ISO/IEC 15459-6 der Internationalen Organisation für Normung bzw. der Internationalen Elektrotechnischen Kommission oder eine gleichwertige Kennung von Produkten oder Teilen davon"; "Datenträger, die in Buchstabe b genannte eindeutige Produktkennung, die unter den Buchstaben g, h und k genannten eindeutigen Kennungen der Wirtschaftsteilnehmer und die unter Buchstabe i genannten eindeutigen Kennungen der Einrichtungen müssen, soweit für die betreffenden Produkte relevant, den ISO/IEC-Normen 15459-1:2014, 15459-2:2015, 15459-3:2014, 15459-4:2014, 15459-5:2014 und 15459-6:2014 entsprechen".</ref> oder gleichwertigen europäischen oder internationalen Normen entsprechen müssen. Dies jedoch nur bis zu dem Zeitpunkt, bis die Fundstellen harmonisierter Normen im Amtsblatt der Europäischen Union veröffentlicht werden.

Steht noch keine eindeutige '''Kennung des Wirtschaftsteilnehmers''' (Anhang III Abs 1 lit h) zur Verfügung, so beantragt der Wirtschaftsteilnehmer, der den digitalen Produktpass ausstellt oder aktualisiert, im Namen des betreffenden Akteurs eine eindeutige Kennung des Wirtschaftsteilnehmers und übermittelt diesem Akteur vollständige Angaben zur eindeutigen Kennung des Wirtschaftsteilnehmers (Art 12 Abs 2 ESPR). Eine ähnliche Regulierung besteht in Bezug auf die '''eindeutige Kennung der Einrichtung''' (Anhang III Abs 1 lit i) (Art 12 Abs 3 ESPR).

Der Kommission wird dabei die Befugnis übertragen, delegierte Rechtsakte zu erlassen, um die ESPR diesbezüglich durch Vorschriften und Verfahren für das '''Lebenszyklusmanagement von Datenträgern''' und von '''eindeutigen Kennungen''' zu ergänzen (Art 12 Abs 4, 5 ESPR).

Bei der Festlegung bemüht sich die Kommission um die Sicherstellung von Interoperabilität, sie trägt den einschlägigen bestehenden technischen Lösungen und Standards Rechnung und stellt sicher, dass die Regeln und Verfahren so weit wie möglich technologieneutral bleiben (Art 12 Abs 6 ESPR).

==== Digitales Produktpassregister (Art 13 ESPR) ====
Die Kommission hat bis zum 19. Juli 2026 ein digitales Register zu erstellen, in dem '''mindestens die eindeutigen Produktkennungen'''<ref name=":1" /> auf sichere Weise gespeichert werden (Art 13 Abs 1 ESPR).<ref>Die Kommission verwaltet das Register und stellt die Verarbeitung im Einklang mit dem Rechtsvorschriften, insbesondere den Datenschutz, sicher.</ref>

Die '''weiteren Daten''', die im Register zu speichern sind, werden von der Kommission im Wege von delegierten Rechtsakten festgelegt (Art 13 Abs 2, ErwGr 41 ESPR).<ref>Zu berücksichtigen sind die ua die Notwendigkeit, die Überprüfung der '''Echtheit''' des digitalen Produktpasses zu ermöglichen, Relevanz für die Verbesserung der Marktüberwachungs- und Zollkontrollen und die Vermeidung eines unverhältnismäßigen Verwaltungsaufwandes.</ref>

Der Wirtschaftsteilnehmer, der das Produkt in Verkehr bringt oder in Betrieb nimmt, '''lädt dabei die Daten in das Register hoch''' (Art 13 Abs 4 ESPR), wobei dem Teilnehmer automatisch eine '''eindeutige Registrierungskennung''' übermittelt wird (Art 13 Abs 5 ESPR).<ref>Diese Mitteilung gilt nicht als Nachweis der Einhaltung der ESPR.</ref>

Die Kommission hat wiederum einen Durchführungsrechtsakt für die Durchführungsbestimmungen für das Register zu erlassen (Art 13 Abs 5 ESPR).

Dabei haben die '''Kommission, nationale Behörden und Zollbehörden''' Zugang zu diesem Register (Art 13 Abs 6 ESPR).

==== Webportal für Informationen im digitalen Produktpass (Art 14 ESPR) ====

Neben dem (nicht öffentlich zugänglichen) Register hat die Kommission ein '''öffentlich zugängliches Webportal''' zu erstellen, das es den Interessenträgern ermöglicht, die in digitalen Produktpässen enthaltenen Daten zu suchen und zu vergleichen (vgl ErwGr 42 ESPR).

==== Zollkontrollen im Zusammenhang mit dem digitalen Produktpass (Art 15 ESPR) ====

Beabsichtig eine Person ein Produkt, das unter einen delegierten Rechtsakt fällt (Art 4 ESPR) in das Zollverfahren „Überlassung zum zollrechtlich freien Verkehr“ zu überführen, so hat sie den Zollbehörden die eindeutige Registrierungskennung des Produktes zu übermitteln bzw zur Verfügung zu stellen (Art 15 Abs 1 ESPR) (siehe [[Ecodesign for Sustainable Products Regulation (ESPR)#Digitales Produktpassregister (Art 13 ESPR)|Digitales Produktpassregister]]).

Für die Überführung eines Produktes in den zollrechtlich freien Verkehr müssen die Behörden (mindestens) überprüfen, ob die eindeutige Registrierungskennung und der Warencode den im '''Register gespeicherten Daten entsprechen''' (Art 15 Abs 2 ESPR).<ref>Die Überprüfung erfolgt dabei elektronisch und automatisch über eine Verknüpfung.</ref>

Die Kommission verknüpft dabei das Register nach ESPR mit dem '''Single-Window-System der EU für den Austausch von Bescheinigungen im Zollbereich''' (EU CSW-CERTEX). Dadurch soll der automatische Informationsaustausch mit den nationalen Zollsystemen ermöglicht werden (Art 15 Abs 3, ErwGr 44 ESPR).

Die '''Kommission''' und die '''Zollbehörden''' können dabei die im digitalen Produktpass/Register enthaltenen Daten abrufen und verwenden (bspw für Risikomanagement, Zollkontrollen) (Art 15 Abs 4, ErwGr 45 ESPR).[[Datei:Designanforderungen Digitaler Produktpass.png|zentriert|mini|596x596px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>. ]]
[[Datei:Designelemente des Digitalen Produktpasses 2.png|zentriert|mini|598x598px|Zentrale Designelemente des Digitalen Produktpasses 1. ''European Commission'', Ecodesign for Sustainable Products Regulation (ESPR), <nowiki>https://commission.europa.eu/document/download/c5db3b9e-23ae-42c8-a50a-b549f20a377d_en?filename=2024_05_22_EC%20Presentation%20ESPR%20Webinar_final.pdf</nowiki>.]]

== Weiterführende Literatur ==

=== Einführungswerke ===

* ''Nusser/Fehse'' (Hrsg), Das neue Ökodesign-Recht. Ökodesign-Verordnung für nachhaltige Produkte (2024).

=== Kommentare ===

* ''Mittwoch/Weber'', Ökodesign-Verordnung für nachhaltige Produkte. ESPR (2025).

== Weiterführende Links ==

* ''Bundeskanzleramt'', Ökodesign-Verordnung tritt in Kraft, https://www.bundeskanzleramt.gv.at/themen/europa-aktuell/2024/07/oekodesign-verordnung-tritt-in-kraft.html (Stand 18. 7. 2024).
* ''Europäische Kommission. Vertretung in Deutschland'', Ökodesign-Verordnung: Neue Regeln für nachhaltige Produkte in Kraft, https://germany.representation.ec.europa.eu/news/okodesign-verordnung-neue-regeln-fur-nachhaltige-produkte-kraft-2024-07-19_de (Stand 19. Juli 2024).
*''Industrie 4.0'', Der Digitale Produktpass, https://plattformindustrie40.at/blog/2023/11/29/der-digitale-produktpass/.
*''Linde'', Am Punkt (Podcast) #210 – 3 Minuten Recht – Ökodesign-Verordnung, https://lindemedia.at/podcast/210-3-minuten-recht-oekodesign-verordnung (Stand 14. 8. 2024).
* ''Umwelt Bundesamt'', Neue Ökodesign-Verordnung für nachhaltige Produkte tritt in Kraft, https://www.umweltbundesamt.de/themen/neue-oekodesign-verordnung-fuer-nachhaltige (Stand 3. 7 . 2024).
* ''Spiegel/Rohrßen'', Die Ökodesign-Verordnung im Überblick, https://www.taylorwessing.com/de/insights-and-events/insights/2024/07/oekodesign-vo (Stand 25. 7. 2024).
* ''wbcsd'', The EU Digital Product Passport (Stand 24. 1. 2024), https://www.wbcsd.org/resources/the-eu-digital-product-passport/.
* ''WKO'', Die neue Ökodesign-Verordnung (ESPR), https://www.wko.at/energie/espr (Stand 8. 11. 2024).

== Einzelnachweise ==