Data Act (DA): Unterschied zwischen den Versionen

; Verordnung (EU) 2023/2854
Titel:	Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828
Kurztitel:	Data Act/Datenverordnung
Bezeichnung:; (nicht amtlich)	DA
Geltungsbereich:	EWR
Rechtsmaterie:	Wettbewerbsrecht
Grundlage:	AEUV, insbesondere Art. 114
Anzuwenden ab:	12. September 2025 (mit Ausnahmen)
Fundstelle:	ABl L 2023/2854, 1
Volltext	Konsolidierte Fassung (nicht amtlich); Grundfassung
Regelung ist in Kraft getreten, aber noch nicht anwendbar.
Hinweis zur geltenden Fassung von Rechtsakten der Europäischen Union

← Zum vorherigen Versionsunterschied

VisuellWikitext

Aktuelle Version vom 26. Februar 2025, 19:32 Uhr

Kurzübersicht

Ziele	Kontext	Inhalt	Pflichten	Synergie	Konsequenzen bei Nichtumsetzung
Förderung des Datenbinnenmarktes	Datenräume; Internet der Dinge	Schaffung eines harmonisierten Rahmens für den Datenaustausch und die Datennutzung innerhalb der EU	Daten müssen leichter zugänglich und nutzbar gemacht werden	Kap III DGA für Datenvermittlungsdienste Kap IV DGA für datenaltruistische Organisationen	Innovationsdefizite Wettbewerbsnachteile Geldstrafen nach nationalem Recht Zivilrechtliche Ansprüche
Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation	Internet der Dinge	Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten	Datenzugang "by design" nach Art 3 DA; Datenzugang auf Verlangen	Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität) durch spezifische Regelungen für nicht-personenbezogene Daten Digitale Inhalte-RL^[1]	Geldstrafen nach nationalem Recht (Rückwirkung möglich) Zivilrechtliche Ansprüche
Vertragsfairness	B2B-Datennutzung	Festlegung fairer Vertragsbedingungen und Verhinderung missbräuchlicher Klauseln in Daten-Sharing-Vereinbarungen, Möglichkeit zur Nutzung unverbindlicher Mustervertragsbedingungen der Kommission	Unternehmen müssen sicherstellen, dass Verträge ausgewogene Rechte und Pflichten enthalten	Wettbewerbsrecht Klausel-Richtlinie^[2]
Verbesserung der öffentlichen faktengestützten Entscheidungsfindung	Ausnahmesituationen von großem öffentlichem Belang	Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen	Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten	Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung^[3]	Mangelnde Effizienz Vertrauensverlust in die Verwaltung Geldstrafen nach nationalem Recht
Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs	Cloud-Dienste	Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten	Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern	Ergänzung^[4] der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO^[5]	Lock-in-Effekte Hemmung des Wettbewerbs Geldstrafen nach nationalem Recht Zivilrechtliche Ansprüche

Einleitung und Hintergrund

Der DA bildet zusammen mit dem DGA die erste Säule der europäischen Datenstrategie und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im Internet der Dinge (Internet of Things, IoT).^[6]

Der DA als Teil der ersten Säule der Datenstrategie - Research Institute CC BY 4.0

Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).

Internet der Dinge

Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).^[7]

Ziele des DA

Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):

Starke Fragmentierung von Informationen in Datensilos,
Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten,
fehlende Normen für die semantische und technische Interoperabilität,
Fehlen einheitlicher Verfahren für die Datenweitergabe,
Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

Anwendungsbereich und Definitionen

Sachlich

Unter Daten ist dem DA zufolge jede digitale Darstellung von Handlungen, Tatsachen oder Informationen zu verstehen, sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material. Die Daten können personenbezogen oder nicht personenbezogen sein. Der Datenbegriff entspricht somit jenem des DGA.

Die DSGVO ist im Vergleich dazu auf (personenbezogene) Daten in jeglicher Form anwendbar und gilt damit auch für analoge Informationen (Art 4 Z 1 DSGVO).^[8]

Die einzelnen Kapitel des DA sind jeweils auf die folgenden Datenkategorien anwendbar:^[9]


Kapitel	Inhalt	Daten
II	Datenweitergabe B2C und B2B	Daten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen. Das sind sämtliche Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber leicht verfügbar sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.^[10]
III	Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind	Alle Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden
IV	B2B - Missbräuchliche Vertragsklauseln	Alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden
V	Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit	Alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogene Daten
VI	Wechsel zwischen Datenverarbeitungsdiensten	Alle Daten und Dienste, die von Anbietern von Datenverarbeitungsdiensten verarbeitet werden; dies umfasst Ein- und Ausgangsdaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden (ausgenommen: Daten, die durch Rechte des geistigen Eigentums Dritter geschützt sind oder Geschäftsgeheimnisse des Diensteanbieters)
VII	Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld	Alle nicht-personenbezogenen Daten, die in der EU von Anbietern von Datenverarbeitungsdiensten gehalten werden

Personell


Person	Definition relevanter Tatbestandsmerkmale	Beispiel^[11]
Hersteller vernetzter Produkte	Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung generiert und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.	Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen^[12]
Anbieter verbundener Dienste	Ein verbundener Dienst ist ein digitaler Dienst, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen, Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung^[13]	Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.^[14]
Nutzer	Die natürliche oder juristische Person, die ein vernetztes Produkt besitzt, der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundene Dienste in Anspruch nimmt. Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.^[15] In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA). Der Begriff unterscheidet sich vom Begriff des Datennutzers nach dem DGA.	Privatperson, die ein Smart Auto least
Dateninhaber	Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)^[16] zu nutzen und bereitzustellen. Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.^[17]	Hersteller einer vernetzten Industriemaschine
Datenempfänger	Die natürliche oder juristische Person, der vom Dateninhaber Daten bereitgestellt werden, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt (also ein Unternehmer ist), und die nicht Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist.	Dienstleister für den Folgemarkt, etwa Reparatur- und Wartungsdienstleister
Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union	Unter öffentlicher Stelle versteht man die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen	Gemeinden
Anbieter von Datenverarbeitungsdiensten	Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können.^[18]	Anbieter von Netzwerken, Software, Servern oder anderer virtueller oder physischer Infrastruktur, einschließlich Cloud- und Edge-Diensten
Kunde	Eine natürliche oder juristische Person, die mit einem Anbieter von Datenverarbeitungsdiensten eine vertragliche Beziehung eingegangen ist, um einen oder mehrere Datenverarbeitungsdienste in Anspruch zu nehmen.	Ein Unternehmen, das einen Cloud-Dienst nutzt
Teilnehmer an Datenräumen	Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten.	Betreiber eines Datenraums ("Data Space")
Anbieter von Anwendungen, die intelligente Verträge verwenden	Ein intelligenter Vertrag ("Smart Contract") ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.


Beispiel^[20]
Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
Vernetztes Produkt	Kühlschrank
Verbundener Dienst	App
Dateninhaber	B, das Unternehmen, das den Kühlschrank hergestellt hat und D, das Unternehmen, das die App anbietet
Nutzer	A, Käuferin und Eigentümerin des Kühlschranks

Abgrenzungen

Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten tatsächlich stammen. Nutzt daher die Tochter E den Kühlschrank, ohne einen Rechtsanspruch zu haben, so gilt E nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur A zu.^[21]
Der Dateninhaber muss aber nicht zugleich Vertragspartner des Nutzers sein.^[22]

Zeitlich

Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem 12. September 2025 anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.^[23]

Ausnahme: Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.^[24]

Örtlich

Der DA folgt dem Marktortprinzip, das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen Vertreter benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.

Um in den Genuss der Rechte nach dem DA zu kommen, müssen Nutzer in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, wo die Daten gespeichert werden.^[25]

Zentrale Inhalte

Datenzugang und Datenverwendung (Kapitel II bis III)

Datenzugang und Datenverwendung nach dem DA - Research Institute CC BY 4.0

Dateninhabern kommt die technisch-faktische Herrschaft über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem Nutzern Zugriffsrechte gewährt werden.^[26] Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.^[27] Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung^[28] verpflichtet.^[29]

Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Primär soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten^[30] und verbundenen Dienstdaten^[31], einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.^[32]

Transparenzverpflichtung (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.

Indirekter Zugang: Zugang auf Verlangen

Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:

Nutzern (Art 4 DA),
Dritten nach Wahl des Nutzers (Drittzugangsanspruch, Art 5 DA)

Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.

Das Verlangen auf Datenzugang kann einfach, zB über ein Webportal, eingebracht werden.^[33] Es kann von folgenden Personen gestellt werden:

Nutzer,

einer Person, die im Namen eines Nutzers handelt.

Datenkategorien

Das Datenzugangsrecht gewährt Nutzern das Recht auf Zugang zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes generiert werden. Erfasst sind nur "ohne Weiteres verfügbare Daten" und Metadaten, die zur Auslegung und Nutzung der Daten erforderlich sind.

Daten sind "ohne Weiteres verfügbar" iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.

Auch Daten von "Second Hand"-Produkten sind erfasst.^[34]

Vom Datenzugangsrecht nicht gedeckt sind im Übrigen Daten, die bei der Nutzung selbständiger Dienstleistungen (zB Social-Media- oder Cloud-Dienste) entstehen.^[35]

Verhältnis zwischen direktem und indirektem Zugang

Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.^[36]

Art der Zugangsgewährung

Sowohl der direkte als auch der indirekte Zugang ist auf folgende Weise zu gewähren:

gegenüber dem Nutzer unentgeltlich,
- vom Dritten kann hingegen ein Entgelt verlangt werden,
einfach,
sicher,
in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format.

Beim indirekten Zugang ist dem Verlangen weiters auf folgende Weise nachzukommen:

unverzüglich,
soweit technisch durchführbar auf elektronischem Weg,
(falls relevant und technisch durchführbar) in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit.

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Der Dateninhaber kann bei Ausübung des Drittzugangsanspruchs im B2B-Verhältnis Entgelt verlangen. Dieses muss diskriminierungsfrei und angemessen^[37] sein, darf aber auch eine Marge enthalten.

Privilegien für Datenempfänger, die KMUs oder gemeinnützige Organisationen sind: Nur notwendige Kosten dürfen berechnet werden.

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).

Sicherheitsanforderungen

Nutzer und Dateninhaber können Datenzugang, -Nutzung und -Weitergabe gem Art 4 Abs 2 DA vertraglich beschränken, wenn eine solche Verarbeitung gegen rechtliche Sicherheitsanforderungen des vernetzten Produktes verstoßen und damit die Gesundheit oder die Sicherheit von natürlichen Personen gefährden könnte.

Verweigert der Dateninhaber die Weitergabe von Daten aus diesem Grund, so muss er die zuständige Behörde darüber informieren.

Selbst wenn ein Vertrag nicht zustande kommt, steht dem Dateninhaber wohl ein Leistungsverweigerungsrecht zu.^[38]

Schutz von Geschäftsgeheimnissen

Definition

Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:^[39]
Sie sind in dem Sinne geheim, dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;

sie sind von kommerziellem Wert, weil sie geheim sind;

sie sind Gegenstand von den Umständen entsprechenden angemessenen Geheimhaltungsmaßnahmen durch die Person^[40], die die rechtmäßige Kontrolle über die Informationen besitzt.^[41]

Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:^[42]

Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse^[43] unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).

Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht, kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die zuständige Behörde ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.

Besonderheiten bei der Weitergabe personenbezogener Daten

Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als Einwilligung in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.^[44] Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der Nutzer als Verantwortlicher und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer gemeinsam mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).

Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.^[45] In beiden Fällen riskieren sie Geldbußen.

Anonymisierung/Pseudonymisierung: ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.^[46]

Rollenverteilung nach der DSGVO

Aufgrund der teilweise überlappenden Anwendung von DSGVO und DA kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.^[47]

Exkurs: Rollendefinitionen nach der DSGVO


Bestimmung	Rolle	Definition	Erklärung
Art 4 Z 1 DSGVO	Betroffene Person	Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.	Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
Art 4 Z 7 DSGVO	Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.^[48] Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.^[49]
Art 4 Z 7 DSGVO	Gemeinsam Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.^[50]

Rollenverteilung nach DA und DSGVO anhand eines Beispiels:^[51] Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.

Rechtsakt	E-Scooter-Fahrerin	E-Scooter-Sharing-Unternehmen	Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)	Hersteller der E-Scooter
DA	Nutzer	Nutzer	Datenempfänger	Dateninhaber
DSGVO	Betroffener	Gemeinsam Verantwortliche		Verantwortlicher

Pflichten gemeinsam Verantwortlicher

Gemeinsam Verantwortliche sind verpflichtet, eine Vereinbarung gem Art 26 DSGVO abzuschließen. Diese hat insbesondere zu beinhalten:

wer welche Verpflichtung nach der DSGVO erfüllt,
- insb was die Wahrnehmung der Betroffenenrechte angeht, und
- wer welchen Informationspflichten nachkommt,
die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen.

Außerdem kann angeführt werden:

eine Anlaufstelle für die betroffenen Personen.

Ungeachtet der Einzelheiten der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem einzelnen der Verantwortlichen geltend machen. Das Wesentliche der Vereinbarung ist der betroffenen Person zur Verfügung zu stellen.

Datenverwendungsrechte und Nutzungsbeschränkungen

Dateninhaber

Für den Dateninhaber bestehen umfassende Nutzungs- und Weitergabeverbote^[52]: Insbesondere darf der Dateninhaber die Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)^[53] und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).

Nutzer

Der Nutzer darf die abgerufenen Daten für jeden rechtmäßigen Zweck zu verwenden. Er kann die Daten auch mit Dritten teilen (sofern nicht vertraglich ausgeschlossen).

Der Nutzer darf sie jedoch weder zur Entwicklung konkurrierender Produkte noch zur Weitergabe an Dritte oder selbst mit der Absicht nutzen, Einblicke in die wirtschaftliche Lage, Vermögenswerte oder Produktionsmethoden des Herstellers oder Dateninhabers zu erlangen (Art 4 Abs 10 DA).

Datenempfänger

Datenempfänger dürfen die Daten nur für die mit dem Nutzer vereinbarten Zwecke und Bedingungen und im Einklang mit Datenschutzrecht nutzen. Insb können die Daten zur Erbringung eines Dienstes eingesetzt werden:

eines verbundenen Dienstes^[54] (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).

Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.

Datenempfänger unterliegen weiters ausdrücklich den folgenden Nutzungsbeschränkungen (Art 6 Abs 2 DA):

Profiling: Profiling ist nur erlaubt, wenn es zur Bereitstellung des gewünschten Dienstes erforderlich ist.
Weitergabe von Daten an andere Dritte:
- Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
- Verbot der Weitergabe an "Torwächter" iSd DMA^[55]
Wettbewerbszwecke: Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
- Das Wettbewerbsverbot gilt jedoch nicht für Daten verbundener Dienste, da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).

Bedingungen zur Datenbereitstellung: FRAND-Grundsätze

Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:

fair
- Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
angemessen
- keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers^[56]
nichtdiskriminierend
- gleiche Behandlung vergleichbarer Empfänger (Art 8 Abs 3 DA); Verbot der Willkür^[56]
transparent

Unzulässige Vertragsklauseln: Eine Vertragsklausel zum Datenzugang und zur Datennutzung ist nicht bindend, wenn sie missbräuchlich ist oder die Zugangsrechte des Nutzers ausschließt oder ändert.

Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV)

Art 13 DA definiert unabdingbare Grenzen in Bezug auf Nebenabreden, die allgemein im B2B-Bereich (nicht nur gegenüber KMU) gelten: Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten, die ein Unternehmen einem anderen Unternehmen einseitig auferlegt, sind für letzteres Unternehmen nicht bindend, wenn sie missbräuchlich sind. Die Inhaltskontrolle unterscheidet nicht nach dem Vertragsverhältnis und kommt damit auf das Verhältnis zwischen Dateninhaber und Nutzer zur Anwendung, sowie auf das Verhältnis zwischen Dateninhaber und Drittem.^[57]

Als "einseitig auferlegt" gelten Vertragsklauseln, wenn die benachteiligte Partei trotz Verhandlungsversuchs keinen Einfluss auf ihren Inhalt nehmen konnte. Es bedarf also eines Widerspruchs.^[58] Die Partei, die die Vertragsklausel auferlegt hat, trägt die Beweislast dafür, dass die Klausel nicht einseitig auferlegt wurde.


Kategorie^[59]	Allgemeines	Vertragsklausel
Generalklausel		Grobe Abweichung von der guten Geschäftspraxis Verstoß gegen das Gebot von Treu und Glauben
Schwarze Klauseln (Blacklist)	Keine Wertungsmöglichkeit	Haftungsbeschränkungen und Haftungsausschlüsse für vorsätzliche oder grob fahrlässige Handlungen der auferlegenden Partei Ausschluss von Rechtsbehelfen bei Nichterfüllung von Vertragspflichten oder Haftungsausschlüsse bei solchen Pflichtverletzungen Einräumung eines einseitigen Rechts, die Vertragsmäßigkeit der gelieferten Daten oder die Auslegung der Vertragsklauseln zu bestimmen
Graue Klauseln (Greylist)	Vermutung der Missbräuchlichkeit; Bewertung der konkreten Umstände	Unangemessene Beschränkung von Rechtsmitteln bei Nichterfüllung von Vertragspflichten, Haftungsbeschränkung bei Verletzung dieser Pflichten oder Erweiterung der Haftung des benachteiligten^[60] Unternehmens Zugangsrecht der auferlegenden Partei zu Daten, insbesondere sensiblen Geschäftsdaten oder Geschäftsgeheimnissen, auf eine Weise, die den berechtigten Interessen der benachteiligten Partei erheblich schadet Unangemessene Einschränkung oder Verweigerung der Nutzung, Erfassung, Kontrolle, Verwertung oder des Zugriffs auf von durch die benachteiligte Partei bereitgestellten oder generierten Daten Verweigerung der Kündigung innerhalb angemessener Frist durch die benachteiligte Partei Verweigerung der Herausgabe einer Kopie der von der benachteiligten Partei bereitgestellten oder generierten Daten Möglichkeit für die auferlegende Partei, den Vertrag mit unangemessen kurzer Frist zu kündigen, unter Berücksichtigung realistischer Wechselmöglichkeiten für die andere Vertragspartei und des finanziellen Nachteils, außer bei Vorliegen schwerwiegender Gründe Recht der auferlegenden Partei, den Preis oder wesentliche Vertragsbedingungen ohne stichhaltige Begründung einseitig zu ändern, ohne dass die benachteiligte Partei den Vertrag kündigen kann

Ausschluss der geltungserhaltenden Reduktion: Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.

Für Verträge im B2C-Bereich, also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL^[61] zur Anwendung.^[62]

B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V)

B2G-Datenzugang - Research Institute CC BY 4.0

Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:

Öffentlicher Notstand (Art 15 Abs 1 lit a DA): Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands erforderlich sind und sie auf anderem Wege nicht rechtzeitig und wirksam beschafft werden können.
Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA): Zugang kann verlangt werden, wenn eine gesetzlich vorgesehene Aufgabe im öffentlichen Interesse vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch^[63] des Unternehmens.

Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der DGA noch die Open Data und PSI 2-RL kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).

Pflichten für Anbieter von Datenverarbeitungsdiensten: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII)

Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit Kunden leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.^[64]

Anwendungsbereich:^[65]

Cloud-Computing-Dienste: Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.^[66]
- IaaS: Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
- PaaS: Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
- SaaS: Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
Edge-Computing-Dienste^[67]

Ausnahmen: Die Anforderungen dieses Abschnitts gelten nicht für

maßgeschneiderte Cloud-Dienste (Individualsoftware), dh wenn die meisten Funktionen^[68] auf die spezifischen Bedürfnisse eines einzelnen Kunden zugeschnitten sind;^[69]

Datenverarbeitungsdienste, die nur zu Test- und Bewertungszwecken für einen begrenzten Zeitraum bereitgestellt werden.^[70]

In diesen Fällen sind jedoch Informationspflichten zu beachten.

Hosting-Dienste im engeren Sinn dürften von der Begrifflichkeit erst gar nicht erfasst sein.^[71]

Anwendungsfälle: Beim Wechsel zwischen Datenverarbeitungsdiensten wird sodann zwischen drei Szenarien unterschieden:^[72]


Option	Szenario
Option 1	Wechsel von einem Datenverarbeitungsdienst zu einem anderen gleichartigen Datenverarbeitungsdienst
Option 2	Wechsel von einem Datenverarbeitungsdienst zu IKT-Struktur in eigenen Räumlichkeiten ("On-Premise-Anbieter")^[73]
Option 3	Wechsel von einem Datenverarbeitungsdienst zu mehreren Datenverarbeitungsdiensten parallel

Der Wechsel ist auf Verlangen^[74] des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.^[75]

Konkrete Pflichten der Anbieter

Vertragsgestaltung und Informationspflichten (Art 25, 26, 28 DA): Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit unverbindlichen Standardvertragsklauseln Anhaltspunkte für die Vertragsgestaltung geben.^[76]
Loyalitätspflicht (Art 27 DA): Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
Entgeltgestaltung (Art 29 DA): Sog Wechselentgelte^[77] für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten^[78], müssen schrittweise reduziert werden.^[79] Ab dem 12. 1. 2027 darf Kunden grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.^[80]
Technische Verpflichtungen (Art 30 DA): Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von PaaS- und SaaS-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und Kompatibilität sicherstellen. Bei IaaS-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen Kunden ihre Daten eigenständig übertragen können (Funktionsäquivalenz).^[81]
Interoperabilität: Die vorangehenden Bestimmungen werden um Vorgaben zur Interoperabilität in Kapitel VIII ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.

Internationaler Datentransfer

Werden personenbezogene Daten in Drittländer übermittelt, so kommt Kapitel V der DSGVO zur Anwendung. In Ergänzung regelt Kap VII DA den Schutz nicht-personenbezogener Daten vor unrechtmäßigem Zugriff durch Drittländer.

Einen Vergleich über die beiden Rechtsakte bietet die folgende Tabelle, aus der erkennbar ist, dass der Tatbestand des DA enger gefasst ist:^[82]


	DSGVO	DA
Transfer	rechtmäßige und unrechtmäßige Übertragungen und Zugriffe	unrechtmäßige internationale Datenübertragungen oder Zugriffe
Daten	personenbezogene Daten	nicht personenbezogene Daten
Zugang	durch jedermann	staatlich

Anbieter von Datenverarbeitungsdiensten müssen dem DA zufolge geeignete Maßnahmen ergreifen, um Zugriffe oder Übermittlungen zu verhindern, die gegen EU-Recht oder nationales Recht verstoßen würden.

Die Datenübermittlung durch Anbieter von Datenverarbeitungsdiensten aufgrund eines Gerichtsurteils oder einer verwaltungsbehördlichen Entscheidung eines Drittlands, ist nur unter estimmten Voraussetzungen rechtmäßig. Dies ist der Fall, wenn die Übermittlung auf einer rechtskräftigen internationalen Übereinkunft, wie einem Rechtshilfeabkommen, basiert. Fehlt eine solche Übereinkunft, dürfen Daten nur unter strengen Bedingungen übermittelt werden. Schließlich ist lediglich die minimal erforderliche Datenmenge bereitzustellen. Der Kunde bzw Dateninhaber ist über das Datenzugriffsverlangen vorab zu informieren, es sei denn, dies würde strafrechtliche Ermittlungen gefährden.

Der DGA sieht ähnliche Bestimmungen vor.

Interoperabilität (Kapitel VIII)

In der Datenstrategie wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.^[83]

Definition

Interoperabilität: Die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen (Art 2 Z 40 DA).

Ziel des Kapitels VIII DA ist es, technische und rechtliche Standards zu definieren, die die Zusammenarbeit und den Datenaustausch erleichtern. Dafür werden entwicklungsoffene Mindestanforderungen festgelegt. Die konkrete Ausgestaltung wird künftig wesentlich von delegierten Rechtsakten, Spezifikationen und Normen abhängen.^[84]

Interoperabilität in Datenräumen (Art 33)

Teilnehmer an Datenräumen, die anderen Daten oder Datendienste anbieten, müssen Transparenz gewährleisten. Dafür bedarf es Informationen über Folgendes:

Beschreibung von Daten und Metadaten: Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen, Datenerhebungsmethoden, Datenqualität und Unsicherheiten müssen – ggf in maschinenlesbarem Format – beschrieben werden, um dem Empfänger das Auffinden der Daten, den Datenzugang und die Datennutzung zu ermöglichen;
Beschreibung der Standards: Die Datenstrukturen, Datenformate, Vokabulare, Klassifizierungssysteme, Taxonomien und Codelisten, sofern verfügbar, sind einheitlich und öffentlich verfügbar zu beschreiben;
Beschreibung der technischen Zugangsmechanismen: Die technischen Mittel für den Datenzugang, wie etwa APIs, sowie ihre Nutzungsbedingungen und die Dienstqualität sind zu beschreiben, um grds den automatischen Datenzugang und die automatische Datenübermittlung zwischen den Parteien, auch kontinuierlich, im Massen-Download oder in Echtzeit in einem maschinenlesbaren Format zu ermöglichen;
Interoperabilität von Tools: Es sind ggf die Mittel bereitzustellen, mit denen die Interoperabilität von Tools für die Automatisierung der Ausführung von Verträgen über die Datenweitergabe, wie intelligenten Verträgen, ermöglicht wird.

Weitere Anforderungen in delegierten Rechtsakten

Die Kommission kann ergänzend dazu spezifische Anforderungen durch delegierte Rechtsakte erlassen, um technologische Entwicklungen und Marktentwicklungen zu berücksichtigen.

Interoperabilität bei Datenverarbeitungsdiensten (Art 34 und Art 35)

Parallele Nutzung von Datenverarbeitungsdiensten

Bestimmte Anforderungen, die für den Wechsel von Datenverarbeitungsdiensten gelten, sind allgemein auch für die parallele Nutzung verschiedener Dienste anwendbar. Damit können Kunden Datenverarbeitungsdienste kompatibel parallel nutzen.^[85]

Kostenregelung: Anbieter können die Datenextraktionsentgelte verlangen, die tatsächlich entstanden sind.

Datenverarbeitungsdienste im Übrigen

Durch Spezifikationen der Kommission und Normen^[86] werden künftig folgende Aspekte geregelt:

die Transportinteroperabilität;
die Datenübertragbarkeit;
die Übertragbarkeit von Anwendungen.

Die Spezifikationen werden in der zentralen Datenbank der Union für Normen für Datenverarbeitungsdienste veröffentlicht.

Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36)

Art 36 wendet sich an Anbieter von Anwendungen, in denen intelligente Verträge verwendet werden.

Definition

Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).

Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.^[87] Der Einsatz von Blockchain-Technologie bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.^[88] Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.^[89] Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.^[90]

Wesentliche Anforderungen


Anforderung	Erklärung
Robustheit und Zugangskontrolle	Smart Contracts müssen sicher gestaltet sein, um Funktionsfehler zu vermeiden und Manipulationen durch Dritte auszuschließen. Zugangskontrollmechanismen müssen gewährleisten, dass nur autorisierte Personen Zugriff erhalten.
Sichere Beendigung und Unterbrechung	Es bedarf Mechanismen, um die Ausführung von Transaktionen bei Bedarf sicher zu beenden oder zu unterbrechen.
Datenarchivierung und Datenkontinuität	Bei der Deaktivierung oder Beendigung eines Vertrags muss gewährleistet sein, dass alle relevanten Transaktionsdaten, die Logik und der Programmcode zwecks Überprüfbarkeit archiviert werden.
Kohärenz	Smart Contracts müssen mit den Bedingungen der zugrunde liegenden Datenweitergabevereinbarung übereinstimmen.

Konkretisierungen können durch Normen und Durchführungsrechtsakte erfolgen.

Konformitätsbewertung und -vermutung

Der Anbieter eines Smart Contracts muss eine interne^[91] Konformitätsbewertung im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine EU-Konformitätserklärung auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.^[92]

Fallbeispiele

Dienste im Folgemarkt: Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.

Auswirkungen auf Forschungsprojekte:^[93]

Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.^[94]

Entwicklung von KI-Technologien:

Datenräume, wie sie durch den DA gefördert werden, können maßgeblich zur Entwicklung und Implementierung von KI-Technologien beitragen, die den Anforderungen an Transparenz, Verantwortlichkeit und Sicherheit der KI-VO entsprechen, indem sie Interoperabilität, Compliance und Innovation ermöglichen.^[95]

Datenräume bieten Zugang zu qualitativ hochwertigen Datensätzen, die für die Entwicklung vertrauenswürdiger KI-Systeme, insbesondere im Kontext der Anforderungen an Hochrisiko-KI und GPAI nach der KI-VO, essenziell sind (Art 10 KI-VO). Zudem erleichtern sie beispielsweise die Erfüllung von Dokumentations- und Protokollierungspflichten nach Art 11, 12 und 53 KI-VO, indem sie als Plattform für den Austausch technischer Informationen dienen.

Datenräume können auch Erleichterungen bei der Einhaltung gesetzlicher Vorschriften im Bereich Datenschutz, Cybersicherheit und Urheberrecht bieten. So können sie Rechteinhaber*innen Mechanismen bieten, die Nutzung ihrer Werke für das Training von KI-Modellen zu kontrollieren, zB durch klare Opt-out-Möglichkeiten oder durch die Definition zulässiger Verwendungszwecke.

Synergien

Daten Governance

Der DA ergänzt den DGA. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.^[96]

Sektorspezifische Datenräume

Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den Europäischen Gesundheitsdatenraum. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. Fehlt eine ausdrückliche, gesetzliche Regelung zur Geltung der allgemeinen Bestimmungen, ist eine Abwägung der konkreten Bestimmungen im Einzelfall vorzunehmen.^[97]

Datenschutz

Vorrangregelung

Unberührtheitsklausel:^[98] Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO ^[99], der Datenschutzverordnung für die Stellen der EU^[100], die ePrivacy-RL^[101], einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich Vorrang. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA ergänzt: Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

Da jedoch eine ausführliche Erklärung über das Verhältnis von DA und Datenschutzrecht fehlt, kann ein Konflikt im Einzelfall zu erheblicher Rechtsunsicherheit führen, die erst im Laufe der Zeit durch Judikatur und Behördenpraxis geklärt werden kann.^[102]

Rechtsgrundlage für die Datenverarbeitung

Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.^[103]

Einhaltung datenschutzrechtlicher Grundsätze

Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog Privacy-Enhancing Technologies - PETs) können Risiken einschränken.^[104]

Datenportabilität

Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte ergänzen die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).^[105] Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.^[106]

Überblick über die Rechte im Vergleich:


	Datenzugangsrecht nach dem DA	Recht auf Datenportabilität nach der DSGVO
Zweck	Lock-in-Effekte reduzieren
Berechtigte	(geschäftliche und private) Nutzer	betroffene (natürliche) Personen
Empfänger	Nutzer oder Dritter (Datenempfänger)	Nutzer oder ein anderer datenschutzrechtlicher Verantwortlicher
Art der Daten	(personenbezogene und nicht personenbezogene) Daten von vernetzten Produkten und verbundenen Diensten, aber nicht abgeleitete^[107] Daten	personenbezogene Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat und die mithilfe automatisierter Verfahren verarbeitet werden, einschließlich nutzungsbezogene Daten, aber nicht abgeleitete oder aus Rückschlüssen erzeugte Daten^[108]
Weitere Voraussetzungen		Die Verarbeitung beruht auf einer Einwilligung oder einem Vertrag
Format	umfassendes, strukturiertes, gängiges und maschinenlesbares Format; Übermittlung der Metadaten; soweit relevant und technisch durchführbar, in der gleichen Qualität wie für den Dateninhaber, kontinuierlich und in Echtzeit	strukturiertes, gängiges und maschinenlesbares Format;^[109] Übermittlung der Metadaten^[110]

Internationaler Datentransfer

DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.^[111]

Schutz von Geschäftsgeheimnissen

Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse^[112] sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch Einwendungsmöglichkeiten für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.^[113]

Datenbankherstellerrecht

Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL^[114] kann ein Dateninhaber nicht als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).^[115]

Digital Markets Act

Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.^[116] Um den Zielen des DA nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom Drittzugangsanspruch ausgeschlossen (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.^[117]

Durchsetzung

Zuständige Behörde

Die Zuständigkeit richtet sich nach nationalem Recht. Die Aufgaben der zuständigen Behörden umfassen die Förderung von Datenkompetenz, die Bearbeitung von Beschwerden, die Durchführung von Untersuchungen und die Verhängung von Sanktionen. Zudem koordinieren sie ihre Arbeit untereinander sowie mit anderen relevanten nationalen und europäischen Stellen. Wird mehr als eine Behörde benannt, so ist eine von diesen als Datenkoordinator zu benennen. Dieser erleichtert die Zusammenarbeit zwischen den zuständigen Behörden und dient als zentraler Ansprechpartner für Fragen zum DA.

Zuständigkeiten sektoraler Behörden bleiben unberührt. Die Datenschutzbehörde ist auch bei der Anwendung des DA verantwortlich für die Überwachung des Schutzes personenbezogener Daten.

Rechtsdurchsetzung und Sanktionen

Beschwerderecht

Natürliche und juristische Personen können gem Art 38 DA Beschwerde bei der zuständigen Behörde einlegen, wenn sie eine Verletzung ihrer Rechte nach dem DA vermuten.

Der Datenkoordinator unterstützt auf Anfrage mit notwendigen Informationen zur Einreichung.

Örtlich zuständig ist die Behörde des Mitgliedstaats des Aufenthaltsorts, Arbeitsplatzes oder der Niederlassung des Beschwerdeführers.

Gegen Entscheidungen einer zuständigen Behörde haben betroffene Personen gem Art 39 DA das Recht auf einen wirksamen gerichtlichen Rechtsbehelf. Bleibt eine zuständige Behörde bei einer Beschwerde untätig, können betroffene Personen gemäß nationalem Recht entweder einen gerichtlichen Rechtsbehelf einlegen oder eine Nachprüfung durch eine unparteiische Stelle beantragen.

Streitbeilegungsstelle

Die Mitgliedstaaten können Streitbeilegungsstellen benennen. Diese Stellen sind zuständig für Streitigkeiten zu Sicherheits- und Geschäftsgeheimnisschutz, fairen und diskriminierungsfreien Bedingungen bei Datenzugang und -nutzung. Voraussetzung ist jedoch, dass beide Parteien der Schiedsentscheidung freiwillig vorab zustimmen.

Zivilgerichtliche Rechtsdurchsetzung

Die Ansprüche nach dem DA, insb Datenzugangsansprüche oder die Anforderungen an das Cloud-Switching, können auch vor den ordentlichen Gerichten eingeklagt werden. Der ordentliche Rechtsweg ist parallel zu einem etwaigen Beschwerdeverfahren möglich.^[118]

Sanktionen

Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch nationales Recht konkretisiert werden.^[119] Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen mit Rückwirkung sind grds möglich (Art 37 Abs 5 lit d DA).

Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:

Art, Schwere, Umfang und Dauer des Verstoßes;
getroffene Maßnahmen zur Schadenbehebung und -minderung;
frühere Verstöße;
die finanziellen Vorteile, die durch den Verstoß erzielt hat;
sonstige erschwerende oder mildernde Umstände des jeweiligen Falls;
der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der Union.

Davon unberührt bleibt die Möglichkeit der Datenschutzbehörde, Geldstrafen nach der DSGVO zu verhängen. Diese können 20 Mio EUR oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen (Art 40 Abs 4 DA iVm Art 83 Abs 5 DSGVO).

EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)

Der Europäische Dateninnovationsrat (EDIB) wurde gem Art 29 DGA eingesetzt. Nach dem DA unterstützt der EDIB die Kommission und die zuständigen Behörden durch Beratung, Förderung der Zusammenarbeit, Entwicklung harmonisierter Normen und Leitlinien sowie bei der Koordination grenzüberschreitender Verfahren zur einheitlichen Anwendung des DA (Art 42 DA).

Mustervertragsklauseln der Kommission

Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

Bedingungen für eine angemessene Gegenleistung ,
Bedingungen für den Schutz von Geschäftsgeheimnissen,
Standardvertragsklauseln für Verträge über Cloud-Computing.

Es gibt zwar keine Verpflichtung, diese Musterverträge zu verwenden. Im Streitfall könnten diese jedoch indizieren, wie angemessene und ausgewogene Vereinbarungen aussehen sollen.^[120]

Weiterführende Literatur

Einführende Werke

Hoeren/Pinelli, Data Law (2025, iE).
Hennemann/Ebner/Karsten, Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
Knyrim, DA - Data Act (2025).
Sattler/Zech (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
Schreiber/Pommerening/Schoel, Der neue Data Act² (2024).
Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare und Sammelbände

Augsberg/Gehring (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
Bomhard/Schmidt-Kessel, EU Data Act (2025, iE).
Czychowski/Lettl/Steinrötter, Data Act (2025, iE).
Paschke/Schumacher, EU Data Act (2025).
Specht/Hennemann, Data Act. Data Governance Act² (2025, iE).
Wolff/Brink/Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (1. 8. 2024).

Weiterführende Links

Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).

Nachweise

↑ RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.
↑ RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.
↑ Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: DSA; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181.
↑ Art 1 Abs 7 DA.
↑ VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.
↑ ErwGr 14 DA.
↑ Hoeren/Pinelli, Data Law 23.
↑ Krit zum Verhältnis dieser Definitionen etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 2 Rz 11.
↑ Art 1 Abs 2 DA; Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).
↑ Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ ErwGr 17 DA.
↑ Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
↑ Wiedemann/Conrad/Salemi, Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.
↑ Europäische Kommission, Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 6 Rz 10 mwN.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).
↑ Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’,https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Im Detail Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).
↑ Schemmel in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 3 DA Rz 2.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 1.
↑ VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.
↑ Siehe zur Thematik etwa Wentzel/ Lutz, Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.
↑ Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA). Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).
↑ ErwGr 22 DA.
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 10, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 91 mwN.
↑ Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.
↑ Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.
↑ Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 97.
↑ Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 86.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).
↑ Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).
↑ EuGH C‑25/17, Zeugen Jehovas, ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 70.
↑ Vgl Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).
↑ Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).
↑ Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 20, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen.
↑ VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte), ABl L 2022/265, 1.
↑ ^56,0 ^56,1 Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 144.
↑ Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den FRAND-Bedingungen nach Art 8 Abs 1 DA, Schwamberger, Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 11.
↑ Siehe zum dreistufigen Ansatz etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 13 ff.
↑ Ie die Partei, der die Klausel einseitig auferlegt wurde.
↑ RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.
↑ Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 9.
↑ Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.
↑ ErwGr 78, 84 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 18 ff.
↑ ErwGr 81 DA; siehe zur Thematik auch Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten Förster, IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.
↑ So ErwGr 80 DA; diff Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 28 ff.
↑ Wohl mind 50%, Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 44.
↑ Art 31 Abs 1 DA.
↑ Art 31 Abs 2 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 27.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 3 ff.
↑ Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst zu einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind.
↑ Siehe dazu etwa ausführlicher Piltz/Zwerschke, Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 51.
↑ Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa Sattler, Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).
↑ Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.
↑ Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.
↑ Zur Thematik siehe etwa Lagoni, Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91.
↑ Art 34 Abs 2 DA, ErwGr 99 DA.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 54 ff; Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.
↑ Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.
↑ Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 4.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 9.
↑ Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 41; Schmidt in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁵⁰ Art 35 DA Rz 19 (1. 8. 2024) .
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 13.
↑ Berberich in BeckOK DatenschutzR⁴⁹ DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 16.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 12 f.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 38.
↑ Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 39.
↑ Straub/Bogenstahl, Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.
↑ ErwGr 49 DA.
↑ Siehe umfassend zur Thematik Data Spaces Support Centre (DSSC), Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).
↑ Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).
↑ Hoeren/Pinelli, Data Law 19.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 15 ff.
↑ VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.
↑ VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.
↑ RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.
↑ Krit etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 19.
↑ Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).
↑ Siehe dazu die Empfehlungen in International Working Group on Data Protection in Technology, Working Paper on “Data Sharing” (6.12.2024) 9 ff; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 14, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
↑ Siehe etwa zum Vergleich der beiden Rechtsinstrumente Knyrim/Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.
↑ Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind.
↑ Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.
↑ ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.
↑ Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 1.
↑ Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.
↑ Krit Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 20.
↑ RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.
↑ Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.
↑ Hoeren/Pinelli, Data Law 19.
↑ Europäische Kommission, Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 9 Rz 41 ff.
↑ Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.
↑ Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 22.

[1] RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.

[2] RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.

[3] Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: DSA; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181.

[4] Art 1 Abs 7 DA.

[5] VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.

[6] ErwGr 14 DA.

[7] Hoeren/Pinelli, Data Law 23.

[8] Krit zum Verhältnis dieser Definitionen etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 2 Rz 11.

[9] Art 1 Abs 2 DA; Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[10] Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[11] Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).

[12] Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[13] ErwGr 17 DA.

[14] Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[15] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).

[16] Wiedemann/Conrad/Salemi, Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.

[17] Europäische Kommission, Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[18] Unklar ist, ob ein Anbieter sämtliche Tatbestandsmerkmale erfüllen muss oder ob es ausreicht, wenn ein Element technisch nur bei einem Subdienstleister gegeben ist, siehe Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 6 Rz 10 mwN.

[19] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 15, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[20] Siehe Europäische Kommission, Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).

[21] Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’,https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (138).

[22] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).

[23] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[24] Im Detail Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.

[25] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).

[26] Schemmel in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 3 DA Rz 2.

[27] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 1.

[28] VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.

[29] Siehe zur Thematik etwa Wentzel/ Lutz, Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.

[30] Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA). Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[31] Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).

[32] ErwGr 22 DA.

[33] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[34] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 10, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[35] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).

[36] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 13, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[37] Leitlinien für die Berechnung einer angemessenen Gegenleistung werden von der Kommission erstellt.

[38] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 91 mwN.

[39] Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.

[40] Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.

[41] Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).

[42] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 97.

[43] Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.

[44] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.

[45] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.

[46] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 86.

[47] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).

[48] Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0 (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.

[49] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).

[50] EuGH C‑25/17, Zeugen Jehovas, ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, Fashion ID, ECLI:EU:C:2019:629, Rz 70.

[51] Vgl Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (141 f).

[52] Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).

[53] Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 20, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[54] Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen.

[55] VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte), ABl L 2022/265, 1.

[:0-56] 56,0 ^56,1 Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 4 Rz 144.

[57] Siehe zu den verschiedenen Vertragsverhältnissen und zum Verhältnis dieser Bestimmungen zu den FRAND-Bedingungen nach Art 8 Abs 1 DA, Schwamberger, Die Klauselkontrolle in Art. 13 Data Act, MMR 2024, 96 (97).

[58] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 11.

[59] Siehe zum dreistufigen Ansatz etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 13 ff.

[60] Ie die Partei, der die Klausel einseitig auferlegt wurde.

[61] RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.

[62] Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 5 Rz 9.

[63] Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.

[64] ErwGr 78, 84 DA.

[65] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 18 ff.

[66] ErwGr 81 DA; siehe zur Thematik auch Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten Förster, IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.

[67] So ErwGr 80 DA; diff Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 28 ff.

[68] Wohl mind 50%, Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 44.

[69] Art 31 Abs 1 DA.

[70] Art 31 Abs 2 DA.

[71] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 27.

[72] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 3 ff.

[73] Der DA regelt nur den Wechsel von einem Datenverarbeitungsdienst zu einem On-Premise-Anbieter, nicht aber den umgekehrten Fall. On-Premise-Anbieter sind daher insofern privilegiert, als sie von den Pflichten weitgehend nicht betroffen sind.

[74] Siehe dazu etwa ausführlicher Piltz/Zwerschke, Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).

[75] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 51.

[76] Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa Sattler, Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).

[77] Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.

[78] Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.

[79] Zur Thematik siehe etwa Lagoni, Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91.

[80] Art 34 Abs 2 DA, ErwGr 99 DA.

[81] Schreiber/Pommerening/Schoel, Der neue Data Act² § 6 Rz 54 ff; Feiler/Schuberth, Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.

[82] Zur Thematik siehe ausf Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 5 ff.

[83] Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.

[84] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 4.

[85] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 7 Rz 9.

[86] Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 41; Schmidt in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁵⁰ Art 35 DA Rz 19 (1. 8. 2024) .

[87] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 13.

[88] Berberich in BeckOK DatenschutzR⁴⁹ DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.

[89] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 16.

[90] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 12 f.

[91] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 38.

[92] Berberich in Wolff/Brink/Ungern-Sternberg, BeckOK DatenschutzR⁴⁹ Art 36 DA Rz 39.

[93] Straub/Bogenstahl, Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.

[94] ErwGr 49 DA.

[95] Siehe umfassend zur Thematik Data Spaces Support Centre (DSSC), Generative AI And Data Spaces White Paper, 54 ff, https://dssc.eu/space/News/blog/380600324/The+new+%E2%80%9CGenerative+AI+and+Data+Spaces%22+white+paper+of+the+Strategic+Stakeholder+Forum+is+now+available (Oktober 2024).

[96] Europäische Kommission, Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).

[97] Hoeren/Pinelli, Data Law 19.

[98] Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 15 ff.

[99] VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.

[100] VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.

[101] RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.

[102] Krit etwa Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 19.

[103] Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).

[104] Siehe dazu die Empfehlungen in International Working Group on Data Protection in Technology, Working Paper on “Data Sharing” (6.12.2024) 9 ff; Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[105] Siehe dazu Europäische Kommission, Frequently Asked Questions Data Act, V 1.2, 14, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).

[106] Siehe etwa zum Vergleich der beiden Rechtsinstrumente Knyrim/Briegl, Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.

[107] Siehe ErwGr 15 DA. Vertraglich kann freilich vereinbart werden, dass auch diese Daten bereitzustellen sind.

[108] Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 10.

[109] ZB GPX, JSON, siehe BVwG 7.9.2023, W211 2261980-1 Rz 3.3.2.

[110] Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.

[111] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 15 Rz 1.

[112] Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.

[113] Krit Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 3 Rz 20.

[114] RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.

[115] Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.

[116] Hoeren/Pinelli, Data Law 19.

[117] Europäische Kommission, Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).

[118] Schreiber/Pommerening/Schoel, Der neue Data Act² (2024) § 9 Rz 41 ff.

[119] Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.

[120] Schreiber/Pommerening/Schoel, Der neue Data Act² § 3 Rz 22.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

[93]

[94]

[95]

[96]

[97]

[98]

[99]

[100]

@@ Zeile 1: / Zeile 1: @@
-'''Langtitel:''' Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)
+{{Infobox Rechtsakt (EU)|Typ=Verordnung|Jahr=2023|Nummer=2854|Vertrag=EU|EWR=ja|Titel=Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828|Kurztitel=Data Act/Datenverordnung|Bezeichnung=DA|Rechtsmaterie=Wettbewerbsrecht|Grundlage=AEUV, insbesondere {{Art.|114|AEUV|dejure|}}|Fundstelle=ABl L 2023/2854, 1|Anzuwenden=12. September 2025 (mit Ausnahmen)|Gültig=inkraft}}
-'''Kurztitel:''' Datenverordung, Data Act (DA)
+{{TOC limit}}
 == Kurzübersicht ==
@@ Zeile 25: / Zeile 25: @@
 * Zivilrechtliche Ansprüche
 |-
-|Gerechtere Verteilung des Wertes von Daten und mehr Kontrolle über die eigenen Daten
+|Gerechtere Verteilung des Wertes von Daten; mehr Kontrolle über die eigenen Daten; Förderung von Wettbewerb und Innovation
 |Internet der Dinge
 |Stärkung der Rechte der Nutzer hinsichtlich des Zugangs zu und der Kontrolle über ihre generierten Daten
@@ Zeile 31: / Zeile 31: @@
 |
 * Ergänzt die DSGVO (insb Auskunftsrecht und Recht auf Datenportabilität)  durch spezifische Regelungen für nicht-personenbezogene Daten
-* Digitale Inhalte-RL<ref>Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen.</ref>
+* Digitale Inhalte-RL<ref>RL (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20.5.2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl L 2029/136, 1.</ref>
 | rowspan="2" |
 * Geldstrafen nach nationalem Recht (Rückwirkung möglich)
@@ Zeile 42: / Zeile 42: @@
 |
 * Wettbewerbsrecht
-* Klausel-Richtlinie<ref>Richtlinie 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen.</ref>
+* Klausel-Richtlinie<ref>RL 93/13/EWG des Rates vom 5.4.1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref>
 |-
 |Verbesserung der öffentlichen faktengestützten Entscheidungsfindung
@@ Zeile 48: / Zeile 48: @@
 |Ermöglichung des Zugangs zu Daten für öffentliche Stellen zur Verbesserung der Entscheidungsfindung und der öffentlichen Dienstleistungen
 |Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
-|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29. April 2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12. Juli 2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12. Juli 2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren. </ref>
+|Rechtsakte über die Datenweitergabe, den Datenzugang und die Datennutzung zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung<ref>Laut Art 1 Abs 6 DA sind damit insb die folgenden Rechtsakte gemeint: [[Digital Services Act (DSA)|DSA]]; VO (EU) 2021/784 des Europäischen Parlaments und des Rates vom 29.4.2021 zur Bekämpfung der Verbreitung terroristischer Online-Inhalte, ABl L 2021/172, 79; VO (EU) 2023/1543 des Europäischen Parlaments und des Rates vom 12.7.2023 über Europäische Herausgabeanordnungen und Europäische Sicherungsanordnungen für elektronische Beweismittel in Strafverfahren und für die Vollstreckung von Freiheitsstrafen nach Strafverfahren, ABl L 2023/191, 118; RL (EU) 2023/1544 des Europäischen Parlaments und des Rates vom 12.7.2023 zur Festlegung einheitlicher Regeln für die Benennung von benannten Niederlassungen und die Bestellung von Vertretern zu Zwecken der Erhebung elektronischer Beweismittel in Strafverfahren, ABl L 2023/191, 181. </ref>
 |
 * Mangelnde Effizienz
@@ Zeile 54: / Zeile 54: @@
 * Geldstrafen nach nationalem Recht
 |-
-|Stärkung des Vertrauens in Cloud-Infrastrukturen
+|Stärkung des Vertrauens in Cloud-Infrastrukturen; Förderung des Wettbewerbs
 |Cloud-Dienste
 |Einführung von Maßnahmen zur Verbesserung der Interoperabilität und Portabilität von Cloud-Diensten
 |Cloud-Anbieter müssen den Wechsel zwischen Diensten erleichtern
-|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>Verordnung (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union.</ref>
+|Ergänzung<ref>Art 1 Abs 7 DA.</ref> der Selbstverpflichtungsregelungen der Free-Flow-of-Data-VO<ref>VO (EU) 2018/1807 des Europäischen Parlaments und des Rates vom 14.11.2018 über einen Rahmen für den freien Verkehr nicht-personenbezogener Daten in der Europäischen Union, ABl L 2018/303, 59.</ref>
 |
 * Lock-in-Effekte
@@ Zeile 67: / Zeile 67: @@
 == Einleitung und Hintergrund ==
-Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die zweite [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] dar und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>EG 14 DA.</ref>
+Der DA bildet zusammen mit dem [[Data Governance Act (DGA)|DGA]] die erste [[Data Governance Act (DGA)#Hintergrund|Säule der europäischen Datenstrategie]] und schafft ein umfassendes, sektorübergreifendes Regelwerk für den Umgang mit Daten. Im Mittelpunkt stehen Regeln für die Nutzung von Daten vernetzter Produkte und verbundener Dienste im [[Data Act (DA)#Internet der Dinge|Internet der Dinge (Internet of Things, IoT)]].<ref>ErwGr 14 DA.</ref>
-[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie]]
+[[Datei:Datenstrategie.jpg|mini|Der DA als Teil der ersten Säule der Datenstrategie - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
 Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbraucher*innen (B2C) sowie Unternehmen und staatlichen Stellen (B2G).
 === Internet der Dinge ===
-Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (EG 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref>  [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge]]
+Im Internet der Dinge erfassen vernetzte Produkte enorme Mengen an Daten über ihre Leistung, Nutzung oder Umgebung und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen. Der DA ist das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll (ErwGr 14 f DA).<ref>''Hoeren/Pinelli'', Data Law 23.</ref>  [[Datei:Internet der Dinge.jpg|mini|Vernetzte Produkte im Internet der Dinge - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
 === Ziele des DA ===
-Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (EG 2 DA):
+Der DA zielt darauf ab, Innovation zu fördern, indem insb folgende Hürden abgebaut werden, die bislang den Zugang zu Daten erschweren (ErwGr 2 DA):
 * Starke '''Fragmentierung''' von Informationen in '''Datensilos''',
 * '''Mangel an Anreizen''' für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
@@ Zeile 99: / Zeile 99: @@
 |Datenweitergabe B2C und B2B
 |Daten, die die '''Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten''' betreffen.
-Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.
+Das sind sämtliche '''Rohdaten und vorverarbeiteten Daten''', die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber '''leicht verfügbar''' sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.<ref>Die Anwendung datenschutzfördernder Technologien (Privacy-Enhancing Technologies, PETs) führt nicht automatisch dazu, dass die resultierenden Daten als abgeleitete Daten gelten; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
 |-
 |III
@@ Zeile 126: / Zeile 126: @@
 !Person
 !Definition relevanter Tatbestandsmerkmale
-!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+!Beispiel<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6. 9. 2024).</ref>
 |-
 |
@@ Zeile 134: / Zeile 134: @@
 * der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
 * dessen Hauptfunktion '''nicht''' die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
-|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+|Hersteller von vernetzten Autos, Gesundheitsüberwachungsgeräten, Smart-Home-Geräten, Flugzeugen, Robotern, Industriemaschinen<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
 |-
 |
@@ Zeile 141: / Zeile 141: @@
 * der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, '''dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte''' '''oder'''
 * der '''anschließend''' vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts '''zu ergänzen, zu aktualisieren oder anzupassen''',
-Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>EG 17 DA.</ref>
+Nicht: elektronische Kommunikationsdienste, einschl Bereitstellung von Konnektivität oder Stromversorgung<ref>ErwGr 17 DA.</ref>
-|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>
+|Anbieter einer Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.<ref>''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>
 |-
 |
 ==== Nutzer ====
-|Die natürliche oder juristische Person, die
+|Die natürliche oder juristische Person,
-* ein vernetztes Produkt besitzt,
+* die ein vernetztes Produkt besitzt,
 * der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder
-* die verbundenen Dienste in Anspruch nimmt.
+* die verbundene Dienste in Anspruch nimmt.
 Die Rechtsposition des Nutzers muss vertraglich erworben worden sein.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (77).</ref>
-In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (EG 21 DA).
+In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben (ErwGr 21 DA).
 Der Begriff unterscheidet sich vom Begriff des [[Data Governance Act (DGA)#Datenvermittlungsdienste|Datennutzers nach dem DGA]].
@@ Zeile 159: / Zeile 159: @@
 |
 ==== Dateninhaber ====
-|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/ Conrad/ Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
+|Die Person, die nach den einschlägigen gesetzlichen Bestimmungen berechtigt oder verpflichtet ist, Daten, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (und vernetzte Produktdaten)<ref>''Wiedemann/Conrad/Salemi'', Bereitstellung von Daten nach dem Data Act - offene Fragen und verbleibende Probleme, KuR 2024, 157.</ref> zu nutzen und bereitzustellen.
-Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 14, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref>
+Dateninhaber ist in der Praxis die Person, die den Zugriff auf die verfügbaren Daten kontrolliert. Das kann, muss aber nicht der Hersteller sein.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 16, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
 |Hersteller einer vernetzten Industriemaschine
 |-
@@ Zeile 199: / Zeile 199: @@
 |
 |}
+[[Datei:Dateninhaber, Europäische Kommission.png|links|mini|523x523px|Zum Begriff des Dateninhabers © Europäische Kommission<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 15, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>]]
 {| class="wikitable"
 |+
-! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.</ref>'''
+! colspan="2" |Beispiel'''<ref>Siehe ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained (Stand 6.9.2024).</ref>'''
 |-
 | colspan="2" |Die Privatperson A kauft einen vernetzten ("smarten") Kühlschrank, den B hergestellt hat, von der Händlerin C. Sie lädt eine entsprechende App des Anbieters D auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann. E, die Tochter von A, verbringt regelmäßig Zeit in As Wohnung und nutzt den Kühlschrank ebenfalls.
@@ Zeile 225: / Zeile 226: @@
 === Zeitlich ===
-Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 14, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
+Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem '''12. September 2025''' anwendbar. Bis dahin muss Datenzugriff sowohl in Bezug auf bereits auf dem Markt befindliche als auch in Bezug auf neue Produkte ermöglicht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 17,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
-'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12.9.2026 anwendbar, dh, dass die Vorgaben nur für vernetzte Produkte gelten, die nach September 2026 in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>
+'''Ausnahme''': Die Produktdesignpflichten sind erst ab 12. 9. 2026 anwendbar. Dh, die Vorgaben gelten nur für vernetzte Produkte, die nach diesem Datum in Verkehr gebracht werden.<ref>Im Detail ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 26 ff. Es kommt wohl auf den Zeitpunkt des tatsächlichen Zugänglichmachens einer Produktversion an und nicht auf den Zeitpunkt des Vertragsabschlusses.</ref>
 === Örtlich ===
 Der DA folgt dem '''Marktortprinzip''', das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden. Rechtsträger, die in der Union vernetzte Produkte bereitstellen oder Dienste anbieten, jedoch außerhalb der Union ansässig sind, müssen einen '''Vertreter''' benennen, der für die Einhaltung der Verordnung verantwortlich ist und als Ansprechpartner dient (Art 37 Abs 13 DA). Sie unterliegen der Zuständigkeit des Mitgliedstaats, in dem der Vertreter ansässig ist.
-Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 16, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</ref>
+Um in den Genuss der Rechte nach dem DA zu kommen, müssen '''Nutzer''' in der EU ansässig sein (Art 1 Abs 3 lit b DA). Zu beachten ist aber, dass die Datenzugangsansprüche unabhängig davon gelten, '''wo''' die Daten gespeichert werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 12,https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3.2.2025).</ref>
 == Zentrale Inhalte ==
-=== Datenzugang und Datenverwendung (Kap II bis III) ===
+=== Datenzugang und Datenverwendung (Kapitel II bis III) ===
-[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA|links]]
+[[Datei:Datenzugang.png|mini|562x562px|Datenzugang und Datenverwendung nach dem DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|links]]
-[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in BeckOK DatenschutzR<sup>49</sup> DA Art 3 Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>Verordnung (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) Nr. 715/2007 und (EG) Nr. 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref>
+[[Data Act (DA)#Dateninhaber|Dateninhabern]] kommt die '''technisch-faktische Herrschaft''' über Daten zu. Diese Tatsache erkennt der DA, durchbricht sie aber, indem [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzern]] Zugriffsrechte gewährt werden.<ref>''Schemmel'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 3 DA Rz 2.</ref> Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 1.</ref> Sie gelten branchenübergreifend. In einigen Bereichen können Sondervorschriften zur Anwendung kommen, zB sind Fahrzeughersteller zur Bereitstellung von Reparatur- und Wartungsinformationen (RMI) für Fahrzeuge nach der Typgenehmigungsverordnung<ref>VO (EU) 2018/858 des Europäischen Parlaments und des Rates vom 30.5.2018 über die Genehmigung und die Marktüberwachung von Kraftfahrzeugen und Kraftfahrzeuganhängern sowie von Systemen, Bauteilen und selbstständigen technischen Einheiten für diese Fahrzeuge, zur Änderung der Verordnungen (EG) 715/2007 und (EG) 595/2009 und zur Aufhebung der Richtlinie 2007/46/EG, ABl L 2018/151, 1.</ref> verpflichtet.<ref>Siehe zur Thematik etwa ''Wentzel/ Lutz'', Zugangsanspruch zu Reparatur- und Wartungsinformationen nach der Typgenehmigungsverordnung und Data Act - eine Gegenüberstellung, RAW 2024, 123.</ref>
 Für Klein- und Kleinstunternehmen gelten gewisse Erleichterungen von den Pflichten zur Datenweitergabe (Art 7 Abs 1 DA).
@@ Zeile 246: / Zeile 247: @@
 ===== Direkter Zugang: Datenzugang "by design" =====
-[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, EG 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 6, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, EG 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Dienstleistungen müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>EG 22 DA.</ref>
+[[Data Act (DA)#Verhältnis zwischen direktem und indirektem Zugang|Primär]] soll Nutzern standardmäßig ein direkter Zugang zu Produktdaten<ref>Produktdaten sind Daten, die durch die Nutzung eines vernetzten Produkts generiert werden und die der Hersteller so konzipiert hat, dass sie über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang von einem Nutzer, Dateninhaber oder Dritten – ggf einschließlich des Herstellers – abgerufen werden können. Nicht davon erfasst sind rein beschreibende Daten, die das vernetzte Produkt begleiten (zB in Benutzerhandbüchern oder auf der Verpackung) (Art 2 Z 15 DA, ErwGr 15 DA)''. Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 6, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).</ref> und verbundenen Dienstdaten<ref>Verbundene Dienstdaten sind Daten, die die Digitalisierung von Nutzerhandlungen oder Vorgängen iZm dem vernetzten Produkt darstellen und vom Nutzer absichtlich aufgezeichnet oder als Nebenprodukt der Handlung des Nutzers während der Bereitstellung eines verbundenen Dienstes durch den Anbieter generiert werden (Art 2 Z 16, ErwGr 15 DA).</ref>, einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten, auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von verbundenen Diensten müssen das Recht auf Datenzugang bereits bei der Technikgestaltung berücksichtigen, zB durch Schnittstellen, Datenspeicher am Gerät oder auf einem Server.<ref>ErwGr 22 DA.</ref>
-'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA):  Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
+'''Transparenzverpflichtung''' (Art 3 Abs 2 und Abs 3 DA): Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt bzw vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes sind gewisse Informationspflichten, insb zum Datenzugang, zu beachten.
 ===== Indirekter Zugang: Zugang auf Verlangen =====
 Dateninhaber haben den folgenden Personen Datenzugang auf Antrag zu gewähren:
@@ Zeile 256: / Zeile 257: @@
 Der Drittzugangsanspruch dient der Ermöglichung von Leistungen im Folgemarkt, wie der Reparatur oder Wartung vernetzter Produkte.
-Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 12, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref> Es kann von folgenden Personen gestellt werden:
+Das Verlangen auf Datenzugang kann '''einfach''', zB über ein Webportal, eingebracht werden.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Es kann von folgenden Personen gestellt werden:
 * [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]],
@@ Zeile 265: / Zeile 266: @@
 * '''Daten sind "ohne Weiteres verfügbar"''' iSd DA, wenn der Dateninhaber die Daten ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann.
-Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 9, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</ref>
+Auch Daten von "Second Hand"-Produkten sind erfasst.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 10, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
 Vom Datenzugangsrecht '''nicht''' gedeckt sind im Übrigen Daten, die bei der Nutzung '''selbständiger Dienstleistungen''' (zB Social-Media- oder Cloud-Dienste) entstehen.<ref>''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>
 ===== Verhältnis zwischen direktem und indirektem Zugang =====
-Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 12 und 14, <nowiki>https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act</nowiki>.</ref>
+Der Wortlaut des DA lässt Dateninhabern gewisse Flexibilität in Bezug darauf, ob der Datenzugang zum Teil oder vollständig direkt oder indirekt gewährt wird.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 13, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
 ===== Art der Zugangsgewährung =====
@@ Zeile 292: / Zeile 293: @@
 ==== Ausnahmen: Gründe für die Verweigerung des Datenzugangs ====
-In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (EG 31 letzter Satz DA).
+In bestimmten Sonderfällen, können Dateninhaber den Datenzugang verweigern. Zu beachten ist jedoch, dass die Ausnahmen von den Datenzugangsrechten laut dem DA die Rechte von Personen auf Zugang zu ihren personenbezogenen Daten und deren Übertragbarkeit gemäß der DSGVO nicht einschränken (ErwGr 31 letzter Satz DA).
 ===== Sicherheitsanforderungen =====
@@ Zeile 304: / Zeile 305: @@
 ====== Definition ======
-<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die alle nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref>
+<blockquote>Als Geschäftsgeheimnis sind Informationen zu qualifizieren, die sämtliche nachstehenden Kriterien erfüllen:<ref>Art 2 Z 18 DA iVm Art 2 Z 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1; § 26b Bundesgesetz gegen den unlauteren Wettbewerb 1984 – UWG BGBl 1984/448 idF BGBl I 2023/99.</ref>
 * Sie sind in dem Sinne '''geheim''', dass sie weder in ihrer Gesamtheit noch in der genauen Anordnung und Zusammensetzung ihrer Bestandteile den Personen in den Kreisen, die üblicherweise mit dieser Art von Informationen umgehen, allgemein bekannt oder ohne weiteres zugänglich sind;
 * sie sind von '''kommerziellem Wert,''' weil sie geheim sind;
-* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person, die die rechtmäßige Kontrolle über die Informationen besitzt.
+* sie sind Gegenstand von den Umständen entsprechenden angemessenen '''Geheimhaltungsmaßnahmen''' durch die Person<ref>Das ist der oder die Inhaber*in eines Geschäftsgeheimnisses.</ref>, die die rechtmäßige Kontrolle über die Informationen besitzt.<ref>Vgl zuletzt OGH 19.11.2024, 4 Ob 195/24s Rz 14 ff. Im konkreten Fall konnte sich die Antragstellering nicht auf Geheimnisschutz berufen, weil sie es verabsäumt hatte, das Geheimnis mit angemessenen Geheimhaltungsmaßnahmen zu schützen (hier: einem Zugangs- und Zugriffsschutz durch sofortigen Entzug des Passworts nach Ausscheiden der Arbeitnehmerin aus dem Unternehmen).</ref>
 </blockquote>Unterliegen Daten dem Schutz als Geschäftsgeheimnisse, so sieht der DA ein abgestuftes Einwendungssystem gegen Zugangsbegehren vor:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 97.</ref>
-Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (EG 31 DA).
+Dateninhaber sind grundsätzlich verpflichtet, Daten offenzulegen, selbst wenn diese als Geschäftsgeheimnisse dem Schutz der RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung, ABl L 2016/157, 1.</ref> unterliegen. Dateninhaber sollten jedoch angemessene technische und organisatorische Maßnahmen treffen, um die Vertraulichkeit der weitergegebenen Daten insb gegenüber Dritten zu wahren (zB Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes) (ErwGr 31 DA).
 Wenn trotz solcher Maßnahmen mit hoher Wahrscheinlichkeit ein '''schwerer wirtschaftlicher Schaden droht,''' kann in Ausnahmefällen die Datenweitergabe verweigert werden. Dies muss im Einzelfall begründet werden. Die [[Data Act (DA)#Zuständige Behörde|zuständige Behörde]] ist darüber zu informieren. Nutzer oder Dritte können diese Entscheidung anfechten.
@@ Zeile 318: / Zeile 319: @@
 Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten darstellt. Der DA verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.
-Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (EG 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (EG 34 DA).
+Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als '''Einwilligung''' in die Datenverarbeitung betrachtet und die Verarbeitung damit gerechtfertigt werden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139) mwN.</ref> Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, gilt der '''Nutzer als Verantwortlicher''' und benötigt gemäß Art 6 Abs 1 DSGVO (und ggf nach Art 9 DSGVO) eine Rechtsgrundlage, um die Übermittlung zu legitimieren, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (ErwGr 34 DA). Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Weiters ist der Nutzer verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer '''gemeinsam''' mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (ErwGr 34 DA).
 Dieser Aspekt kann zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne datenschutzrechtliche Rechtsgrundlage zu einem Verstoß gegen die DSGVO führen.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140) mwN.</ref> In beiden Fällen riskieren sie Geldbußen.
-'''Anonymisierung/Pseudonymisierung''': EG 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 86.</ref>
+'''Anonymisierung/Pseudonymisierung''': ErwGr 7 DA nennt zwar die Möglichkeit, Datenzugangsverlangen durch Anonymisierung oder Pseudonymisierung der Daten zu entsprechen. Derartige Maßnahmen stellen jedoch an sich Verarbeitungen personenbezogener Daten dar und benötigen eine entsprechende Rechtsgrundlage, die der DA selbst nicht bietet.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 86.</ref>
 ===== Rollenverteilung nach der DSGVO =====
@@ Zeile 343: / Zeile 344: @@
 |Verantwortlicher
 |Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
-|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
+|Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung.<ref>''Europäische Datenschutzausschuss'', Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0  (7. 7. 2021) Rz 21, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf.</ref> Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.<ref>''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (132 ff).</ref>
 |-
 |Art 4 Z 7 DSGVO
 |Gemeinsam Verantwortlicher
 |Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
-|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH 10.7.2018, C‑25/17, ''Zeugen Jehovas'' Rz 66; EuGH 29.7.2019, C-40/17, ''Fashion ID'' Rz 70.</ref>
+|Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.<ref>EuGH C‑25/17, ''Zeugen Jehovas,'' ECLI:EU:C:2018:551, Rz 66; EuGH C-40/17, ''Fashion ID,'' ECLI:EU:C:2019:629, Rz 70.</ref>
 |}
@@ Zeile 354: / Zeile 355: @@
 {| class="wikitable"
 !Rechtsakt
-!Scooter-Fahrerin
+!E-Scooter-Fahrerin
 !E-Scooter-Sharing-Unternehmen
 !Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)
@@ Zeile 367: / Zeile 368: @@
 |'''DSGVO'''
 |Betroffener
-| colspan="2" |Gemeinsam Verantwortliche
+| colspan="2" |<div class="center">Gemeinsam Verantwortliche</div>
 |Verantwortlicher
 |}
@@ Zeile 388: / Zeile 389: @@
 ====== [[Data Act (DA)#Dateninhaber|Dateninhaber]] ======
-Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 19, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).
+Für den Dateninhaber bestehen umfassende '''Nutzungs- und Weitergabeverbote'''<ref>Dabei handelt es sich nicht um absolute Rechte des Nutzers, sondern um schuldrechtliche Positionen, ''Schmidt-Kessel'', Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75 (78).</ref>: Insbesondere darf der Dateninhaber die Daten '''nur auf der Grundlage eines Vertrags''' mit dem Nutzer nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts)<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 20, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> und darf sie Dritten nur zur Vertragserfüllung bereitstellen. Die Daten dürfen außerdem nicht verwendet werden, um Einblicke in die wirtschaftliche Lage oder Marktposition des Nutzers zu erlangen (Art 4 Abs 13 und Abs 14, Art 8 Abs 4 DA).
 ====== [[Data Act (DA)#Nutzer von vernetzten Produkten oder verbundenen Diensten|Nutzer]] ======
@@ Zeile 399: / Zeile 400: @@
 * eines [[Data Act (DA)#Anbieter verbundener Dienste|verbundenen Dienstes]]<ref>Aus diesem Dienst werden wiederum neue Daten generiert, die dem Zugangsanspruch nach dem DA unterliegen. </ref> (etwa um die Funktionen des vernetzten Produkts zu ergänzen) oder
-* eines Dienstes im Aftermarkt (zB Reparatur oder Wartung des vernetzten Produkts).
+* eines Dienstes im Folgemarkt (zB Reparatur oder Wartung des vernetzten Produkts).
 Die Daten sind zu löschen, sobald sie für den vereinbarten Zweck nicht mehr benötigt werden, außer es wurde Abweichendes vereinbart.
@@ Zeile 407: / Zeile 408: @@
 * '''Weitergabe von Daten an andere Dritte''':
 ** Weitergabe an Dritte nur auf Grundlage eines Vertrags mit dem Nutzer
-** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 (Gesetz über digitale Märkte).</ref>
+** Verbot der Weitergabe an [[Digital Markets Act (DMA)#Anwendungsbereich|"Torwächter" iSd DMA]]<ref>VO (EU) 2022/1925 des Europäischen Parlaments und des Rates vom 14. September 2022 über bestreitbare und faire Märkte im digitalen Sektor und zur Änderung der Richtlinien (EU) 2019/1937 und (EU) 2020/1828 [[Digital Markets Act (DMA)|(Gesetz über digitale Märkte),]] ABl L 2022/265, 1.</ref>
 * '''Wettbewerbszwecke''': Keine Nutzung oder Weitergabe der Daten von vernetzten Produkten zur Entwicklung von Konkurrenzprodukten.
-** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (EG 32 DA).
+** Das Wettbewerbsverbot gilt jedoch nicht für '''Daten verbundener Dienste''', da der DA gerade darauf abzielt, dass Diensteanbieter Zugang zu diesen Daten erhalten und dadurch alternative Angebote entwickeln können. Damit soll Innovation auf den Folgemärkten gefördert werden (ErwGr 32 DA).
 ==== Bedingungen zur Datenbereitstellung: FRAND-Grundsätze ====
 Der DA verpflichtet den Dateninhaber, mit dem Datenempfänger Vereinbarungen über die Bedingungen für die Bereitstellung abzuschließen. Bedingungen müssen gem Art 8 Abs 1 DA den sog FRAND-Grundsätzen entsprechend folgendermaßen ausgestaltet sein:
 * '''fair'''
-** Verhinderung vertraglicher Ungleichgewichte (EG 5 DA)
+** Verhinderung vertraglicher Ungleichgewichte (ErwGr 5 DA)
 * '''angemessen'''
 ** keine zu starke wirtschaftliche oder rechtliche Beschränkung des Datenempfängers<ref name=":0">''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 4 Rz 144.</ref>
@@ Zeile 460: / Zeile 461: @@
 '''Ausschluss der geltungserhaltenden Reduktion''': Ist eine missbräuchliche Vertragsklausel abtrennbar, bleiben die übrigen Vertragsklauseln gültig.
-Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>Richtlinie 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 5 Rz 9.</ref>
+Für Verträge im '''B2C-Bereich''', also etwa wenn der Nutzer eines vernetzten Produkts ein Verbraucher ist, kommt die Klausel-RL<ref>RL 93/13/EWG des Rates vom 5. April 1993 über mißbräuchliche Klauseln in Verbraucherverträgen, ABl L 1993/95, 29.</ref> zur Anwendung.<ref>Art 1 Abs 9 DA; zum Verhältnis zwischen DA und Klausel-RL siehe etwa ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 5 Rz 9.</ref>
 === B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V) ===
-[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang]]
+[[Datei:B2G-Datenzugang.jpg|mini|B2G-Datenzugang - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
 Kapitel V regelt den Datenzugang bei außergewöhnlicher Notwendigkeit für öffentliche Stellen, die Kommission, die Europ Zentralbank und Einrichtungen der Union. Dies betrifft zwei Fälle:
 * '''Öffentlicher Notstand (Art 15 Abs 1 lit a DA):''' Behörden der Mitgliedstaaten und der EU können Zugang zu Daten des privaten Sektors erhalten, wenn die Daten zur Bewältigung eines öffentlichen Notstands '''erforderlich''' sind und sie auf anderem Wege '''nicht rechtzeitig und wirksam''' beschafft werden können.
 * '''Aufgabe im öffentlichen Interesse (Art 15 Abs 1 lit b DA):''' Zugang kann verlangt werden, wenn eine '''gesetzlich vorgesehene Aufgabe im öffentlichen Interesse''' vorliegt und alle anderen Mittel ausgeschöpft wurden. In diesem Fall besteht ein Entgeltanspruch<ref>Die Gegenleistung deckt gem Art 20 Abs DA mind die technischen und organisatorischen Kosten, die durch die Erfüllung des Verlangens entstehen, ggf einschl der Kosten einer Anonymisierung, Pseudonymisierung, Aggregation und technischen Anpassung, und einer angemessenen Marge.</ref> des Unternehmens.
+Die von den öffentlichen Stellen auf diese Weise erlangten Daten könnten Geschäftsgeheimnisse beinhalten (ErwGr 70 DA). Daher sollen diese Daten nicht als offene Daten betrachtet werden, die die Dritten zur Weiterverwendung zur Verfügung stehen. Weder der [[Data Governance Act (DGA)|DGA]] noch die [[Data Governance Act (DGA)#Open Data-Regulierung|Open Data und PSI 2-RL]] kommen auf diese Daten zur Anwendung (Art 17 Abs 3 DA). Die öffentliche Stelle kann die Daten jedoch an gemeinnützige Forschungsorganisationen zur Durchführung wissenschaftlicher Tätigkeiten weitergeben, sofern diese Tätigkeiten mit dem Zweck des ursprünglichen Datenverlangens vereinbar sind (Art 21 DA).
 === Pflichten für [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Anbieter von Datenverarbeitungsdiensten]]: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII) ===
-[[Datei:Cloud Switching.jpg|mini|Cloud-Switching|212x212px]]
+[[Datei:Cloud Switching.jpg|mini|Cloud-Switching - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]|212x212px]]
-Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>EG 78, 84 DA.</ref>
+Das Ziel dieses Abschnitts des DA ist es, Lock-In-Effekte zu vermeiden, damit [[Data Act (DA)#Kunde|Kunden]] leichter zwischen Datenverarbeitungsdiensten wechseln können. Durch diese Maßnahmen soll der Wettbewerb gefördert werden.<ref>ErwGr 78, 84 DA.</ref>
-'''Anwendungsbereich:''' Folgende Dienste sind als Datenvarbeitungsdienste zu qualifizieren:<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 18 ff.</ref>
+'''Anwendungsbereich:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 18 ff.</ref>
-* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>EG 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) <nowiki>https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter</nowiki>.</ref>
+* '''Cloud-Computing-Dienste''': Diese umfassen Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), Storage-as-a-Service, Database-as-a-Service.<ref>ErwGr 81 DA; siehe zur Thematik auch ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter; sowie zur vertragsrechtlichen Einordnung von Cloud-Diensten ''Förster,'' IT-Vertragsrecht: Teil 5 - Cloud-Computing (SaaS, PaaS und IaaS), MMR 1/2025.</ref>
 ** '''IaaS''': Bereitstellung von IT-Ressourcen wie Rechenleistung, Speicher und Netzwerkkapazitäten über das Internet. Kunden können die Infrastruktur nutzen, ohne eigene Hardware zu besitzen.
 ** '''PaaS''': Neben der Hardware umfasst PaaS auch Laufzeitumgebungen (zB Betriebssysteme, Datenbanken). Kunden erhalten eine Plattform, um Anwendungen zu entwickeln und zu betreiben.
 ** '''SaaS''': Bei SaaS wird zusätzlich die Software selbst angeboten. Kunden bringen lediglich ihre Daten ein (zB Web-Mail, Cloud-CRM oder HR-Systeme).
-* '''Edge-Computing-Dienste'''<ref>So EG 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 28 ff.</ref>
+* '''Edge-Computing-Dienste'''<ref>So ErwGr 80 DA; diff ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 28 ff.</ref>
 '''Ausnahmen''': Die Anforderungen dieses Abschnitts gelten nicht für
@@ Zeile 506: / Zeile 508: @@
 |Wechsel von einem Datenverarbeitungsdienst zu mehreren&nbsp;Datenverarbeitungsdiensten parallel
 |}
-Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 3/2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 51.</ref>
+Der Wechsel ist auf Verlangen<ref>Siehe dazu etwa ausführlicher ''Piltz/Zwerschke'', Cloud Switching nach dem Data Act aus der Beratungsperspektive CR 2024, 153 (156 f).</ref> des Kunden durchzuführen. Eine Kündigung des Vertrags mit dem ursprünglichen Anbieter wird für den Wechsel nicht gefordert.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 6 Rz 51.</ref>
 ==== Konkrete Pflichten der Anbieter ====
 * '''Vertragsgestaltung und''' '''Informationspflichten''' '''(Art 25, 26, 28 DA):''' Es bestehen umfassende Vorgaben zur Vertragsgestaltung, ein Schriftformgebot, sowie Informationspflichten. Die Kommission wird künftig mit '''[[Data Act (DA)#Mustervertragsklauseln der Kommission|unverbindlichen Standardvertragsklauseln]]''' Anhaltspunkte für die Vertragsgestaltung geben.<ref>Beispielhafte Formulierungen als erste Orientierungshilfe bietet etwa ''Sattler'', Anbieterwechsel nach dem Data Act – Standardvertragsklauseln für Verträge über Cloud-Computing CR 4/2024, 213 (221ff).</ref>
 * '''Loyalitätspflicht (Art 27 DA):''' Alle Beteiligten sollen nach Treu und Glauben zusammenarbeiten, um den Wechsel effektiv zu vollziehen.
-* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2/2024, 91. </ref> Ab dem 12.1.2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, EG 99 DA.</ref>
+* '''Entgeltgestaltung (Art 29 DA):''' Sog Wechselentgelte<ref>Definition gem Art 2 Z 36 DA: „Wechselentgelte“ sind andere Entgelte als Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung, die ein Anbieter von Datenverarbeitungsdiensten bei einem Kunden für die Handlungen erhebt, die in dieser Verordnung für den Wechsel zu den Systemen eines anderen Anbieters oder IKT-Infrastruktur in eigenen Räumlichkeiten vorgeschrieben sind, einschließlich Datenextraktionsentgelten.</ref> für den Übergang zwischen Cloud-Diensten, insb Datenextraktionsentgelten<ref>Definition gem Art 2 Z 35 DA: „Datenextraktionsentgelte“ sind Datenübertragungsentgelte, die den Kunden dafür in Rechnung gestellt werden, dass ihre Daten über das Netz aus der IKT-Infrastruktur eines Anbieters von Datenverarbeitungsdiensten in die Systeme anderer Anbieter oder in IKT-Infrastruktur in eigenen Räumlichkeiten extrahiert werden.</ref>, müssen schrittweise reduziert werden.<ref>Zur Thematik siehe etwa ''Lagoni'', Cloud Switching gemäß Data Act: Die Abschaffung von Switching Charges, CR 2024, 91. </ref> Ab dem 12. 1. 2027 darf [[Data Act (DA)#Kunde|Kunden]] grds kein Wechselentgelt mehr berechnet werden. Ausgenommen sind Anbieter von Datenverarbeitungsdiensten, die parallel mit einem anderen Datenverarbeitungsdienst genutzt werden (Stichwort: "Multi-Cloud-Strategien"). Diese können weiterhin kostendeckende Datenextraktionsentgelte verlangen.<ref>Art 34 Abs 2 DA, ErwGr 99 DA.</ref>
-* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act<sup>2</sup> § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26.11.2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
+* '''Technische Verpflichtungen (Art 30 DA):''' Je nach Kategorie von Datenvarbeitungsdiensten ist zu unterscheiden: Cloud-Anbieter von '''PaaS'''- und '''SaaS'''-Lösungen müssen offene Schnittstellen bereitstellen, die einen einfachen Wechsel zu anderen Anbietern ermöglichen und [[Data Act (DA)#Interoperabilität von Datenverarbeitungsdiensten (Artikel 35)|Kompatibilität]] sicherstellen. Bei '''IaaS'''-Lösungen reicht es aus, dass Anbieter Werkzeuge bereitstellen, mit denen [[Data Act (DA)#Kunde|Kunden]] ihre Daten eigenständig übertragen können (Funktionsäquivalenz).<ref>''Schreiber/Pommerening/Schoe''l, Der neue Data Act<sup>2</sup> § 6 Rz 54 ff; ''Feiler/Schuberth'', Der EU Data Act: Pflichten für Cloud-Anbieter, DerStandard (26. 11. 2024) https://www.derstandard.at/story/3000000246320/der-eu-data-act-pflichten-fuer-cloud-anbieter.</ref>
 * '''Interoperabilität''': Die vorangehenden Bestimmungen werden um [[Data Act (DA)#Interoperabilität bei paralleler Nutzung von Datenverarbeitungsdiensten (Art 34)|Vorgaben zur Interoperabilität in Kapitel VIII]] ergänzt, wobei dort zwischen der parallelen Nutzung von Datenverarbeitungsdiensten (Option 3) und den übrigen Anwendungsfällen unterschieden wird.
 ==== Internationaler Datentransfer ====
@@ Zeile 544: / Zeile 546: @@
 === Interoperabilität (Kapitel VIII) ===
-In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen vom 19.2.2020, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>
+In der [[Hauptseite#4.) Datenstrategie|Datenstrategie]] wird die entscheidende Bedeutung der Interoperabilität für die Nutzung von Daten, insb iZm der Einführung von KI, hervorgehoben.<ref>Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Eine europäische Datenstrategie, COM(2020) 66 final 10.</ref>
 ===== Definition =====
@@ Zeile 567: / Zeile 569: @@
 ===== [[Data Act (DA)#Anbieter von Datenverarbeitungsdiensten|Datenverarbeitungsdienste]] im Übrigen =====
-Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 41''; Schmidt'' in BeckOK DatenschutzR<sup>50</sup> (1.8.2024) DA Art 35 Rz 19.</ref> werden künftig folgende Aspekte geregelt:
+Durch '''Spezifikationen''' der Kommission und '''Normen'''<ref>Mit dieser Ko-Regulierung durch Standardisierung folgt der EU-Gesetzgeber dem „New Legislative Framework“ (NLF) im EU-Produktsicherheitsrecht, ''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 41''; Schmidt'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>50</sup> Art 35 DA  Rz 19 (1. 8. 2024) .</ref> werden künftig folgende Aspekte geregelt:
 * die Transportinteroperabilität;
@@ Zeile 579: / Zeile 581: @@
 ===== Definition =====
-<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 12 f.</ref>
+<blockquote>Intelligenter Vertrag (Smart Contract): Ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet wird, wobei eine Abfolge elektronischer Datensätze verwendet wird und die Integrität dieser Datensätze sowie die Richtigkeit ihrer chronologischen Reihenfolge gewährleistet werden (Art 2 Z 39 DA).</blockquote>Ein Smart Contract ist somit kein Vertrag im rechtlichen Sinn, sondern ein technischer Ausführungsmechanismus.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 13.</ref> Der Einsatz von '''Blockchain-Technologie''' bzw einer Distributed Ledger Infrastruktur ist ein typischer Anwendungsfall von Smart Contracts. Smart Contracts sind jedoch nicht auf diese Technologie beschränkt.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 15 mit Verweis auf das Gesetzgebungsverfahren.</ref> Gegenstand eines Smart Contracts iSd Art 36 DA muss die Ausführung einer Datenbereitstellungsvereinbarung, also der automatisierte Datenaustausch, Datenzugang bzw die Datennutzung, sein.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 16.</ref> Die Legaldefinition erscheint weit, sollte allerdings in Hinblick auf die Ziele des DA eng ausgelegt werden, da ansonsten die umfassenden Konformitätsanforderungen unverhältnismäßig wären.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 12 f.</ref>
 ===== Wesentliche Anforderungen =====
@@ Zeile 603: / Zeile 605: @@
 ===== Konformitätsbewertung und -vermutung =====
-Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in BeckOK DatenschutzR<sup>49</sup> DA Art 36 Rz 39.</ref>
+Der Anbieter eines Smart Contracts muss eine '''interne'''<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 38.</ref> '''Konformitätsbewertung''' im Hinblick auf die oben angeführten Anforderungen durchführen. Die Konformität intelligenter Verträge mit den wesentlichen Anforderungen wird vermutet, wenn sie harmonisierten Normen oder Durchführungsrechtsakten entsprechen. Sind die Anforderungen erfüllt, so hat der Anbieter eine '''EU-Konformitätserklärung''' auzustellen. Damit wird die Verantwortung für die Einhaltung der Anforderungen übernommen. Dies kann zivilrechtliche Folgen haben, so könnten etwa im Falle von fehlenden oder falschen Konformitätserklärungen Gewährleistungsansprüche bestehen.<ref>''Berberich'' in ''Wolff/Brink/Ungern-Sternberg,'' BeckOK DatenschutzR<sup>49</sup> Art 36 DA Rz 39.</ref>
 == Fallbeispiele ==
-'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.<ref>''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref>
+'''Dienste im Folgemarkt:''' Der DA ermöglicht es Anbietern von Diensten im Folgemarkt, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die mit den Diensten der Hersteller konkurrieren. Nutzer vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese Dienste selbst durchzuführen.
-'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl'' in ''Gabriel/Wischmann'' (Hrsg) Die aktuelle EU-Gesetzgebung: Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''
+'''Auswirkungen auf Forschungsprojekte:<ref>''Straub/Bogenstahl,'' Die Regulierung von Künstlicher Intelligenz und Datenwirtschaft (2024) 34, 36 f.</ref>'''
 * Der DA wirkt sich vor allem auf Forschungsprojekte zur Entwicklung vernetzter Produkte und verbundener Dienste aus. Dabei muss bereits in der Entwicklungsphase sichergestellt werden, dass Nutzungsdaten standardmäßig zugänglich sind. Schließlich müssen Hersteller beachten, dass sie die generierten Nutzungsdaten nur mit ausdrücklicher Zustimmung der Nutzer für eigene Zwecke verwenden dürfen. Akteure in Forschungsprojekten und Industriekooperationen sollten ihre Rollen (als Dateninhaber, Nutzer und Datenempfänger) künftig klar definieren.
 * Die Bereitstellungspflicht für öffentliche Zwecke birgt Potenzial für die Forschung, bleibt jedoch auf Notstandssituationen begrenzt.
-* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>EG 49 DA.</ref>
+* Gemeinnützige Forschungseinrichtungen profitieren davon, dass das Entgelt für den Zugang zu Daten auf die mit der Bereitstellung der Daten direkt verbundenen Kosten begrenzt ist, wodurch der Zugang finanziell erleichtert wird.<ref>ErwGr 49 DA.</ref>
 '''Entwicklung von KI-Technologien:'''
@@ Zeile 625: / Zeile 627: @@
 === Daten Governance ===
-Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.</ref>
+Der DA ergänzt den [[Data Governance Act (DGA)|DGA]]. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem Wirtschaft und Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.<ref>''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act (Stand 10. 10. 2024).</ref>
 === Sektorspezifische Datenräume ===
@@ Zeile 631: / Zeile 633: @@
 === Datenschutz ===
-[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA]]
-'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).</ref>,  der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.
+==== Vorrangregelung ====
+[[Datei:Verhältnis Anwendungsbereich DSGVO DA.jpg|mini|Der Datenbegriff nach DSGVO und DA - Research Institute [https://creativecommons.org/licenses/by/4.0/deed.de CC BY 4.0]]]
+'''Unberührtheitsklausel:'''<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> § 3 Rz 15 ff.</ref> Der DA gilt gem Art 1 Abs 5 DA "unbeschadet" des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO <ref>VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 2016/119, 1.</ref>,  der Datenschutzverordnung für die Stellen der EU<ref>VO (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) 45/2001 und des Beschlusses 1247/2002/EG, ABl L 2018/295, 39.</ref>, die ePrivacy-RL<ref>RL 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation), ABl L 2002/201, 37.</ref>, einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen.
 Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre ausdrücklich '''Vorrang'''. Bestimmte Betroffenenrechte nach der DSGVO werden durch den DA '''ergänzt''': Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.
@@ Zeile 639: / Zeile 643: @@
 ==== Rechtsgrundlage für die Datenverarbeitung ====
-Der DA bietet laut EG 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>
+Der DA bietet laut ErwGr 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.<ref>Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in ''Napieralski,'' Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in ''University of Warsaw'' (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (139).</ref>
+==== Einhaltung datenschutzrechtlicher Grundsätze ====
+Beim Teilen von Daten sind datenschutzrechtliche Grundsätze und Betroffenenrechte zu wahren. Diesem Zweck dienen organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen, Löschkonzepte und Vertraulichkeitsverpflichtungen. Aber auch datenschutzfördernde Technologien (sog '''''Privacy-Enhancing Technologies - PETs''''') können Risiken einschränken.<ref>Siehe dazu die Empfehlungen in ''International Working Group on Data Protection in Technology'', Working Paper on “Data Sharing” (6.12.2024) 9 ff; ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 11, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref>
 ==== Datenportabilität ====
-Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, 13, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>
+Die Rechte auf Zugang und Weitergabe von Daten aus IoT-Geräten ermöglichen Nutzern, leichter auf IoT-Daten zuzugreifen und diese zu übertragen, etwa zu Dienstleistern wie Reparatur- oder Wartungsunternehmen. Auch Cloud-Switching wird durch den DA erleichtert. Diese Rechte '''ergänzen''' die Rechte auf Zugang und Übertragbarkeit personenbezogener Daten gem Art 15 und Art 20 DSGVO (so ausdrücklich Art 1 Abs 5 DA).<ref>Siehe dazu ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, 14, <nowiki>https://ec.europa.eu/newsroom/dae/redirection/document/108144</nowiki> (Stand 3. 2. 2025).</ref> Sowohl DA, als auch Art 20 DSGVO zielen darauf ab, die Bindung an einzelne Anbieter datenbezogener Dienste zu minimieren, also sogenannte Lock-in-Effekte zu reduzieren.<ref>Siehe etwa zum Vergleich der beiden Rechtsinstrumente ''Knyrim''/''Briegl'', Datenzugangsansprüche im Vergleich: Datenportabilität (DSGVO) und Datenzugang (Data Act), Dako 2024/49.</ref>
 Überblick über die Rechte im Vergleich:
@@ Zeile 652: / Zeile 659: @@
 |-
 |'''Zweck'''
-| colspan="2" |Lock-in-Effekte reduzieren
+| colspan="2" | <div class="center">Lock-in-Effekte reduzieren</div>
 |-
 |'''Berechtigte'''
@@ Zeile 680: / Zeile 687: @@
 * Übermittlung der Metadaten<ref>Artikel 29-Datenschutzgruppe, Leitlinien zum Recht auf Datenübertragbarkeit, wp242rev.01, 18.</ref>
 |}
 ==== Internationaler Datentransfer ====
 DA und DGA enthalten Schutzmaßnahmen gegen den unrechtmäßigen Transfer nicht-personenbezogener Daten in Drittländer. Art 44 ff DSGVO bietet bereits entsprechende Regelungen zum Schutz personenbezogener Daten. Diese werden durch DA und DGA ergänzt.<ref>''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 15 Rz 1.</ref>
 === Schutz von Geschäftsgeheimnissen ===
-Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 20.</ref>
+Geschäftsgeheimnisse iSd RL über den Schutz vertraulichen Know-hows und Geschäftsgeheimnisse<ref>Art 2 Abs 1 RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung.</ref> sind nicht per se aus dem Anwendungsbereich des DA ausgenommen. Einige Bestimmungen des DA sehen jedoch [[Data Act (DA)#Schutz von Geschäftsgeheimnissen|Einwendungsmöglichkeiten]] für Dateninhaber zum Schutz von Geschäftsgeheimnissen vor.<ref>Krit ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024) § 3 Rz 20.</ref>
 === Datenbankherstellerrecht ===
-Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>
+Das Sui-generis-Schutzrecht des Datenbankherstellers nach der Datenbank-RL<ref>RL 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken, ABl L 1996/77, 20.</ref> kann ein Dateninhaber '''nicht''' als Verweigerungsgrund einem Datenzugangsbegehren entgegen halten (Art 43 DA).<ref>Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in ''Hoeren/Pinelli'', Data Law 119.</ref>
 === [[Digital Markets Act (DMA)|Digital Markets Act]] ===
-Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>Europäische Kommission, Gatekeepers https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de.</ref>
+Der DMA sieht Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.<ref>''Hoeren/Pinelli'', Data Law 19.</ref> Um den [[Data Act (DA)#Ziele des DA|Zielen des DA]] nach einer Förderung eines europäischen Binnenmarkts für Daten und Datensilos aufzubrechen, gerecht zu werden, sind Gatekeeper vom '''[[Data Act (DA)#Indirekter Zugang: Zugang auf Verlangen|Drittzugangsanspruch]] ausgeschlossen''' (Art 5 Abs 3 DA). Ausdrücklich als Gatekeeper iSd Art DMA genannt wurden ua Alphabet, Amazon, Apple, ByteDance, Meta, Microsoft, Booking.<ref>''Europäische Kommission,'' Gatekeepers, https://digital-markets-act.ec.europa.eu/gatekeepers_en?prefLang=de (abgerufen am 24. 1. 2025).</ref>
-== Durchsetzung und Strafen ==
+== Durchsetzung ==
 === Zuständige Behörde ===
@@ Zeile 719: / Zeile 727: @@
 ==== Sanktionen ====
-Sanktionen für Verstöße gegen den DA müssen bis 12.9.2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).
+Sanktionen für Verstöße gegen den DA müssen bis 12. 9. 2025 durch '''nationales Recht''' konkretisiert werden.<ref>Bis dato gibt es in Österreich noch kein Umsetzungsgesetz.</ref> Der DA verlangt lediglich, dass diese wirksam, verhältnismäßig und abschreckend sind. Prozentangaben wie nach der DSGVO sieht der DA nicht vor.Geldstrafen '''mit Rückwirkung''' sind grds möglich (Art 37 Abs 5 lit d DA).
 Bei der Verhängung von Geldbußen sollen gem Art 40 Abs 3 DA insb die folgenden Kriterien berücksichtigt werden:
@@ Zeile 736: / Zeile 744: @@
 === Mustervertragsklauseln der Kommission ===
-Bis zum 12.9.2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb
+Bis zum 12. 9. 2025 wird die Kommission unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb
 * Bedingungen für [[Data Act (DA)#Gegenleistung für die Bereitstellung von Daten (Art 9 DA)|eine angemessene Gegenleistung]] ,
@@ Zeile 747: / Zeile 755: @@
 === Einführende Werke ===
-* ''Hoeren/Pinelli'', Data Law (November 2024).
+* ''Hoeren/Pinelli'', Data Law (2025, iE).
 * ''Hennemann/Ebner/Karsten'', Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
+* ''Knyrim'', DA - Data Act (2025).
 * ''Sattler/Zech'' (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
 * ''Schreiber/Pommerening/Schoel'', Der neue Data Act<sup>2</sup> (2024).
@@ Zeile 756: / Zeile 765: @@
 === Kommentare und Sammelbände ===
-* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025).
+* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
-* ''Czychowski/Lettl/Steinrötter'', Data Act (2025).
+* ''Bomhard/Schmidt-Kessel'', EU Data Act (2025, iE).
+* ''Czychowski/Lettl/Steinrötter'', Data Act (2025, iE).
 * ''Paschke/Schumacher'', EU Data Act (2025).
-* ''Wolff/Brink/v. Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (1.8.2024).
+* ''Specht/Hennemann'', Data Act. Data Governance Act² (2025, iE).
-* ''Augsberg/Gehring'' (Hrsg), Datensouveränität: Positionen zur Debatte (2022).
+* ''Wolff/Brink/Ungern-Sternberg'', BeckOK Datenschutzrecht<sup>49</sup> (1. 8. 2024).
 === Weiterführende Links ===
-* ''Europäische Kommission,'' Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
+* ''Europäische Kommission,'' Frequently Asked Questions Data Act, V 1.2, https://ec.europa.eu/newsroom/dae/redirection/document/108144 (Stand 3. 2. 2025).
-* ''Europäische Kommission'', Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
+* ''Europäische Kommission'', Datengesetz, https://digital-strategy.ec.europa.eu/de/policies/data-act  (Stand 10. 10. 2024).
-* ''Europäische Kommission,'' Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
+* ''Europäische Kommission,'' Datengesetz erklärt, https://digital-strategy.ec.europa.eu/en/factpages/data-act-explained (Stand 29. 1. 2025).
 == Nachweise ==

Data Act (DA): Unterschied zwischen den Versionen

Aktuelle Version vom 26. Februar 2025, 19:32 Uhr

Kurzübersicht

Einleitung und Hintergrund

Internet der Dinge

Ziele des DA

Anwendungsbereich und Definitionen

Sachlich

Personell

Hersteller vernetzter Produkte

Anbieter verbundener Dienste

Nutzer

Dateninhaber

Datenempfänger

Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union

Anbieter von Datenverarbeitungsdiensten

Kunde

Teilnehmer an Datenräumen

Anbieter von Anwendungen, die intelligente Verträge verwenden

Zeitlich

Örtlich

Zentrale Inhalte

Datenzugang und Datenverwendung (Kapitel II bis III)

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Direkter Zugang: Datenzugang "by design"

Indirekter Zugang: Zugang auf Verlangen

Datenkategorien

Verhältnis zwischen direktem und indirektem Zugang

Art der Zugangsgewährung

Gegenleistung für die Bereitstellung von Daten (Art 9 DA)

Ausnahmen: Gründe für die Verweigerung des Datenzugangs

Sicherheitsanforderungen

Schutz von Geschäftsgeheimnissen

Definition

Besonderheiten bei der Weitergabe personenbezogener Daten

Rollenverteilung nach der DSGVO

Exkurs: Rollendefinitionen nach der DSGVO

Pflichten gemeinsam Verantwortlicher

Datenverwendungsrechte und Nutzungsbeschränkungen

Dateninhaber

Nutzer

Datenempfänger

Bedingungen zur Datenbereitstellung: FRAND-Grundsätze

Klauselkontrolle: Missbräuchliche Vertragsklauseln im B2B-Verhältnis (Kapitel IV)

B2G-Zugang: Bereitstellung von Daten wegen außergewöhnlicher Notwendigkeit (Kapitel V)

Pflichten für Anbieter von Datenverarbeitungsdiensten: Wechsel zwischen Datenverarbeitungsdiensten ("Cloud-Switching") (Kapitel VI und VII)

Konkrete Pflichten der Anbieter

Internationaler Datentransfer

Interoperabilität (Kapitel VIII)

Definition

Interoperabilität in Datenräumen (Art 33)

Interoperabilität bei Datenverarbeitungsdiensten (Art 34 und Art 35)

Parallele Nutzung von Datenverarbeitungsdiensten

Datenverarbeitungsdienste im Übrigen

Interoperabilität bei Smart Contracts für die Ausführung von Datenweitergabevereinbarungen (Art 36)

Definition

Wesentliche Anforderungen

Konformitätsbewertung und -vermutung

Fallbeispiele

Synergien

Daten Governance

Sektorspezifische Datenräume

Datenschutz

Vorrangregelung

Rechtsgrundlage für die Datenverarbeitung

Einhaltung datenschutzrechtlicher Grundsätze

Datenportabilität

Internationaler Datentransfer

Schutz von Geschäftsgeheimnissen

Datenbankherstellerrecht

Digital Markets Act

Durchsetzung

Zuständige Behörde

Rechtsdurchsetzung und Sanktionen

Beschwerderecht

Streitbeilegungsstelle

Zivilgerichtliche Rechtsdurchsetzung

Sanktionen

EDIB (European Data Innovation Board/Europäischer Dateninnovationsrat)

Mustervertragsklauseln der Kommission