Data Act (DA): Unterschied zwischen den Versionen

; Verordnung (EU) 2023/2854
Titel:	Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828
Kurztitel:	Data Act/Datenverordnung
Bezeichnung:; (nicht amtlich)	DA
Geltungsbereich:	EWR
Rechtsmaterie:	Wettbewerbsrecht
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	12. September 2025 (mit Ausnahmen)
Fundstelle:	ABl L 2023/2854, 1
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Regelung ist in Kraft getreten, aber noch nicht anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

← Zum vorherigen Versionsunterschied

VisuellWikitext

Aktuelle Version vom 26. Februar 2025, 19:32 Uhr

Kurzübersicht

Ziele	Kontext	Inhalt	Pflichten	Synergie	Konsequenzen bei Nichtumsetzung
Förderung des Datenbinnenmarktes	Datenräume; Internet der Dinge	Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU	Daten müssen leichter zugänglich und nutzbar gemacht werden	Kap III DGA für Datenvermittlungsdienste Kap IV DGA für datenaltruistische Organisationen	Innovationsdefizite Wettbewerbsnachteile Geldstrafen nach nationalem Recht Zivilrechtliche Ansprüche
Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation	Internet der Dinge	Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten	Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen	Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten Digitale Inhalte-RL^[1]	Geldstrafen nach nationalem Recht (Rückwirkung möglich) Zivilrechtliche Ansprüche
Vertragsfairness	B2B-Datennutzung	Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission	Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten	Wettbewerbsrecht Klausel-Richtlinie^[2]
Verbesserung der öffentlichen faktengestützten Entscheidungsfindung	Ausnahmesituationen von großem öffentlichem Belang	Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen	Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten	Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung^[3]	Mangelnde Effizienz Vertrauensverlust in die Verwaltung Geldstrafen nach nationalem Recht
Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs	Cloud-Dienste	Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten	Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern	Ergänzung^[4] der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO^[5]	Lock-in-Effekte Hemmung des Wettbewerbs Geldstrafen nach nationalem Recht Zivilrechtliche Ansprüche

Einleitung und Hintergrund

Der DA bildet zusammen mit dem DGA die erste Säule der europäischen Datenstrategie und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im Internet der Dinge (Internet of Things, IoT).^[6]

Der DA als Teil der ersten Säule der Datenstrategie - Research Institute CC BY 4.0

Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).

Internet der Dinge

Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).^[7]

Ziele des DA

Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):

Starke Fragmentierung von Informationen in Datensilos,
Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten,
fehlende Normen für die semantische und technische Interoperabilität,
Fehlen einheitlicher Verfahren für die Datenweitergabe,
Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

Anwendungsbereich und Definitionen

Sachlich

Unter Daten ist dem DA zufolge jede digitale Darstellung von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des DGA.

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für analoge Informationen (Art 4 Z 1 DSGVO).^[8]

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:^[9]


Kapitel	Inhalt	Daten
II	Datenweitergabe B2C und B2B	Daten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen. Das sind sämtliche Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber leicht verfügbar sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.^[10]
III	Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind	Alle Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden
IV	B2B - Missbräuchliche Vertragsklauseln	Alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden
V	Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit	Alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogene Daten
VI	Wechsel zwischen Datenverarbeitungsdiensten	Alle Daten und Dienste, die von Anbietern von Datenverarbeitungsdiensten verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
VII	Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld	Alle nicht-personenbezogenen Daten, die in der EU von Anbietern von Datenverarbeitungsdiensten gehalten werden

Personell


Person	Definition relevanter Tatbestandsmerkmale	Beispiel^[11]
Hersteller vernetzter Produkte	Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung generiert und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.	Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen^[12]
Anbieter verbundener Dienste	Ein verbundener Dienst ist ein digitaler Dienst, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen, Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung^[13]	Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.^[14]
Nutzer	Die natürliche oder juristische Person, die ein vernetztes Produkt besitzt, der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundene Dienste in Anspruch nimmt. Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.^[15] In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA). Der Begriff unterscheidet sich vom Begriff des Datennutzers nach dem DGA.	Privatperson, die ein Smart Auto least
Dateninhaber	Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)^[16] zu nutzen und bereitzustellen. Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.^[17]	Hersteller einer vernetzten Industriemaschine
Datenempfänger	Die natürliche oder juristische Person, der vom Dateninhaber Daten bereitgestellt werden, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein Unternehmer ist), und die nicht Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist.	Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union	Unter öffentlicher Stelle versteht man die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen	Gemeinden
Anbieter von Datenverarbeitungsdiensten	Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.^[18]	Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich Cloud- und Edge-Diensten
Kunde	Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen.	Ein Unternehmen, das einen Cloud-Dienst nutzt
Teilnehmer an Datenräumen	Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.	Betreiber eines Datenraums ("Data Space")
Anbieter von Anwendungen, die intelligente Verträge verwenden	Ein intelligenter Vertrag ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.


Beispiel^[20]
Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
Vernetztes Produkt	Kühlschrank
Verbundener Dienst	App
Dateninhaber	B, das Unternehmen, das den Kühlschrank hergestellt hat und D, das Unternehmen, das die App anbietet
Nutzer	A, Käuferin und Eigentümerin des Kühlschranks

Abgrenzungen

Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten tatsächlich stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.^[21]
Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.^[22]

Zeitlich

Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem 12. September 2025 anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.^[23]

Ausnahme: Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.^[24]

Örtlich

Der DA folgt dem Marktortprinzip, das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen Vertreter benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen Nutzer in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, wo die Daten gespeichert werden.^[25]

Zentrale Inhalte

Datenzugang und Datenverwendung (Kapitel II bis III)

Datenzugang und Datenverwendung nach dem DA - Research Institute CC BY 4.0

Dateninhabern kommt die technisch-faktische Herrschaft über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem Nutzern Zugriffsrechte gewährt werden.^[26] Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.^[27] Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung^[28] verpflichtet.^[29]

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Primär soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten^[30] und verbundenen Dienstdaten^[31], einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.^[32]

Transparenzverpflichtung (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.

Indirekter Zugang: Zugang auf Verlangen

Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

Nutzern (Art 4 DA),
Dritten nach Wahl des Nutzers (Drittzugangsanspruch, Art 5 DA)

Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann einfach, zB über ein Webportal, eingebracht werden.^[33] Es kann von folgenden Personen gestellt werden:

Nutzer,

einer Person, die im Namen eines Nutzers handelt.

Datenkategorien

Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur "ohne Weiteres verfügbare Daten" und Metadaten, die zur Auslegung und Nutzung der Daten erforderlich sind.

Daten sind "ohne Weiteres verfügbar" iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.^[34]

Vom Datenzugangsrecht nicht gedeckt sind im Übrigen Daten, die bei der Nutzung selbständiger Dienstleistungen (zB Social-Media- oder Cloud-Dienste) entstehen.^[35]

Verhältnis zwischen direktem und indirektem Zugang

Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.^[36]

Art der Zugangsgewährung

Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

gegenüber dem Nutzer unentgeltlich,
- vom Dritten kann hingegen ein Entgelt verlangt werden,
einfach,
sicher,
in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.

Beim indirekten Zugang ist dem Verlangen weiters auf folgende Weise nachzukommen:

unverzüglich,
soweit technisch durchführbar auf elektronischem Weg,
(falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen^[37] sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

Sicherheitsanforderungen

Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er die zuständige Behörde darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.^[38]

Schutz von Geschäftsgeheimnissen

Definition

Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:^[39]
Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;

sie sind von kommerziellem Wert, weil sie geheim sind;

sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person^[40], die die rechtmäßige Kontrolle über die Informationen besitzt.^[41]

Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:^[42]

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse^[43] unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht, kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die zuständige Behörde ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

Besonderheiten bei der Weitergabe personenbezogener Daten

Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als Einwilligung in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.^[44] Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der Nutzer als Verantwortlicher und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer gemeinsam mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.^[45] In beiden Fällen riskieren sie Geldbußen.

Anonymisierung/Pseudonymisierung: ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.^[46]

Rollenverteilung nach der DSGVO

Aufgrund der teilweise überlappenden Anwendung von DSGVO und DA kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.^[47]

Exkurs: Rollendefinitionen nach der DSGVO


Bestimmung	Rolle	Definition	Erklärung
Art 4 Z 1 DSGVO	Betroffene Person	Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.	Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
Art 4 Z 7 DSGVO	Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.^[48] Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.^[49]
Art 4 Z 7 DSGVO	Gemeinsam Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.^[50]

Rollenverteilung nach DA und DSGVO anhand eines Beispiels:^[51] Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.

Rechtsakt	E-Scooter-Fahrerin	E-Scooter-Sharing-Unternehmen	Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)	Hersteller der E-Scooter
DA	Nutzer	Nutzer	Datenempfänger	Dateninhaber
DSGVO	Betroffener	Gemeinsam Verantwortliche		Verantwortlicher

Pflichten gemeinsam Verantwortlicher

Gemeinsam Verantwortliche sind verpflichtet, eine Vereinbarung gem Art 26 DSGVO abzuschließen. Diese hat insbesondere zu beinhalten:

wer welche Verpflichtung nach der DSGVO erfüllt,
- insb was die Wahrnehmung der Betroffenenrechte angeht, und
- wer welchen Informationspflichten nachkommt,
die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

Datenverwendungsrechte und Nutzungsbeschränkungen

Dateninhaber

Für den Dateninhaber bestehen umfassende Nutzungs- und Weitergabeverbote^[52]: Insbesondere darf der Dateninhaber die Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)^[53] und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

Nutzer

Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung konkurrierender Produkte noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

Datenempfänger

Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

eines verbundenen Dienstes^[54] (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).

Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

Profiling: Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
Weitergabe von Daten an andere Dritte:
- Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
- Verbot der Weitergabe an "Torwächter" iSd DMA^[55]
Wettbewerbszwecke: Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
- Das Wettbewerbsverbot gilt jedoch nicht für Daten verbundener Dienste, da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

Bedingungen zur Datenbereitstellung: FRAND-Grundsätze

Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:

fair
- Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
angemessen
- keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers^[56]
nichtdiskriminierend
- gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür^[56]
transparent

Unzulässige Vertragsklauseln: Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV)

Art 13 DA definiert unabdingbare Grenzen in Bezug auf Nebenabreden, die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen einseitig auferlegt, sind für letzteres Unternehmen nicht bindend, wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.^[57]

Als "einseitig auferlegt" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines Widerspruchs.^[58] Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.


Kategorie^[59]	Allgemeines	Vertragsklausel
Generalklausel		Grobe Abweichung von der guten Geschäftspraxis Verstoß gegen das Gebot von Treu und Glauben
Schwarze Klauseln (Blacklist)	Keine Wertungsmöglichkeit	Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
Graue Klauseln (Greylist)	Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände	Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten^[60] Unternehmens Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann

Ausschluss der geltungserhaltenden Reduktion: Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im B2C-Bereich, also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL^[61] zur Anwendung.^[62]

B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V)

B2G-Datenzugang - Research Institute CC BY 4.0

Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

Öffentlicher Notstand (Art 15 Abs 1 lit a DA): Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands erforderlich sind und sie auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA): Zugang kann verlangt werden, wenn eine gesetzlich vorgesehene Aufgabe im öffentlichen Interesse vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch^[63] des Unternehmens.

Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der DGA noch die Open Data und PSI 2-RL kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

Pflichten für Anbieter von Datenverarbeitungsdiensten: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII)

Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit Kunden leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.^[64]

Anwendungsbereich:^[65]

Cloud-Computing-Dienste: Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.^[66]
- IaaS: Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
- PaaS: Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
- SaaS: Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
Edge-Computing-Dienste^[67]

Ausnahmen: Die Anforderungen dieses Abschnitts gelten nicht für

maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen^[68] auf die spezifischen Bedürfnisse eines einzelnen Kunden zugeschnitten sind;^[69]

Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.^[70]

In diesen Fällen sind jedoch Informationspflichten zu beachten.

Hosting-Dienste im engeren Sinn dürften von der Begrifflichkeit erst gar nicht erfasst sein.^[71]

Anwendungsfälle: Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:^[72]


Option	Szenario
Option 1	Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
Option 2	Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")^[73]
Option 3	Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel

Der Wechsel ist auf Verlangen^[74] des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.^[75]

Konkrete Pflichten der Anbieter

Vertragsgestaltung und Informationspflichten (Art 25, 26, 28 DA): Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit unverbindlichen Standardvertragsklauseln Anhaltspunkte für die Vertragsgestaltung geben.^[76]
Loyalitätspflicht (Art 27 DA): Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
Entgeltgestaltung (Art 29 DA): Sog Wechselentgelte^[77] für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten^[78], müssen schrittweise reduziert werden.^[79] Ab dem 12. 1. 2027 darf Kunden grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.^[80]
Technische Verpflichtungen (Art 30 DA): Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von PaaS- und SaaS-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und Kompatibilität sicherstellen. Bei IaaS-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen Kunden ihre Daten eigenständig übertragen können (Funktionsäquivalenz).^[81]
Interoperabilität: Die vorangehenden Bestimmungen werden um Vorgaben zur Interoperabilität in Kapitel VIII ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.

Internationaler Datentransfer

Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz nicht-personenbezogener Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:^[82]


	DSGVO	DA
Transfer	rechtmäßige und unrechtmäßige Übertragungen und Zugriffe	unrechtmäßige internationale Datenübertragungen oder Zugriffe
Daten	personenbezogene Daten	nicht personenbezogene Daten
Zugang	durch jedermann	staatlich

Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht ähnliche Bestimmungen vor.

Interoperabilität (Kapitel VIII)

In der Datenstrategie wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.^[83]

Definition

Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen (Art 2 Z 40 DA).

Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.^[84]

Interoperabilität in Datenräumen (Art 33)

Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen Transparenz gewährleisten. Dafür bedarf es Informationen über Folgendes:

Beschreibung von Daten und Metadaten: Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
Beschreibung der Standards: Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
Beschreibung der technischen Zugangsmechanismen: Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
Interoperabilität von Tools: Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie intelligenten Verträgen, ermöglicht wird.

Weitere Anforderungen in delegierten Rechtsakten

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.

Interoperabilität bei Datenverarbeitungsdiensten (Art 34 und Art 35)

Parallele Nutzung von Datenverarbeitungsdiensten

Bestimmte Anforderungen, die für den Wechsel von Datenverarbeitungsdiensten gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.^[85]

Kostenregelung: Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

Datenverarbeitungsdienste im Übrigen

Durch Spezifikationen der Kommission und Normen^[86] werden künftig folgende Aspekte geregelt:

die Transportinteroperabilität;
die Datenübertragbarkeit;
die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36)

Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

Definition

Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).

Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.^[87] Der Einsatz von Blockchain-Technologie bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.^[88] Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.^[89] Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.^[90]

Wesentliche Anforderungen


Anforderung	Erklärung
Robustheit und Zugangskontrolle	Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen. Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
Sichere Beendigung und Unterbrechung	Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
Datenarchivierung und Datenkontinuität	Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
Kohärenz	Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.

Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

Konformitätsbewertung und -vermutung

Der Anbieter eines Smart Contracts muss eine interne^[91] Konformitätsbewertung im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine EU-Konformitätserklärung auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.^[92]

Fallbeispiele

Dienste im Folgemarkt: Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

Auswirkungen auf Forschungsprojekte:^[93]

Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.^[94]

Entwicklung von KI-Technologien:

Datenräume, wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der KI-VO entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.^[95]

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an Hochrisiko-KI und GPAI nach der KI-VO, essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

Synergien

Daten Governance

Der DA ergänzt den DGA. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.^[96]

Sektorspezifische Datenräume

Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den Europäischen Gesundheitsdatenraum. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine Abwägung der konkreten Bestimmungen im Einzelfall vorzunehmen.^[97]

Datenschutz

Vorrangregelung

Unberührtheitsklausel:^[98] Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO ^[99], der Datenschutzverordnung für die Stellen der EU^[100], die ePrivacy-RL^[101], einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich Vorrang. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA ergänzt: Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher Rechtsunsicherheit führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.^[102]

Rechtsgrundlage für die Datenverarbeitung

Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.^[103]

Einhaltung datenschutzrechtlicher Grundsätze

Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog Privacy-Enhancing Technologies - PETs) können Risiken einschränken.^[104]

Datenportabilität

Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte ergänzen die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).^[105] Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.^[106]

Überblick über die Rechte im Vergleich:


	Datenzugangsrecht nach dem DA	Recht auf Datenportabilität nach der DSGVO
Zweck	Lock-in-Effekte reduzieren
Berechtigte	(geschäftliche und private) Nutzer	betroffene (natürliche) Personen
Empfänger	Nutzer oder Dritter (Datenempfänger)	Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
Art der Daten	(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete^[107] Daten	personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten^[108]
Weitere Voraussetzungen		Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
Format	umfassendes, strukturiertes, gängiges und maschinenlesbares Format; Übermittlung der Metadaten; soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit	strukturiertes, gängiges und maschinenlesbares Format;^[109] Übermittlung der Metadaten^[110]

Internationaler Datentransfer

DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.^[111]

Schutz von Geschäftsgeheimnissen

Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse^[112] sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch Einwendungsmöglichkeiten für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.^[113]

Datenbankherstellerrecht

Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL^[114] kann ein Dateninhaber nicht als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).^[115]

Digital Markets Act

Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.^[116] Um den Zielen des DA nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom Drittzugangsanspruch ausgeschlossen (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.^[117]

Durchsetzung

Zuständige Behörde

Die Zuständigkeit richtet sich nach nationalem Recht. Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als Datenkoordinator zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

Rechtsdurchsetzung und Sanktionen

Beschwerderecht

Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei der zuständigen Behörde einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der Datenkoordinator unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer zuständigen Behörde haben betroffene Personen gem Art 39 DA das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

Streitbeilegungsstelle

Die Mitgliedstaaten können Streitbeilegungsstellen benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab zustimmen.

Zivilgerichtliche Rechtsdurchsetzung

Die Ansprüche nach dem DA, insb Datenzugangsansprüche oder die Anforderungen an das Cloud-Switching, können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.^[118]

Sanktionen

Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch nationales Recht konkretisiert werden.^[119] Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen mit Rückwirkung sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

Art, Schwere, Umfang und Dauer des Verstoßes;
getroffene Maßnahmen zur Schadenbehebung und -minderung;
frühere Verstöße;
die finanziellen Vorteile, die durch den Verstoß erzielt hat;
sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, Geldstrafen nach der DSGVO zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).

EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)

Der Europäische Dateninnovationsrat (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

Mustervertragsklauseln der Kommission

Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

Bedingungen für eine angemessene Gegenleistung ,
Bedingungen für den Schutz von Geschäftsgeheimnissen,
Standardvertragsklauseln für Verträge über Cloud-Computing.

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.^[120]

Weiterführende Literatur

Einführende Werke

Hoeren/Pinelli, Data Law (2025, iE).
Hennemann/Ebner/Karsten, Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
Knyrim, DA - Data Act (2025).
Sattler/Zech (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
Schreiber/Pommerening/Schoel, Der neue Data Act² (2024).
Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare und Sammelbände

Augsberg/Gehring (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
Bomhard/Schmidt-Kessel, EU Data Act (2025, iE).
Czychowski/Lettl/Steinrötter, Data Act (2025, iE).
Paschke/Schumacher, EU Data Act (2025).
Specht/Hennemann, Data Act. Data Governance Act² (2025, iE).
Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (1. 8. 2024).

Weiterführende Links

Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).

Nachweise

↑ RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.
↑ RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.
↑ Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: DSA; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181.
↑ Art 1 Abs 7 DA.
↑ VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.
↑ ErwGr 14 DA.
↑ Hoeren/Pinelli, Data Law 23.
↑ Krit zum Verhältnis dieser Definitionen etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 2 Rz 11.
↑ Art 1 Abs 2 DA; Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).
↑ Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ ErwGr 17 DA.
↑ Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
↑ Wiedemann/Conrad/Salemi, Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.
↑ Europäische Kommission, Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 6 Rz 10 mwN.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’,https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Im Detail Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Schemmel in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 3 DA Rz 2.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 1.
↑ VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.
↑ Siehe zur Thematik etwa Wentzel/ Lutz, Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.
↑ Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA). Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).
↑ ErwGr 22 DA.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 10, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 91 mwN.
↑ Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.
↑ Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.
↑ Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 97.
↑ Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 86.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).
↑ Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).
↑ EuGH C‑25/17, Zeugen Jehovas, ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 70.
↑ Vgl Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).
↑ Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 20, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen.
↑ VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte), ABl L 2022/265, 1.
↑ ^56,0 ^56,1 Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 144.
↑ Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den FRAND-Bedingungen nach Art 8 Abs 1 DA, Schwamberger, Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 11.
↑ Siehe zum dreistufigen Ansatz etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 13 ff.
↑ Ie die Partei, der die Klausel einseitig auferlegt wurde.
↑ RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.
↑ Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 9.
↑ Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.
↑ ErwGr 78, 84 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 18 ff.
↑ ErwGr 81 DA; siehe zur Thematik auch Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten Förster, IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.
↑ So ErwGr 80 DA; diff Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 28 ff.
↑ Wohl mind 50%, Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 44.
↑ Art 31 Abs 1 DA.
↑ Art 31 Abs 2 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 27.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 3 ff.
↑ Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst zu einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind.
↑ Siehe dazu etwa ausführlicher Piltz/Zwerschke, Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 51.
↑ Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa Sattler, Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).
↑ Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.
↑ Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.
↑ Zur Thematik siehe etwa Lagoni, Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91.
↑ Art 34 Abs 2 DA, ErwGr 99 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 54 ff; Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.
↑ Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.
↑ Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 4.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 9.
↑ Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 41; Schmidt in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁵⁰ Art 35 DA Rz 19 (1. 8. 2024) .
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 13.
↑ Berberich in BeckOK DatenschutzR⁴⁹ DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 16.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 12 f.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 38.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 39.
↑ Straub/Bogenstahl, Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.
↑ ErwGr 49 DA.
↑ Siehe umfassend zur Thematik Data Spaces Support Centre (DSSC), Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
↑ Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
↑ Hoeren/Pinelli, Data Law 19.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 15 ff.
↑ VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
↑ VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.
↑ RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.
↑ Krit etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 19.
↑ Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).
↑ Siehe dazu die Empfehlungen in International Working Group on Data Protection in Technology, Working Paper on “Data Sharing” (6.12.2024) 9 ff; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 14, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe etwa zum Vergleich der beiden Rechtsinstrumente Knyrim/Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.
↑ Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind.
↑ Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.
↑ ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.
↑ Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 1.
↑ Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
↑ Krit Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 20.
↑ RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.
↑ Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.
↑ Hoeren/Pinelli, Data Law 19.
↑ Europäische Kommission, Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 9 Rz 41 ff.
↑ Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 22.

[1] RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.

[2] RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.

[3] Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: DSA; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181.

[4] Art 1 Abs 7 DA.

[5] VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.

[6] ErwGr 14 DA.

[7] Hoeren/Pinelli, Data Law 23.

[8] Krit zum Verhältnis dieser Definitionen etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 2 Rz 11.

[9] Art 1 Abs 2 DA; Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[10] Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[11] Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).

[12] Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[13] ErwGr 17 DA.

[14] Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[15] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).

[16] Wiedemann/Conrad/Salemi, Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.

[17] Europäische Kommission, Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[18] Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 6 Rz 10 mwN.

[19] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[20] Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[21] Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’,https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).

[22] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).

[23] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[24] Im Detail Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.

[25] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[26] Schemmel in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 3 DA Rz 2.

[27] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 1.

[28] VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.

[29] Siehe zur Thematik etwa Wentzel/ Lutz, Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.

[30] Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA). Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[31] Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).

[32] ErwGr 22 DA.

[33] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[34] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 10, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[35] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).

[36] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[37] Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.

[38] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 91 mwN.

[39] Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.

[40] Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.

[41] Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).

[42] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 97.

[43] Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.

[44] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.

[45] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.

[46] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 86.

[47] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).

[48] Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.

[49] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).

[50] EuGH C‑25/17, Zeugen Jehovas, ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 70.

[51] Vgl Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).

[52] Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).

[53] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 20, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[54] Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen.

[55] VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte), ABl L 2022/265, 1.

[:0-56] 56,0 ^56,1 Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 144.

[57] Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den FRAND-Bedingungen nach Art 8 Abs 1 DA, Schwamberger, Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).

[58] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 11.

[59] Siehe zum dreistufigen Ansatz etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 13 ff.

[60] Ie die Partei, der die Klausel einseitig auferlegt wurde.

[61] RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.

[62] Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 9.

[63] Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.

[64] ErwGr 78, 84 DA.

[65] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 18 ff.

[66] ErwGr 81 DA; siehe zur Thematik auch Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten Förster, IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.

[67] So ErwGr 80 DA; diff Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 28 ff.

[68] Wohl mind 50%, Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 44.

[69] Art 31 Abs 1 DA.

[70] Art 31 Abs 2 DA.

[71] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 27.

[72] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 3 ff.

[73] Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst zu einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind.

[74] Siehe dazu etwa ausführlicher Piltz/Zwerschke, Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).

[75] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 51.

[76] Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa Sattler, Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).

[77] Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.

[78] Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.

[79] Zur Thematik siehe etwa Lagoni, Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91.

[80] Art 34 Abs 2 DA, ErwGr 99 DA.

[81] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 54 ff; Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.

[82] Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.

[83] Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.

[84] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 4.

[85] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 9.

[86] Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 41; Schmidt in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁵⁰ Art 35 DA Rz 19 (1. 8. 2024) .

[87] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 13.

[88] Berberich in BeckOK DatenschutzR⁴⁹ DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.

[89] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 16.

[90] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 12 f.

[91] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 38.

[92] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 39.

[93] Straub/Bogenstahl, Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.

[94] ErwGr 49 DA.

[95] Siehe umfassend zur Thematik Data Spaces Support Centre (DSSC), Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).

[96] Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).

[97] Hoeren/Pinelli, Data Law 19.

[98] Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 15 ff.

[99] VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.

[100] VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.

[101] RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.

[102] Krit etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 19.

[103] Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).

[104] Siehe dazu die Empfehlungen in International Working Group on Data Protection in Technology, Working Paper on “Data Sharing” (6.12.2024) 9 ff; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[105] Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 14, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[106] Siehe etwa zum Vergleich der beiden Rechtsinstrumente Knyrim/Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.

[107] Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind.

[108] Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.

[109] ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.

[110] Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.

[111] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 1.

[112] Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.

[113] Krit Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 20.

[114] RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.

[115] Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.

[116] Hoeren/Pinelli, Data Law 19.

[117] Europäische Kommission, Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).

[118] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 9 Rz 41 ff.

[119] Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.

[120] Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 22.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

[93]

[94]

[95]

[96]

[97]

[98]

[99]

[100]

@@ Zeile 1: / Zeile 1: @@
-'''Langtitel:''' Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)
+{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=inkraft}}
-'''Kurztitel:''' Datenverordung, Data Act (DA)
+{{TOC limit}}
 == Kurzübersicht ==
 {| class="wikitable"
 !Ziele
-!Anwendungsbereich
+!Kontext
 !Inhalt
 !Pflichten
 !Synergie
-!Konsequenzen
+!Konsequenzen bei Nichtumsetzung
 |-
 |Förderung des Datenbinnenmarktes
-|Datenräume
+|Datenräume; Internet der Dinge
-|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU.
+|Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU
-|Unternehmen müssen Daten interoperabel und zugänglich machen.
+|Daten müssen leichter zugänglich und nutzbar gemacht werden
-|Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]; Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
 |
+* Kap III DGA für [[Data Governance Act (DGA)#Datenvermittlungsdienste (Kap III)|Datenvermittlungsdienste]]
+* Kap IV DGA für [[Data Governance Act (DGA)#Datenaltruistische Organisationen (Kap IV)|datenaltruistische Organisationen]]
+|
+* Innovationsdefizite
+* Wettbewerbsnachteile
+* Geldstrafen nach nationalem Recht
+* Zivilrechtliche Ansprüche
 |-
-|Gerechtere Verteilung des Wertes von Daten und mehr Kontrolle über die eigenen Daten
+|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
 |Internet der Dinge
-|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten.
+|Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
 |Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen
-|Ergänzt die Datenschutz-Grundverordnung (DSGVO) durch spezifische Regelungen für nicht-personenbezogene Daten.
+|
-|Geldstrafen nach nationalem Recht
+* Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität)  durch spezifische Regelungen für nicht-personenbezogene Daten
+* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
+| rowspan="2" |
+* Geldstrafen nach nationalem Recht (Rückwirkung möglich)
+* Zivilrechtliche Ansprüche
 |-
 |Vertragsfairness
 |B2B-Datennutzung
 |Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission
-|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten.
+|Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten
-|Unterstützt durch bestehende Verbraucherschutzgesetze und Wettbewerbsrecht.
 |
-* Geldstrafen nach nationalem Recht
+* Wettbewerbsrecht
-* Mögliche zivilrechtliche Ansprüche
+* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
 |-
 |Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
 |Ausnahmesituationen von großem öffentlichem Belang
-|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen.
+|Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
 |Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
+|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
 |
-|
+* Mangelnde Effizienz
+* Vertrauensverlust in die Verwaltung
+* Geldstrafen nach nationalem Recht
 |-
-|Stärkung des Vertrauens in Cloud-Infrastrukturen
+|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
 |Cloud-Dienste
-|Einführung von Maßnahmen zur Verbesserung der Sicherheit, Interoperabilität und Portabilität von Cloud-Diensten.
+|Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
-|Cloud-Anbieter müssen transparente Bedingungen bieten und den Wechsel zwischen Diensten erleichtern.
+|Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
-|
+|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
-|
-|-
-|Regelung von Smart Contracts
-|Smart Contracts über die Ausführung einer Datenbereitstellungsvereinbarung
-|Festlegung von Anforderungen an die Rechtssicherheit, Interoperabilität und Zuverlässigkeit von Smart Contracts.
-|Entwickler müssen sicherstellen, dass Smart Contracts bestimmten Standards entsprechen und überprüfbar sind.
-|
 |
+* Lock-in-Effekte
+* Hemmung des Wettbewerbs
+* Geldstrafen nach nationalem Recht
+* Zivilrechtliche Ansprüche
 |}
 == Einleitung und Hintergrund ==
-Der DA stellt gemeinsam mit dem Daten-Governance-Gesetz die zweite [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] dar. Bei beiden Rechtsakten handelt es sich um sektorübergreifende Rechtsvorschriften.
+Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
-[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie]]
+[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
-Gegenstand des DA sind Regeln für die Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, insbesondere bekannt im Kontext des [[Data Act (DA)#Internet der Dinge|Internets der Dinge (IoT)]].<ref>EG 14 DA.</ref>
+Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
-Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbrauchern (B2C) sowie Unternehmen und staatlichen Stellen (B2G). Im B2B-Bereich wird die Verhandlungsmacht zugunsten kleiner und mittlerer Unternehmen (KMU) neu ausbalanciert, indem diese vor missbräuchlichen Vertragsklauseln geschützt werden, die ihnen von Unternehmen mit größerer Verhandlungsstärke auferlegt werden könnten. Zudem enthält der DA Regelungen für den staatlichen Zugang zu Daten in außergewöhnlichen Umständen.
 === Internet der Dinge ===
-Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über die Leistung, Nutzung oder Umgebung dieser Produkte und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen.
+Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref>  [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
-Der DA ist weltweit das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll.<ref>''Hoeren/Pinelli'', Data Law 23.</ref> (EG 14 f)
 === Ziele des DA ===
-Der DA zielt darauf ab, Innovation zu fördern, indem er folgende Hürden abbaut, die Verbraucher*innen und Unternehmen den Zugang zu Daten erschweren:
+Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
+* Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
 * '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
 * '''Unsicherheiten in Bezug auf Rechte und Pflichten''' in Verbindung mit Daten,
-* Kosten der Auftragsvergabe in Bezug auf '''technische Schnittstellen''' und für deren Einrichtung,
-* starke '''Fragmentierung''' von Informationen in '''Datensilos''',
-* schlechte Verwaltung von '''Metadaten''',
 * fehlende Normen für die '''semantische und technische Interoperabilität''',
-* Engpässe beim Datenzugang,
 * Fehlen '''einheitlicher Verfahren''' für die Datenweitergabe,
 * '''Missbrauch vertraglicher Ungleichgewichte''' hinsichtlich Datenzugang und Datennutzung.
-*
-=== Datenräume ===
-Der DA spielt eine zentrale Rolle für die Gestaltung von Datenräumen, da er klare Regeln für den Zugang, die Nutzung und die Weitergabe von Daten definiert und somit die Grundlage für eine vertrauensvolle und rechtssichere Dateninfrastruktur schafft.
-Definition für Datenraum:<blockquote>"Ein verteiltes System, das durch einen Governance-Rahmen definiert ist und sichere sowie vertrauenswürdige Datentransaktionen zwischen Teilnehmenden ermöglicht, während Vertrauen und Datensouveränität unterstützt werden. Ein Datenraum wird durch eine oder mehrere Infrastrukturen umgesetzt und ermöglicht einen oder mehrere Anwendungsfälle."<ref>''Data Spaces Support Centre (DSSC)'', Glossary<sup>2.0</sup>, (27.9.2023), 8, https://dssc.eu/space/Glossary/176553985/DSSC+Glossary+%7C+Version+2.0+%7C+September+2023.
-</ref></blockquote>Datenräume werden von unterschiedlichen Akteur*innen genutzt. Beispiele für potenzielle Nutzer*innengruppen sind:<ref>Vgl ''Data Spaces Support Centre (DSSC)'', 1st collaborative discussion paper: Why data spaces? A business and user's perspective, (Oktober 2023), 12, https://dssc.eu/download/attachments/28049509/1st%20collaborative%20discussion%20paper%20Why%20data%20spaces%20A%20business%20and%20user%27s%20perspective.pdf.</ref>
-* '''Politische Entscheidungsträger*innen:''' Sie benötigen Zugang zu Daten, um fundierte Entscheidungen in gesellschaftlichen Angelegenheiten treffen zu können.
-* '''Private Unternehmen:''' Sie nutzen Daten, um interne Prozesse zu verbessern, Innovation voranzutreiben und branchenspezifische Herausforderungen zu bewältigen.
-* '''Forschungseinrichtungen:''' Sie greifen auf Daten zu, um wissenschaftliche Erkenntnisse zu gewinnen oder um KI-Modelle zu trainieren.
-==== Use Case: Training von KI-Modellen ====
-Datenräume bieten beispielsweise wesentliche Vorteile bei der Entwicklung und Implementierung von KI-Modellen und KI-Systemen:<ref>''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 51, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available  (Oktober 2024).</ref>
-* '''Zugang zu hochwertigen und vielfältigen Datensätzen:''' Datenräume bieten sichere und effiziente Rahmenbedingungen für den Datenaustausch und ermöglichen den Zugriff auf diverse, domänenspezifische Datensätze, einschließlich Industriedaten, die für die Entwicklung generativer KI entscheidend sind.
-* '''Förderung von Innovation und Kollaboration:''' Datenräume bieten eine Ökosystemperspektive, die Innovation, Zusammenarbeit und Partnerschaften zwischen den beteiligten Akteur*innen fördert und dadurch neue Geschäftsmöglichkeiten schafft.
-* '''Einhaltung gesetzlicher Vorgaben:''' Sie unterstützen die Einhaltung relevanter EU-Gesetze wie der Datenschutz-Grundverordnung (DSGVO) und des [[Artificial Intelligence Act (AIA)#Kurzübersicht|KI-Gesetzes (AI Act)]], wodurch Transparenz, Rechenschaftspflicht und rechtliche Konformität sichergestellt werden.
-* '''Förderung von Interoperabilität und Synergien:''' Durch die Nutzung standardisierter Ansätze ermöglichen Datenräume die Interoperabilität zwischen verschiedenen Domänen und fördern Synergien über Branchen hinweg.
-* '''Unterstützung von Governance- und Sicherheitsanforderungen:''' Sie schaffen Rahmenbedingungen, die Daten-Governance, den Schutz geistigen Eigentums und die Cybersicherheit berücksichtigen und umsetzen.
 == Anwendungsbereich und Definitionen ==
 === Sachlich ===
-[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA]]
+Unter Daten ist dem DA zufolge '''jede <u>digitale</u> Darstellung''' von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].
-Unter Daten ist dem DA zufolge '''jede digitale Darstellung''' von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material zu verstehen. Diese Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des [[Data Governance Act (DGA)#Sachlich|DGA]].
-DSGVO: Die DSGVO ist hingegen auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 2 Rz 11.</ref>
+Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für '''analoge''' Informationen (Art 4 Z 1 DSGVO).<ref>Krit zum Verhältnis dieser Definitionen etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 2 Rz 11.</ref>
-Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:<ref>Art 1 Abs 2 DA; ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
 {| class="wikitable"
 |+
@@ Zeile 120: / Zeile 99: @@
 |Datenweitergabe B2C und B2B
 |Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
-Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein.
+Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
-Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.
 |-
 |III
 |Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind
-|Alle '''Daten des Privatsektors''', die '''rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe''' unterliegen
+|Alle '''Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden'''
 |-
 |IV
@@ Zeile 134: / Zeile 111: @@
 |V
 |Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit
-|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogenen Daten
+|Alle '''Daten des Privatsektors''' mit Schwerpunkt auf nicht-personenbezogene Daten
 |-
 |VI
 |Wechsel zwischen Datenverarbeitungsdiensten
-|Alle '''von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste'''
+|Alle '''Daten und Dienste, die''' '''von Anbietern von Datenverarbeitungsdiensten''' verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
 |-
 |VII
 |Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld
-|Alle '''nicht-personenbezogenen Daten''', die in der Union '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
+|Alle '''nicht-personenbezogenen Daten''', die in der EU '''von Anbietern von Datenverarbeitungsdiensten gehalten''' werden
 |}
 === Personell ===
@@ Zeile 148: / Zeile 125: @@
 |+
 !Person
-!Definition relevanter Merkmale
+!Definition relevanter Tatbestandsmerkmale
-!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).</ref>
 |-
 |
@@ Zeile 157: / Zeile 134: @@
 * der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
 * dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
-Auch "Second Hand"-Produkte sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 9, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</ref>
+|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
-|Vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte, Flugzeuge, Roboter, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
 |-
 |
@@ Zeile 165: / Zeile 141: @@
 * der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
 * der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
-* bei dem es sich '''nicht''' um einen elektronischen Kommunikationsdienst handelt.
+Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
-|Eine Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
 |-
 |
 ==== Nutzer ====
-|Die (natürliche oder juristische) Person, die
+|Die natürliche oder juristische Person,
-* ein vernetztes Produkt besitzt oder
+* die ein vernetztes Produkt besitzt,
 * der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
-* die verbundenen Dienste in Anspruch nimmt.
+* die verbundene Dienste in Anspruch nimmt.
 Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>
-In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben. (EG 21 DA)
+In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).
+Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
 |Privatperson, die ein Smart Auto least
 |-
 |
 ==== Dateninhaber ====
-|Die Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.
+|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
-Dateninhaber ist die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller der Hardware oder Software sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref>
+Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
 |Hersteller einer vernetzten Industriemaschine
 |-
 |
 ==== Datenempfänger ====
-|Die Person,
+|Die natürliche oder juristische Person,
 * der vom Dateninhaber Daten bereitgestellt werden,
-* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt,
+* die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein '''Unternehmer''' ist), und
 * '''die nicht [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]]''' eines vernetzten Produktes oder verbundenen Dienstes ist.
-|Dienstleister für den Aftermarkt, etwa Reparatur- und Wartungsdienstleister
+|Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
 |-
 |
 ==== Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union ====
-|Unter öffentlichen Stellen versteht man
+|Unter '''öffentlicher Stelle''' versteht man
 * die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder
 * Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
+|Gemeinden
+|-
 |
+==== Anbieter von Datenverarbeitungsdiensten ====
+|Ein '''Datenverarbeitungsdienst''' ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.<ref>Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 6 Rz 10 mwN. </ref>
+|Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich '''Cloud- und Edge-Diensten'''
 |-
 |
-==== Anbieter von Datenverarbeitungsdiensten ====
+==== Kunde ====
-|Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einen Netzzugang zu einem gemeinsam genutzten Pool an Rechenressourcen ermöglicht.
+|Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere '''Datenverarbeitungsdienste''' in Anspruch zu nehmen.
-|Netzwerke, Software, Server oder andere virtuelle odern physische Infrastruktur, einschließlich '''Cloud- und Edge-Dienste'''
+|Ein Unternehmen, das einen Cloud-Dienst nutzt
 |-
 |
 ==== Teilnehmer an Datenräumen ====
-|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten
+|Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.
-|
+|Betreiber eines Datenraums ("Data Space")
 |-
 |
 ==== Anbieter von Anwendungen, die intelligente Verträge verwenden ====
-|Ein intelligenter Vertrag ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
+|Ein '''intelligenter Vertrag''' ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.
 |
 |}
+[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
 {| class="wikitable"
 |+
-!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
-!Eine Privatperson kauft einen vernetzten ("smarten") Kühlschrank. Sie lädt eine entsprechende App auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann.
 |-
-|'''Vernetztes Produkt:'''
+| colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
+|-
+|'''Vernetztes Produkt'''
 |Kühlschrank
 |-
@@ Zeile 229: / Zeile 214: @@
 |'''Dateninhaber'''
 |
-# Das Unternehmen, das den Kühlschrank hergestellt hat und
+# B, das Unternehmen, das den Kühlschrank hergestellt hat und
-# das Unternehmen, das die App anbietet.
+# D, das Unternehmen, das die App anbietet
 |-
 |'''Nutzer'''
-|Käuferin (Eigentümerin) des Kühlschranks
+|A, Käuferin und Eigentümerin des Kühlschranks
 |}
+'''Abgrenzungen'''
-'''Abgrenzungen''':
+* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’[https://papers.ssrn.com/abstract=4136484 ,https://papers.ssrn.com/abstract=4136484] (Stand 23.6.2022) 25; ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).</ref>
+* Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>
-* Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten ''tatsächlich'' stammen. Nutzt daher A ein Smart Auto, das seiner Mutter B gehört, ohne Rechtsanspruch, so gilt A nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur B zu.<ref>''Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann'', Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; ''Napieralski'' in Yearbook of Antitrust and Regulatory Studies 138.</ref>
-* Der Dateninhaber muss nicht dem Vertragspartner des Nutzers entsprechen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>
 === Zeitlich ===
-Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft.
+Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
-Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 14, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
+'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>
-Ausnahme: Die Produktdesignpflichten sind erst ab 12.9.2026 anwendbar, dh, dass die Vorgaben für vernetzte Produkte gelten, die nach September 2026 in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 26 ff.</ref>
 === Örtlich ===
-Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden.
+Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.
-'''Nutzer''' müssen in der EU ansässig sein, um in den Genuss der Rechte nach dem DA zu kommen (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, wo die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 16, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</ref>
+Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
-Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient. (Art 37 Abs 13 DA) Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.
 == Zentrale Inhalte ==
-=== Datenzugang und Datenverwendung (Kap II bis III) ===
+=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
-[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Herrschaft anerkennt der DA, durchbricht sie aber dadurch, dass [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Rechte auf Datenzugriff gewährt werden.<ref>''Schemmel'' in BeckOK DatenschutzR<sup>49</sup> DA Art 3 Rz 2.</ref>
+[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]
-Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 1.</ref>
+[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref>
-Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen (Art 7 Abs 1 DA).
+Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).
-[[File:Europ%C3%A4ische_Kommission_Data_Act_FAQ_Datenzugang.png|frame|right|700px|Quelle: EU Kommission]]
 ==== Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten ====
 ===== Direkter Zugang: Datenzugang "by design" =====
-Primär [[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|sollte]] Nutzern standardäßig ein '''direkter Zugang''' zu den Produktdaten und verbundenen Dienstdaten auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von damit verbundenen Dienstleistungen sollte das Recht auf Datenzugang bereits bei der Technikgestaltung zu berücksichtigen.
+[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>
-* '''Produktdaten''' (Art 2 Z 15 DA, EG 15): Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung).<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 6, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref>
-* '''Verbundene Dienstdaten''', einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten '''Metadaten''' (Art 2 Z 16, EG 15): Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden.
-'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA):  Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
+'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
 ===== Indirekter Zugang: Zugang auf Verlangen =====
-Dateninhaber haben den Datenzugang den folgenden Personen zu gewähren:
+Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:
-* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA), oder
+* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] (Art 4 DA),
 * Dritten nach Wahl des Nutzers ('''Drittzugangsanspruch''', Art 5 DA)
-** Dieses Recht ist relevant für die Reparatur oder Wartung vernetzter Produkte.
+Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.
-Das Verlangen auf Datenzugang kann von folgenden Personen gestellt werden:
-* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]], oder
-* im Namen eines Nutzers handelnde Partei
+Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
-Das Verlangen kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 12, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
+* [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],
+* einer Person, die im Namen eines Nutzers handelt.
 ===== Datenkategorien =====
-Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Konkret sind davon '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''' erfasst, die zur Auslegung und Nutzung der Daten erforderlich sind.
+Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur '''"ohne Weiteres verfügbare Daten"''' und '''Metadaten''', die zur Auslegung und Nutzung der Daten erforderlich sind.
 * '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.
-Vom Datenzugangsrecht nicht erfasst sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>
+Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
+Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>
 ===== Verhältnis zwischen direktem und indirektem Zugang =====
-Der DA bietet Dateninhabern eine gewisse Flexibilität auf welche Weise Datenzugang gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 12 und 14, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
+Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
 ===== Art der Zugangsgewährung =====
@@ Zeile 310: / Zeile 284: @@
 * unverzüglich,
 * soweit technisch durchführbar auf elektronischem Weg,
-* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit.
+* (falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.
 ==== Gegenleistung für die Bereitstellung von Daten (Art 9 DA) ====
-Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Kontext Entgelt verlangen unter den folgenden Voraussetzungen:
+Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen<ref>Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.</ref> sein, darf aber auch eine Marge enthalten.
-* Die Gegenleistung muss diskriminierungsfrei, angemessen und kostendeckend sein,
-* Privilegien für KMUs und gemeinnützige Organisationen: Nur notwendige Kosten dürfen berechnet werden.
+Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.
-Leitlinien für die Berechnung werden von der Kommission erstellt.
 ==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
-In bestimmten Sonderfällen, können Dateninhaber den DAtenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken. (EG 31 letzter Satz DA)
+In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).
 ===== Sicherheitsanforderungen =====
-Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DSA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.
+Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.
 Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er [[Data Act (DA)#Zuständige Behörde|die zuständige Behörde]] darüber informieren.
@@ Zeile 332: / Zeile 305: @@
 ====== Definition ======
-<blockquote>Geschäftsgeheimnis: Informationen, die alle nachstehenden Kriterien erfüllen:
+<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>
 * Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
 * sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
-* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Art 2 Abs 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref>
+* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
 </blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 97.</ref>
-Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (EG 31 DSA).
+Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).
 Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.
 ==== Besonderheiten bei der Weitergabe personenbezogener Daten ====
-Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten an Dritte darstellt. Er verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.
+Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.
-Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet werden.<ref>''Napieralski'' in Yearbook of Antitrust and Regulatory Studies 139 mwN.</ref>
+Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).
-Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, so bedarf es einer Rechtfertigung für die Datenübermittlung. '''Der Nutzer gilt in diesem Fall als Verantwortlicher''' und benötigt gemäß Artikel 6 Abs1 DSGVO eine Rechtsgrundlage, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (EG 34 DA). Weiters ist der Nutzer sodann verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (EG 34 DA).
+Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.
-Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA).
+'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 86.</ref>
-Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne Rechtsgrundlage, um dem DA zu entsprechen, zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski'' in Yearbook of Antitrust and Regulatory Studies 140 mwN.</ref>
-'''Anonymisierung/Pseudonymisierung''': EG 7 DA nennt zwar die Möglichkeit, Daten zu anonymisieren oder pseudonymisieren, um Datenzugangsverlangen nachzukommen. Anonymisierung und Pseudonymisierung sind jedoch selbst bereits Datenverarbeitungen und benötigen eine Rechtfertigung. Der DA bietet jedoch keinen entsprechenden Erlaubnistatbestand.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 86.</ref>
 ===== Rollenverteilung nach der DSGVO =====
 Aufgrund der teilweise [[Data Act (DA)#Datenschutz|überlappenden Anwendung von DSGVO und DA]] kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).</ref>
-====== Exkurs: Definitionen nach der DSGVO ======
+====== Exkurs: Rollendefinitionen nach der DSGVO ======
 {| class="wikitable"
 |+
@@ Zeile 375: / Zeile 344: @@
 |Verantwortlicher
 |Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
-|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski'' in Yearbook of Antitrust and Regulatory Studies 132 ff.</ref>
+|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0  (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
 |-
 |Art 4 Z 7 DSGVO
 |Gemeinsam Verantwortlicher
 |Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
-|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH 10.7.2018, C‑25/17, ''Zeugen Jehovas'' Rz 66; EuGH, 29.7.2019, C-40/17, ''Fashion ID'' Rz 70.</ref>
+|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
 |}
-'''Rollenverteilung nach DA und DSGVO anhand eines Beispiel'''s:<ref>Vgl ''Napieralski'' in Yearbook of Antitrust and Regulatory Studies 141 f.</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer*innen, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
+'''Rollenverteilung nach DA und DSGVO anhand eines Beispiels''':<ref>Vgl ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).</ref> Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.
 {| class="wikitable"
 !Rechtsakt
-!Scooter-Fahrerin
+!E-Scooter-Fahrerin
 !E-Scooter-Sharing-Unternehmen
 !Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
@@ Zeile 399: / Zeile 368: @@
 |'''DSGVO'''
 |Betroffener
-| colspan="2" |Gemeinsam Verantwortliche
+| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
 |Verantwortlicher
 |}
-====== Pflichten gemeinsamer Verantwortlicher ======
+====== Pflichten gemeinsam Verantwortlicher ======
-Gemeinsam Verantwortliche sind verpflichtet, eine entsprechende '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:
+Gemeinsam Verantwortliche sind verpflichtet, eine '''Vereinbarung gem Art 26 DSGVO''' abzuschließen. Diese hat insbesondere zu beinhalten:
-* wer welche Verpflichtung der DSGVO erfüllt,
+* wer welche Verpflichtung nach der DSGVO erfüllt,
 ** insb was die Wahrnehmung der Betroffenenrechte angeht, und
 ** wer welchen Informationspflichten nachkommt,
@@ Zeile 413: / Zeile 382: @@
 Außerdem kann angeführt werden:
-* eine Anlaufstelle für die betroffenen Personen
+* eine Anlaufstelle für die betroffenen Personen.
-Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.
+Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.
-Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen.
 ==== Datenverwendungsrechte und Nutzungsbeschränkungen ====
 ====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
-Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 19, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen. (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA)
+Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).
 ====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
 Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).
-Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen. (Art 4 Abs 10 DA)
+Der Nutzer darf sie jedoch weder zur Entwicklung '''konkurrierender Produkte''' noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).
 ====== Datenempfänger ======
-Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und sofern rechtmäßig nutzen. Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.
+Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:
-Dritte können diese insb für folgende Zwecke nutzen:
+* eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
+* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
+Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.
-* um einen der folgenden Dienste anzubieten:
+Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):
-** einen [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienst]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
-** einen Dienst im Aftermarkt (zB Reparatur oder Wartung)
-* um nicht-personenbezogene Daten zu verkaufen
-Nutzungsbeschränkungen (Art 6 Abs 2 DA):
 * '''Profiling''': Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
 * '''Weitergabe von Daten an andere Dritte''':
 ** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
-** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte).</ref>.
+** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
 * '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
-** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden.(EG 32)
+** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).
 ==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
-Der DA verpflichtet den Dateninhaber mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
+Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
 * '''fair'''
-** Verhinderung vertraglicher Ungleichgewichte (EG 5)
+** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
 * '''angemessen'''
 ** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 144.</ref>
 * '''nichtdiskriminierend'''
 ** gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür<ref name=":0" />
-* '''transpartent'''
+* '''transparent'''
 '''Unzulässige Vertragsklauseln''': Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.
-=== Missbräuchliche Vertragsklauseln B2B (Kapitel IV) ===
+=== Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV) ===
-Art 13
+Art 13 DA definiert unabdingbare Grenzen in Bezug auf '''Nebenabreden''', die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen '''einseitig auferlegt''', sind für letzteres Unternehmen '''nicht bindend''', wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.<ref>Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den [[Data Act (DA)#Bedingungen zur Datenbereitstellung: FRAND-Grundsätze|FRAND-Bedingungen nach Art 8 Abs 1 DA]], ''Schwamberger,'' Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).</ref>
-* Missbräuchliche Vertragsklauseln, die einem anderen Unternehmen '''einseitig auferlegt''' werden
-* in Bezug auf den '''Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe''' bei Verletzung oder Beendigung datenbezogener Pflichten
+'''Als "einseitig auferlegt'''" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines '''Widerspruchs'''.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 5 Rz 11.</ref> Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.
-* Ausnutzung eines '''Machtverhältnisses''': Inhalt des Vertrags kann trotz des Versuchs, hierüber zu verhandeln, nicht beeinflusst werden
+{| class="wikitable"
-* Keine Bindung für das benachteiligte Unternehmen
+|+
-* Beispiele und '''Vorgaben''' für missbräuchliche Klauseln (zB kein Haftungsausschluss)
+!Kategorie<ref>Siehe zum dreistufigen Ansatz etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 5 Rz 13 ff.</ref>
+!Allgemeines
+!Vertragsklausel
+|-
+|Generalklausel
+|
+|
+* Grobe Abweichung von der guten Geschäftspraxis
+* Verstoß gegen das Gebot von Treu und Glauben
+|-
+|Schwarze Klauseln (Blacklist)
+|Keine Wertungsmöglichkeit
+|
+*Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei
+* Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen
+* Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
+|-
+|Graue Klauseln (Greylist)
+|Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände
+|
+* Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten<ref>Ie die Partei, der die Klausel einseitig auferlegt wurde.</ref> Unternehmens
+* Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet
+* Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten
+* Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei
+* Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten
+* Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe
+* Recht der auferlegenden  Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann
+|}
-===== KMU =====
+'''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.
-Das Verbot unfairer Vertragsbedingungen soll insb KMUs zugutekommen.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 25, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
-Die Europäische Kommission wird (freiwillige) Modellvertragsbedingungen für die Datenweitergabe empfehlen, die die Position von KMU in Verhandlungen stärken sollen.
+Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 5 Rz 9.</ref>
-=== B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
+=== B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
-Außergewöhnliche Notwendigkeit der Datennutzung kann in zwei Fällen vorliegen:
+[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
+Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:
-* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn sie zur Bewältigung eines öffentlichen Notstands erforderlich sind und die benötigten Daten auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
+* '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
-* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang ist möglich, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
+* '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
+Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).
-Die Anfrage muss eine Begründung sowie Nachweise der außergewöhnlichen Umstände und den vorgesehenen Prozess enthalten.
+=== Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII) ===
+[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
+Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>
-[[Data Act (DA)#Dateninhaber|Dateninhaber]] sind verpflichtet, die angeforderten Daten bereitzustellen, wobei strenge Garantien und Nutzungsbeschränkungen zur Sicherung der Daten gelten.
+'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 18 ff.</ref>
-=== Wechsel zwischen Datenverarbeitungsdiensten (Cloud-Switching; Kapitel VI) ===
+* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
-<nowiki>##</nowiki> Art 23 bis 31
+** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
+** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
+** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
+* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 28 ff.</ref>
-Der '''Data Act''' umfasst sämtliche klassische Cloud-Dienste:<ref>''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
+'''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für
-* '''IaaS (Infrastructure-as-a-Service)''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Unternehmen können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
+* maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen<ref>Wohl mind 50%, ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 44.</ref> auf die spezifischen Bedürfnisse eines einzelnen [[Data Act (DA)#Kunde|Kunden]] zugeschnitten sind;<ref>Art 31 Abs 1 DA.</ref>
-* '''PaaS (Platform-as-a-Service)''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kund*innen erhalten eine vollständige Plattform, um Anwendungen zu entwickeln und zu betreiben.
-* '''SaaS (Software-as-a-Service)''': Hier wird zusätzlich die Software selbst angeboten. Kund*innen bringen nur ihre Daten mit. ZB: Web-Mail, Cloud-CRM oder HR-Systeme.
-Das Ziel des DA ist es, Lock-In-Effekte vermeiden, damit Nutzer leichter zwischen Cloud-Anbietern wechseln können. Dabei sieht der DA unterschiedliche Pflichten für verschiedene KAtegorien an Cloud-Diensteanbietern vor: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen Kund*innen ihre Daten eigenständig übertragen können.
-Sog Wechselentgelte für den Übergang zwischen Cloud-Diensten müssen laut Data Act schrittweise reduziert werden. Ab dem 12.9.2027 darf Nutzern für den Wechsel grds kein Entgelt mehr berechnet werden.
+* Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.<ref>Art 31 Abs 2 DA.</ref>
-*Ausnahme: Die Anforderungen gelten nicht für Maßgeschneiderte Cloud-Dienste, dh wenn der Dienst auf die spezifischen Bedürfnisse eines einzelnen Nutzers zugeschnitten ist.
-*
-* Edge-Computing-Dienste
-* On-Premise-Dienste
-*
-==== Anforderungen an Datenverarbeitungsdienste ====
+In diesen Fällen sind jedoch Informationspflichten zu beachten.
-Keine vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse bzw. Beseitigung solcher Hindernisse
-==== Loyalitätspflicht ====
+Hosting-Dienste im engeren Sinn dürften von der Begrifflichkeit erst gar nicht erfasst sein.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 27.</ref>
-==== Vertrag und Information ====
+'''Anwendungsfälle''': Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 3 ff.</ref>
-Informationspflichten und vertragliche Transparenzpflichten in Bezug auf den Zugang und die Übermittlung im internationalen Umfeld
+{| class="wikitable"
+|+
+!Option
+!Szenario
+|-
+|Option&nbsp;1
+|Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
+|-
+|Option 2
+|Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")<ref>Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst ''zu'' einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind. </ref>
+|-
+|Option 3
+|Wechsel von einem Datenverarbeitungsdienst zu mehreren&nbsp;Datenverarbeitungsdiensten parallel
+|}
+Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 51.</ref>
+==== Konkrete Pflichten der Anbieter ====
+* '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' Anhaltspunkte für die Vertragsgestaltung geben.<ref>Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
+* '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
+* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
+* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act<sup>2</sup> § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
+* '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
+==== Internationaler Datentransfer ====
+Werden '''personenbezogene''' Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz '''nicht-personenbezogener''' Daten vor unrechtmäßigem Zugriff durch Drittländer.
-=== Internationaler Datentransfer (Kapitel VII) ===
+Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:<ref>Zur Thematik siehe ausf ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 5 ff.</ref>
-Kap VII regelt den Schutz in der EU gespeicherter nicht-personenbezogener Daten vor unrechtmäßigem Zugriff durch Drittländer.
+{| class="wikitable"
+|+
+!
+!DSGVO
+!DA
+|-
+|'''Transfer'''
+|rechtmäßige und unrechtmäßige Übertragungen und
+Zugriffe
+|unrechtmäßige internationale Datenübertragungen oder Zugriffe
+|-
+|'''Daten'''
+|personenbezogene Daten
+|nicht personenbezogene Daten
+|-
+|'''Zugang'''
+|durch jedermann
+|staatlich
+|}
+Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.
-Demnach müssen Anbieter von Datenverarbeitungsdiensten geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.
+Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.
-Eine Übermittlung von Daten an Behörden eines Drittlands ist nur zulässig, wenn sie auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden, zB wenn die Entscheidung verhältnismäßig ist, hinreichend begründet wurde und die rechtlichen Interessen des Datenanbieters berücksichtigt werden. Zudem können Adressaten solcher Anfragen die Stellungnahme nationaler oder europäischer Stellen einholen. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen, und der Kunde ist über das Datenzugriffsverlangen zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.
+Der DGA sieht [[Data Governance Act (DGA)#Internationaler Datentransfer (Art 31 DGA)|ähnliche Bestimmungen]] vor.
 === Interoperabilität (Kapitel VIII) ===
-Ziel dieses Kapitels ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern, Sicherheit gewährleisten und Innovationen fördern.
+In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>
-==== Interoperabilität in Datenräumen (Art 33) ====
+===== Definition =====
+<blockquote>Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, '''Daten auszutauschen und zu nutzen''', um ihre Funktionen auszuführen (Art 2 Z 40 DA).</blockquote>Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 7 Rz 4.</ref>
-* '''Pflichten der Teilnehmer an Datenräumen'''  Teilnehmer, die Daten oder Datendienste anbieten, müssen folgende Anforderungen erfüllen:
+==== Interoperabilität in [[Datenstrategie#Datenräume|Datenräumen]] (Art 33) ====
-** '''Beschreibung von Daten und Metadaten''': Inhalte, Lizenzen, Datenerhebungsmethoden und Qualität der Datensätze müssen maschinenlesbar beschrieben werden, um die Nutzung zu erleichtern.
+Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen '''Transparenz''' gewährleisten. Dafür bedarf es Informationen über Folgendes:
-** '''Einheitliche Standards''': Datenstrukturen, Formate, Klassifikationen und Codelisten sollen einheitlich und öffentlich verfügbar dokumentiert sein.
-** '''Technische Zugangsmechanismen''': APIs und ihre Nutzungsbedingungen müssen den automatisierten und kontinuierlichen Datenaustausch in Echtzeit ermöglichen.
-** '''Interoperabilität von Tools''': Bereitstellung von Mitteln zur Nutzung von Tools wie intelligenten Verträgen.
-* '''Ergänzende Bestimmungen durch die Kommission'''  Die Kommission kann Anforderungen durch delegierte Rechtsakte weiter konkretisieren, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
-* '''Konformität durch harmonisierte Normen'''  Teilnehmer gelten als konform, wenn sie harmonisierte Normen anwenden, deren Fundstellen im Amtsblatt der EU veröffentlicht sind.
-** '''Auftrag an Normungsorganisationen'''  Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln.
-** '''Gemeinsame Spezifikationen durch die Kommission'''  Falls harmonisierte Normen fehlen, kann die Kommission gemeinsame Spezifikationen festlegen, um Anforderungen zu erfüllen.
-** '''Mitteilungspflichten und Konsultation'''  Vor Erlass von Spezifikationen informiert die Kommission relevante Ausschüsse und konsultiert Interessenträger.
-** '''Bewertung durch Mitgliedstaaten'''  Mitgliedstaaten können Bedenken gegen gemeinsame Spezifikationen äußern. Die Kommission prüft diese und ändert Spezifikationen gegebenenfalls.
-==== Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Artikel 34) ====
+* '''Beschreibung von Daten und Metadaten''': Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
+* '''Beschreibung der Standards''': Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
+* '''Beschreibung der technischen Zugangsmechanismen''': Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
+* '''Interoperabilität von Tools:''' Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie [[Data Act (DA)#Smart Contracts (Art 36)|intelligenten Verträgen]], ermöglicht wird.
-* '''Anwendung bestehender Anforderungen'''  Anforderungen aus anderen Artikeln der Verordnung gelten entsprechend für Anbieter von Datenverarbeitungsdiensten, um deren parallele Nutzung zu erleichtern.
+'''Weitere Anforderungen in delegierten Rechtsakten'''
-* '''Kostenregelung'''  Anbieter dürfen nur Kosten für die Datenextraktion verlangen, die tatsächlich entstanden sind.
-==== Interoperabilität von Datenverarbeitungsdiensten (Artikel 35) ====
+Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.
+==== Interoperabilität bei [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] (Art 34 und Art 35) ====
-* '''Offene Interoperabilitätsspezifikationen'''  Diese müssen:
+===== Parallele Nutzung von [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdiensten]] =====
-** Interoperabilität zwischen Diensten derselben Art ermöglichen,
+Bestimmte Anforderungen, die für den [[Data Act (DA)#Pflichten für Anbieter von Datenverarbeitungsdiensten (Kapitel VI und VII)|Wechsel von Datenverarbeitungsdiensten]] gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 7 Rz 9.</ref>
-** Übertragbarkeit digitaler Vermögenswerte verbessern,
+* '''Kostenregelung:''' Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.
-** Funktionsäquivalenz gewährleisten und
-** Sicherheit und Integrität der Dienste wahren.
-* '''Umfang der Spezifikationen'''  Regelt Aspekte der Cloud-Interoperabilität, Datenübertragbarkeit und Anwendungsportabilität.
-* '''Normungsprozesse'''  Die Kommission kann europäische Normungsorganisationen beauftragen, harmonisierte Normen zu entwickeln, und selbst Spezifikationen erlassen.
-* '''Bewertung und Veröffentlichung'''  Harmonisierte Normen und Spezifikationen werden in einer zentralen EU-Datenbank veröffentlicht.
-==== Smart Contracts (Art 36) ====
+===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
+Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>50</sup> Art 35 DA  Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:
+* die Transportinteroperabilität;
+* die Datenübertragbarkeit;
+* die Übertragbarkeit von Anwendungen.
+Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.
+==== Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36) ====
+Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.
 ===== Definition =====
-<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist aufgrund dieser Definition kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand des Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 16.</ref>
+<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 12 f.</ref>
-Die Legaldefinition ist weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 12 f.</ref>
 ===== Wesentliche Anforderungen =====
-Intelligente Verträge, die für die Ausführung von Datenweitergabevereinbarungen genutzt werden, müssen bestimmte Anforderungen erfüllen, um Sicherheit, Transparenz und Compliance zu gewährleisten.
 {| class="wikitable"
 |+
@@ Zeile 562: / Zeile 591: @@
 |'''Robustheit und Zugangskontrolle'''
 |Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen.
-Zugangskontrollen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
+Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
 |-
 |'''Sichere Beendigung und Unterbrechung'''
-|Es bedarf Mechanismen, um die Ausführung eines Vertrags bei Bedarf sicher zu beenden oder zu unterbrechen.
+|Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
 |-
 |'''Datenarchivierung und Datenkontinuität'''
-|Bei der Deaktivierung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode archiviert werden.
+|Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
 |-
 |'''Kohärenz'''
 |Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.
 |}
+Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.
-===== Konformitätsbewertung =====
+===== Konformitätsbewertung und -vermutung =====
-Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Sind die Anforderungen erfüllt, so hat er eine '''EU-Konformitätserklärung''' auzustellen. Damit übernimmt der Anbieter die Verantwortung für die Einhaltung der Anforderungen. Dies kann zivilrechtliche Folgen haben. So könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 39.</ref>
+Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 39.</ref>
-===== Konformitätsvermutung =====
-Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen entsprechen. Die EU-Kommission beauftragt europäische Normungsorganisationen mit der Entwicklung solcher Normen.<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 41.</ref>
-Falls keine harmonisierten Normen vorliegen oder unzureichend sind, kann die Kommission Durchführungsrechtsakte mit gemeinsamen Spezifikationen erlassen. Diese Spezifikationen gelten ebenfalls als Nachweis der Konformität. Mitgliedstaaten können Bedenken gegen Spezifikationen äußern, die die Kommission prüft und gegebenenfalls anpasst. Harmonisierte Normen, die später veröffentlicht werden, können entsprechende Rechtsakte ersetzen.
-Dieser Prozess ähnelt dem dem Mechanismus nach Art 33 und Art 35 DA für wesentliche Anforderungen an die Interoperabilität von Daten, von Mechanismen und Diensten für die Datenweitergabe sowie von gemeinsamen europäischen Datenräume und zur Interoperabilität von Datenverarbeitungsdiensten.
 == Fallbeispiele ==
-Der DA ermöglicht es Anbietern von Anschlussdiensten, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die unter gleichen Bedingungen mit den Diensten der Hersteller konkurrieren. Nutzer*innen vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten dadurch die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese selbst durchzuführen.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref>
+'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.
-=== Gaia-X ===
+'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''
-[https://www.gaia-x.at/ Gaia-X] ist eine (auf Deutschland und Frankreich zurückzuführende) europäische Initiative zur Schaffung einer digitalen Infrastruktur, die den branchenübergreifenden Datenaustausch fördert. Im Fokus steht die Nutzung von [[Data Act (DA)#Datenräume|Datenräumen]], die eine sichere und strukturierte Zusammenarbeit zwischen Unternehmen, Behörden und Forschungseinrichtungen ermöglichen. Bei Gaia-X handelt es sich nicht um eine Cloud, sondern um die Entwicklung einer standardisierten technologischen Infrastruktur mit gemeinsamen Regeln und Software, die den eigenverantwortlichen Betrieb von Cloud-, Edge- und verbundenen Diensten ermöglicht.<ref>About Gaia-X, https://gaia-x.eu/about/; ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (181) mwN.</ref>
-Durch die Entwicklung gemeinsamer Datenökosysteme fördert Gaia-X die Interoperabilität zwischen Datensystemen, während strenge Standards für Datenschutz und Sicherheit eine vertrauenswürdige Grundlage schaffen. Damit trägt Gaia-X wesentlich zur Stärkung der Datensouveränität und zur Umsetzung der [[Data Governance Act (DGA)#Hintergrund|EU-Datenstrategie]] bei.<ref>''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177 (180).</ref>
+* Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
+* Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
+* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
+'''Entwicklung von KI-Technologien:'''
-Das Projekt wird dezentral, in sog "Hubs" organisiert, als gemeinsamer Koordniator fungiert die Gaia-X European Association for Data and Cloud AISBL (Gaia-X AISBL)<ref>https://gaia-x.eu/who-we-are/association/.</ref>. Der Gaia-X Hub Österreich koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und unterstützt deren Zusammenarbeit mit europäischen Partnern.<ref>AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria.</ref>
+'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der [[Artificial Intelligence Act (AIA)|KI-VO]] entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available  (Oktober 2024).
+</ref>
-Gaia-X folgt den nachstehenden Kernprinzipien:<ref>''Bonfiglio'', Vision and Strategy (17.12.2021) https://gaia-x.eu/wp-content/uploads/2021/12/Vision-Strategy.pdf.</ref>
+Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.
-* '''Offen''': Gaia-X nutzt offene Spezifikationen und quelloffenen Code, um Standards und Dienste zugänglich und überprüfbar zu machen.
+Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.
-* '''Transparent''': Es bietet nachvollziehbare Informationen über die Eigenschaften und Konformität von Diensten.
-* '''Souverän''': Es ermöglicht digitale Selbstbestimmung durch klare Rahmenbedingungen für Datenkontrolle und technische Unabhängigkeit.
-* '''Fair''': Es schafft gleiche Wettbewerbsbedingungen durch Standards für Interoperabilität und Datennutzung.
-* '''Unabhängig''': Gaia-X ist eine unabhängige Organisation, die die Interessen aller Mitglieder gleichermaßen vertritt.
-* '''Inklusiv''': Es steht Akteur*innen weltweit offen, wobei europäische Prinzipien und Regeln eingehalten werden.
-* '''Frei''': Die Open-Source-Werkzeuge werden unentgeltlich zur Verfügung gestellt.
-* '''Föderiert''': Es fördert föderierte Strukturen für sicheren und kontrollierten Datenaustausch.
-* '''Innovativ''': Zukunftsweisende Technologien werden eingesetzt.
-* '''Evolutionär''': Es setzt auf kontinuierliche Verbesserung durch iterative Prozesse und offene Zusammenarbeit.
 == Synergien ==
 === Daten Governance ===
-Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem die Wirtschaft und die Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.</ref>
+Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>
 === Sektorspezifische Datenräume ===
-Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. In den besonderen Rechtsakten wird oft ausdrücklich auf die Geltung der allgemeinen Bestimmungen Bezug genommen. Fehlt eine ausdrückliche, gesetzliche Regelung, so ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>
+Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den [[European Health Data Space (EHDS)|Europäischen Gesundheitsdatenraum]]. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine '''Abwägung der konkreten Bestimmungen im Einzelfall''' vorzunehmen.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>
 === Datenschutz ===
-Der DA gilt gem Art 1 Abs 5 DA unbeschadet des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).</ref>,  der Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG), einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen. Geht es also um die Verarbeitung personenbezogener Daten und ist der Anwendungsbereich des DA gegeben, so ist außerdem die DSGVO anwendbar.
-Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA ergänzt.
+==== Vorrangregelung ====
+[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
+'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>,  der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.
-Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO. Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 19.</ref>
+Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.
+Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher '''Rechtsunsicherheit''' führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.<ref>Krit etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 19.</ref>
 ==== Rechtsgrundlage für die Datenverarbeitung ====
-Der DA bietet laut EG 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' in Yearbook of Antitrust and Regulatory Studies 139.</ref>
+Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>
+==== Einhaltung datenschutzrechtlicher Grundsätze ====
+Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
 ==== Datenportabilität ====
-Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (Art1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 13, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref> Nutzer (betroffene Personen oder Unternehmen) können leichter auf IoT-Daten zugreifen und diese übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird erleichtert.
+Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>
-* '''DSGVO''': Nur betroffene Personen können das Recht ausüben, und nur, wenn personenbezogene Daten auf Basis von Einwilligung oder Vertrag verarbeitet werden und technisch übertragbar sind.
+Überblick über die Rechte im Vergleich:
-* '''DA''': Schafft ein erweitertes Übertragungsrecht für IoT-Daten, das:
+{| class="wikitable"
-** für '''personenbezogene und nicht-personenbezogene Daten''' gilt,
+|+
-** unabhängig von der Rechtsgrundlage anwendbar ist,
+!
-** Echtzeit-Zugriff ermöglicht.
+!Datenzugangsrecht nach dem DA
+!Recht auf Datenportabilität nach der DSGVO
+|-
+|'''Zweck'''
+| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
+|-
+|'''Berechtigte'''
+|(geschäftliche und private) Nutzer
+|betroffene (natürliche) Personen
+|-
+|'''Empfänger'''
+|Nutzer oder Dritter (Datenempfänger)
+|Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
+|-
+|'''Art der Daten'''
+|(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete<ref>Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind. </ref> Daten
+|personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und
+die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.</ref>
+|-
+|'''Weitere Voraussetzungen'''
+|
+|Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
+|-
+|'''Format'''
+|
+* umfassendes, strukturiertes, gängiges und maschinenlesbares Format;
+* Übermittlung der Metadaten;
+* soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit
+|
+* strukturiertes, gängiges und maschinenlesbares Format;<ref>ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.</ref>
+* Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
+|}
 ==== Internationaler Datentransfer ====
 DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 1.</ref>
-=== Künstliche Intelligenz ===
-'''[[Data Act (DA)#Datenräume|Datenräume]]''', wie sie durch den DA gefördert werden, können durch die Förderung von Interoperabilität, Compliance und Innovation maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen der [[Artificial Intelligence Act (AIA)|KI-VO]] an Transparenz, Verantwortlichkeit und Sicherheit entsprechen.<ref>Siehe umfassend zur Thematik ''Data Spaces Support Centre (DSSC)'', Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available  (Oktober 2024).
-</ref>
-Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an [[Artificial Intelligence Act (AIA)#Hochrisiko-KI-Systeme (Art 6 KI-VO)|Hochrisiko-KI]] und [[Artificial Intelligence Act (AIA)#GPAI-Modelle/Modelle mit allgemeinem Verwendungszweck|GPAI]] nach der [[Artificial Intelligence Act (AIA)|KI-VO]], essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.
-Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen  bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.
 === Schutz von Geschäftsgeheimnissen ===
-Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 20 .</ref>
+Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 20.</ref>
 === Datenbankherstellerrecht ===
-Das Sui-generis- Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.</ref> kann ein Dateninhaber gem Art 43 DA nicht als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten.<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>
+Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>
-=== [[Digital Markets Act (DMA)|Digital Markets Act]] und [[Digital Services Act (DSA)|Digital Services Act]] ===
+=== [[Digital Markets Act (DMA)|Digital Markets Act]] ===
-Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref>
+Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>
-== Durchsetzung und Strafen ==
+== Durchsetzung ==
 === Zuständige Behörde ===
-Die Mitgliedstaaten benennen gem Art 37 DA eine oder mehrer zuständige Behörden, die die Einhaltung und Durchsetzung des DA überwachen. Diese Behörden fördern Datenkompetenz, bearbeiten Beschwerden, führen Untersuchungen durch, verhängen Sanktionen und arbeiten sowohl untereinander als auch mit anderen relevanten nationalen und europäischen Stellen zusammen.
+Die Zuständigkeit richtet sich nach nationalem Recht. Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.
-Die Datenschutzbehörde ist verantwortlich für die Überwachung des Schutzes personenbezogener Daten bei der Anwendung des DA.
-Wird mehr als eine Behörde benannt, so ist eine von diesen als '''Datenkoordinator''' zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.
+Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.
-Zuständigkeiten sektoraler Behörden bleiben unberührt.
 === Rechtsdurchsetzung und Sanktionen ===
@@ Zeile 672: / Zeile 714: @@
 Der [[Data Act (DA)#Zuständige Behörde|Datenkoordinator]] unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.
-Zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.
+Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.
 Gegen Entscheidungen einer [[Data Act (DA)#Zuständige Behörde|zuständigen Behörde]] haben betroffene Personen gem Art 39 DA das Recht auf einen '''wirksamen gerichtlichen Rechtsbehelf'''. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.
 ==== Streitbeilegungsstelle ====
-Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig und vorab '''zustimmen'''.
+Die Mitgliedstaaten können '''Streitbeilegungsstellen''' benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab '''zustimmen'''.
 ==== Zivilgerichtliche Rechtsdurchsetzung ====
-Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.  <ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 9 Rz 41 ff.
+Die Ansprüche nach dem DA, insb [[Data Act (DA)#Datenzugang und Datenverwendung (Kap II bis III)|Datenzugangsansprüche]] oder die Anforderungen an das [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Cloud-Switching]], können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 9 Rz 41 ff.
 </ref>
 ==== Sanktionen ====
-Sanktionen für Verstöße gegen den DA müssen bis 12.9.2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind.
+Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).
 Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:
@@ Zeile 697: / Zeile 739: @@
 Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, '''Geldstrafen nach der DSGVO''' zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).
-Der DA lässt ausdrücklich Geldstrafen mit Rückwirkung zu (Art 37 Abs 5 lit d DA).
 === EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat) ===
-Der Europäische Dateninnovationsrat wurde gem Art 29 [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (Kap VI)|DGA]] eingesetzt.
+Der [[Data Governance Act (DGA)#Europäischer Dateninnovationsrat (EDIB, Kap VI)|Europäische Dateninnovationsrat]] (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).
-Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA. (Art 42 DA)
 === Mustervertragsklauseln der Kommission ===
-Bis zum 12.9.2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb
+Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb
-* Bedingungen für [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|eine angemessene Gegenleistung]]
+* Bedingungen für [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|eine angemessene Gegenleistung]] ,
-* Bedingungen für den [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Schutz von Geschäftsgeheimnissen]]
+* Bedingungen für den [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Schutz von Geschäftsgeheimnissen]],
-* Standardvertragsklauseln für [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Verträge über Cloud-Computing]]
+* Standardvertragsklauseln für [[Data Act (DA)#Wechsel zwischen Datenverarbeitungsdiensten, insb Cloud-Anbietern|Verträge über Cloud-Computing]].
+Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 3 Rz 22.</ref>
 == Weiterführende Literatur ==
@@ Zeile 716: / Zeile 755: @@
 === Einführende Werke ===
-* ''Hoeren/Pinelli'', Data Law (November 2024).
+* ''Hoeren/Pinelli'', Data Law (2025, iE).
 * ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
+* ''Knyrim'', DA - Data Act (2025).
 * ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
 * ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024).
@@ Zeile 725: / Zeile 765: @@
 === Kommentare und Sammelbände ===
-* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
+* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
-* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
+* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025, iE).
+* ''Czychowski/Lettl/Steinrötter'', Data Act (2025, iE).
 * ''Paschke/Schumacher'', EU Data Act (2025).
-* ''Wolff/Brink/v. Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (1.8.2024).
+* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
-* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) .
+* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (1. 8. 2024).
-=== Beiträge ===
-* ''Person/Schütrumpf'', Datensouveränität durch Dateninfrastrukturen: Das Leuchtturmprojekt Gaia-X in ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022) 177.
 === Weiterführende Links ===
-* ''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
+* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
-* ''Europäische Kommission'', Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
+* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act  (Stand 10. 10. 2024).
-* ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
+* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).
 == Nachweise ==

Data Act (DA): Unterschied zwischen den Versionen

Aktuelle Version vom 26. Februar 2025, 19:32 Uhr

Kurzübersicht

Einleitung und Hintergrund

Internet der Dinge

Ziele des DA

Anwendungsbereich und Definitionen

Sachlich

Personell

Hersteller vernetzter Produkte

Anbieter verbundener Dienste

Nutzer

Dateninhaber

Datenempfänger

Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union

Anbieter von Datenverarbeitungsdiensten

Kunde

Teilnehmer an Datenräumen

Anbieter von Anwendungen, die intelligente Verträge verwenden

Zeitlich

Örtlich

Zentrale Inhalte

Datenzugang und Datenverwendung (Kapitel II bis III)

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Indirekter Zugang: Zugang auf Verlangen

Datenkategorien

Verhältnis zwischen direktem und indirektem Zugang

Art der Zugangsgewährung

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

Sicherheitsanforderungen

Schutz von Geschäftsgeheimnissen

Definition

Besonderheiten bei der Weitergabe personenbezogener Daten

Rollenverteilung nach der DSGVO

Exkurs: Rollendefinitionen nach der DSGVO

Pflichten gemeinsam Verantwortlicher

Datenverwendungsrechte und Nutzungsbeschränkungen

Dateninhaber

Nutzer

Datenempfänger

Bedingungen zur Datenbereitstellung: FRAND-Grundsätze

Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV)

B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V)

Pflichten für Anbieter von Datenverarbeitungsdiensten: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII)

Konkrete Pflichten der Anbieter

Internationaler Datentransfer

Interoperabilität (Kapitel VIII)

Definition

Interoperabilität in Datenräumen (Art 33)

Interoperabilität bei Datenverarbeitungsdiensten (Art 34 und Art 35)

Parallele Nutzung von Datenverarbeitungsdiensten

Datenverarbeitungsdienste im Übrigen

Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36)

Definition

Wesentliche Anforderungen

Konformitätsbewertung und -vermutung

Fallbeispiele

Synergien

Daten Governance

Sektorspezifische Datenräume

Datenschutz

Vorrangregelung

Rechtsgrundlage für die Datenverarbeitung

Einhaltung datenschutzrechtlicher Grundsätze

Datenportabilität

Internationaler Datentransfer

Schutz von Geschäftsgeheimnissen

Datenbankherstellerrecht

Digital Markets Act

Durchsetzung

Zuständige Behörde

Rechtsdurchsetzung und Sanktionen

Beschwerderecht

Streitbeilegungsstelle

Zivilgerichtliche Rechtsdurchsetzung

Sanktionen

EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)

Mustervertragsklauseln der Kommission