Data Act (DA)

Langtitel: Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung)

Kurztitel: Datenverordung, Data Act (DA)

Kurzübersicht

Ziele	Anwendungsbereich	Inhalt	Pflichten	Synergie
Förderung des Datenbinnenmarktes	Datenräume			Kap III DGA für Datenvermittlungsdienste; Kap IV DGA für datenaltruistische Organisationen
gerechte Verteilung des Wertes von Daten	Internet der Dinge (IoT)	klare und faire Regeln für den Zugriff auf und die Nutzung von Daten
Mehr Kontrolle über die eigenen Daten	Daten, die mit intelligenten Objekten, Maschinen und Geräten erzeugt werden	gestärktes Recht auf Datenübertragbarkeit, Datenzugangs- und Drittzugangsanspruch	Vernetzte Produkte müssen so konzipiert und hergestellt werden, dass die Nutzerinnen (Unternehmen oder Verbraucherinnen) einfach und sicher auf die generierten Daten zugreifen, sie nutzen und teilen können
Förderung von KMU	B2B-Datennutzung	Liste mit missbräuchlichen Vertragsklauseln unverbindliche Mustervertragsbedingungen der Kommission
Verbesserung der öffentlichen faktengestützten Entscheidungsfindung	Ausnahmesituationen von großem öffentlichem Belang	Zugriff auf Daten von Unternehmen für Behörden zur Bewältigung von Ausnahmesituationen	Verpflichtung für Unternehmen zur Bereitstellung bestimmter Daten
Stärkung des Vertrauens in Cloud-Infrastrukturen	Cloud-Dienste		vertragliche Verpflichtungen für Cloud-Anbieter Regeln für die Daten- und Cloud-Interoperabilität
Regelung von Smart Contracts

Einleitung und Hintergrund

Der DA ist, wie das Daten-Governance-Gesetz, eine der zentralen Säulen der europäischen Datenstrategie. Wie der DGA handelt es sich beim DA um eine sektorübergreifende Rechtsvorschrift.

Der DA etabliert Regeln für die gemeinsame Nutzung von Daten vernetzter Produkte und damit verbundener Dienste, wie etwa Internet der Dinge (IoT) und Industriemaschinen. Mit diesen Regeln soll Fairness in Verträgen zur Datennutzung gewährleistet werden. Der DA regelt den Datenaustausch zwischen Unternehmen (B2B), Unternehmen und Verbrauchern (B2C) sowie Unternehmen und staatlichen Stellen (B2G). Besonders im B2B-Bereich wird die Verhandlungsmacht zugunsten kleiner und mittlerer Unternehmen (KMU) neu ausbalanciert, indem diese vor missbräuchlichen Vertragsklauseln geschützt werden, die ihnen von Unternehmen mit größerer Verhandlungsstärke auferlegt werden könnten. Zudem enthält der DA Regelungen für den staatlichen Zugang zu Daten in außergewöhnlichen Umständen.

Ziele

Der DA zielt darauf ab, Innovation zu fördern, indem er Hürden abbaut, die Verbraucher*innen und Unternehmen den Zugang zu Daten erschweren und klare Regeln zum Datenzugriff festlegt. Der DA erleichtert den Datenaustausch für ein breiteres Spektrum privater und öffentlicher Einrichtungen und schafft so Möglichkeiten für Kooperationen, die sowohl wirtschaftlichen als auch gesellschaftlichen Nutzen bringen. Zudem erleichtert der DA die Datenübertragbarkeit, wodurch Nutzer*innen ihre Daten leichter zwischen verschiedenen Diensten bewegen können. Dadurch sollen nicht nur Wettbewerb und Innovation gefördert, sondern auch die Kontrolle der Nutzer*innen über ihre eigenen Daten gestärkt werden.

Der DA soll dabei helfen, die folgenden Probleme zu überwinden:

Mangel an Anreizen für Dateninhaber, freiwillig Vereinbarungen über die Datenweitergabe einzugehen,
Unsicherheiten in Bezug auf Rechte und Pflichten in Verbindung mit Daten,
Kosten der Auftragsvergabe in Bezug auf technische Schnittstellen und für deren Einrichtung,
starke Fragmentierung von Informationen in Datensilos,
schlechte Verwaltung von Metadaten,
fehlende Normen für die semantische und technische Interoperabilität,
Engpässe beim Datenzugang,
Fehlen einheitlicher Verfahren für die Datenweitergabe,
Missbrauch vertraglicher Ungleichgewichte hinsichtlich Datenzugang und Datennutzung.

Anwendungsbereich und Definitionen

Sachlich

Der DA erstreckt sich auf personenbezogene und nicht personenbezogene Daten. Unter Daten ist dem DA zufolge jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material zu verstehen. Der Datenbegriff entspricht somit jenem des DGA.

Die einzelnen Kapitel betreffen unterschiedliche Datenkategorien:^[1]


Kapitel	Inhalt	Daten
II	Datenweitergabe B2C und B2B	Daten, die die Leistung, Nutzung und Umgebung von vernetzten Produkten und verbundenen Diensten betreffen. Das sind sämtliche Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes entstehen. Sie müssen für den Dateninhaber leicht verfügbar sein. Gemeint sind Daten, die etwa von einem einzelnen Sensor generiert werden, wie zB Temperatur, Druck oder Geschwindigkeit. Nicht erfasst sind abgeleitete Daten und Inhalte, zB audiovisuelles Material.
III	Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind	Alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen
IV	B2B - Missbräuchliche Vertragsklauseln	Alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden
V	Bereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit	Alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten
VI	Wechsel zwischen Datenverarbeitungsdiensten	Alle von Anbietern von Datenverarbeitungsdiensten verarbeiteten Daten und Dienste
VII	Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld	Alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden

Personell


Person	Definition	Beispiel^[2]
Hersteller vernetzter Produkte	Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder Umgebung generiert und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.	Vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte, Flugzeuge, Roboter, Industriemaschinen^[3]
Anbieter verbundener Dienste	Ein verbundener Dienst ist ein digitaler Dienst, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings derart mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt.	Eine Anwendung für eine Waschmaschine, welche anhand der Sensorendaten der Maschine die jeweiligen Umweltauswirkungen eines Waschzyklus' misst und den Zyklus entsprechend optimiert.^[4]
Nutzer von vernetzten Produkten oder verbundenen Diensten	Die (natürliche oder juristische) Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt. In Bezug auf ein vernetztes Produkt kann es zugleich mehrere Nutzer geben. (EG 21 DA)	Privatperson, die ein Smart Auto least
Dateninhaber, der Datenempfängern Daten bereitstellt	Die Person, die berechtigt oder verpflichtet ist, Daten zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat.	Hersteller eines vernetzten Produktes
Datenempfänger, denen Daten bereitgestellt werden	Die Person, der vom Dateninhaber Daten bereitgestellt werden, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, die nicht Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist.
Öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union	Unter öffentlichen Stellen versteht man die nationalen, regionalen und lokalen Behörden, Körperschaften und Einrichtungen des öffentlichen Rechts der Mitgliedstaaten oder Verbände, die aus einer oder mehreren dieser Behörden, Körperschaften oder Einrichtungen bestehen
Anbieter von Datenverarbeitungsdiensten	Ein Datenverarbeitungsdienst ist eine digitale Dienstleistung, die einen Netzzugang zu einem gemeinsam genutzten Pool an Rechenressourcen ermöglicht.	Netzwerke, Software, Server oder andere virtuelle odern physische Infrastruktur, einschließlich Cloud- und Edge-Dienste
Teilnehmer an Datenräumen	Personen, die anderen Teilnehmern an Datenräumen Daten oder Datendienste anbieten
Anbieter von Anwendungen, die intelligente Verträge verwenden	Ein intelligenter Vertrag ist ein Computerprogramm, das für die automatisierte Ausführung einer Vereinbarung verwendet wird.

Beispiel^[5]

Eine Privatperson kauft einen vernetzten ("smarten") Kühlschrank. Sie lädt eine entsprechende App auf ihr Mobiltelefon, mit der sie die optimale Temperatur des Kühlschranks regulieren kann.

Vernetztes Produkt: Kühlschrank
Verbundener Dienst: App
Dateninhaber:

Das Unternehmen, das den Kühlschrank hergestellt hat;
das Unternehmen, das die App anbietet.

Nutzer: Käuferin (Eigentümerin) des Kühlschranks.

Abgrenzung: Der Nutzerbegriff des DA knüpft an einen Rechtsanspruch in Bezug auf das vernetzte Produkt an und nicht daran, von wessen Nutzung die Daten tatsächlich stammen. Nutzt daher A ein Smart Auto, das seiner Mutter B gehört, ohne Rechtsanspruch, so gilt A nicht als Nutzer iSd DA und erhält in der Folge auch kein Recht auf Datenzugang nach dem DA. Ein solches stünde nur B zu.^[6]

Zeitlich

Nach der Annahme am 13. Dezember 2023 trat der DA am 2. Jänner 2023 in Kraft. Die Bestimmungen sind ab dem 12. September 2025 anwendbar.

Örtlich

Der DA folgt dem Marktortprinzip, das heißt, er gilt unabhängig vom Ort der Niederlassung, sofern Dienste in der EU angeboten werden.

Zentrale Inhalte

IOT-Produkte und zugehörige Dienstleistungen

Im Internet der Dinge erfassen vernetzte Produkte massenhaft Daten über die Leistung, Nutzung oder Umgebung dieser Produkte und übertragen diese Daten über elektronische Kommunikationsdienste. Vernetzte Produkte finden sich in bereits in zahlreichen Bereichen, etwa in privaten und gewerblichen Infrastrukturen, Fahrzeugen, medizinischen Geräten, Haushaltsgeräten und industriellen Maschinen.

Der DA ist weltweit das erste horizontale Rahmenwerk, das regelt, wer zu welchen Bedingungen Zugang zu den solcherart generierten Daten erhalten und sie nutzen können soll.^[7] (EG 14 f)

Datenzugang und Datenverwendung (Kap II bis VII)

Datenweitergabe B2C und B2B (Kapitel II)

Dateninhabern kommt die technisch-faktische Herrschaft über Daten zu. Diese Herrschaft anerkennt der DA, durchbricht sie aber dadurch, dass Nutzern Rechte auf Datenzugriff gewährt werden.^[8] Bei diesen Nutzerrechten handelt es sich um die zentralen Elemente der Datenweitergabe nach dem DA, da ohne diese Rechteausübung keine Datenweitergabe erfolgt.^[9]

Für Klein- und Kleinstunternehmen gelten Ausnahmen (Art 7 Abs 1 DA).

Rechte und Pflichten von Nutzern und Dateninhabern in Bezug auf Zugang, Nutzung und Bereitstellung von Daten

Nutzer haben gem Art 4 DA das Recht auf Zugang zu "ohne Weiteres verfügbare Daten" und Metadaten, die zur Auslegung und Nutzung der Daten erforderlich sind.

Ohne Weiteres verfügbare Daten: Darunter versteht man Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann, wobei über eine einfache Bearbeitung hinausgegangen wird.

Datenzugang durch Technikgestaltung ("by design"): Primär soll Nutzern standardäßig ein direkter Zugang zu den Daten von vernetzten Geräten und verbundenen Diensten auf einfache, sichere und unmittelbare Weise ermöglicht werden. Hersteller eines vernetzten Produkts und Anbieter von damit verbundenen Dienstleistungen sind gem Art 3 DA dazu verpflichtet, das Recht auf Datenzugang bereits bei der Technikgestaltung zu berücksichtigen.

Auf Verlangen: Alternativ ist Zugang auf einfaches Verlangen des Nutzers zu gewähren und zwar

unverzüglich,
einfach,
sicher,
unentgeltlich,
in einem umfassenden, gängigen und maschinenlesbaren Form,
soweit technisch durchführbar auf elektronischem Weg,
wo anwendbar, kontinuierlich und in Echtzeit.

Drittzugangsanspruch: Nutzer haben gem Art 5 DA das Recht, dass der Dateninhaber auf Verlangen des Nutzers (oder einer im Namen eines Nutzers handelnden Partei) Daten Dritten zur Verfügung stellt. Dabei gelten dieselben Anforderungen an die Qualitätsstandards und die Datenkategorien wie nach Art 4 DA.

Weitergabe personenbezogener Daten

Verlangt ein Nutzer die Herausgabe personenbezogener Daten, so ist zu beachten, dass der DA keine eigenständige Rechtsgrundlage für die Erhebung, Verarbeitung oder Weitergabe personenbezogener Daten an Dritte darstellt. Er verpflichtet Dateninhaber lediglich, den Zugang zu personenbezogenen Daten im Einklang mit der DSGVO zu gewähren.

Beziehen sich die Daten auf den Nutzer selbst, so kann das Verlangen auf Datenzugang zugleich als Einwilligung in die Datenverarbeitung betrachtet werden.^[10]

Handelt es sich bei dem Nutzer jedoch nicht um die betroffene Person, geht es also um personenbezogene Daten Dritter, so bedarf es einer Rechtfertigung für die Datenübermittlung. Der Nutzer gilt in diesem Fall als Verantwortlicher und benötigt gemäß Artikel 6 Abs1 DSGVO eine Rechtsgrundlage, wie die Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (EG 34 DA). Weiters ist der Nutzer sodann verpflichtet, die betroffene Person über die Verarbeitungszwecke und ihre Betroffenenrechte zu informieren. Es kann sein, dass der Nutzer gemeinsam mit dem Dateninhaber für die Verarbeitung verantwortlich ist. In dem Fall ist eine Verarbeitung gem Art 26 DSGVO abzuschließen (EG 34 DA).

Der Dateninhaber darf Daten nur dann übermitteln, wenn es für die Verarbeitung eine gültige Rechtsgrundlage gibt (Art 4 Z 12, Art 5 Z 7 DA). Um den Datenschutz Dritter zu wahren, kann es nötig sein, dass der Dateninhaber personenbezogene Daten anonymisiert oder nur die personenbezogenen Daten des Nutzers, nicht aber Dritter, übermittelt. (EG 7 DA).

Unter Umständen kann dieser Aspekt zu einer gewissen Rechtsunsicherheit bei Dateninhabern führen: Kommen sie einem Zugangsverlangen nach dem DA nicht nach, weil sie fälschlicherweise der Ansicht sind, dass eine Rechtsgrundlage für die Datenverarbeitung fehlt, so verstoßen sie gegen den DA. Umgekehrt kann eine Datenherausgabe ohne Rechtsgrundlage, um dem DA zu entsprechen, zu einem Verstoß gegen die DSGVO führen.^[11]

Rollenverteilung nach der DSGVO

Aufgrund der teilweise überlappenden Anwendung von DSGVO und DA kommt es zu einer komplexen Zuordnung der jeweiligen Rollen, die aufgrund der Auswirkungen auf den Haftungsumfang von Relevanz ist.^[12]

Exkurs: Definitionen nach der DSGVO


Bestimmung	Rolle	Definition	Erklärung
Art 4 Z 1 DSGVO	Betroffene Person	Identifizierte oder identifizierbare natürliche Person, auf die sich personenbezogene Daten beziehen.	Daten, die von einer natürlichen Person stammen, beziehen sich immer auf diese Person (es sei denn, sie wurden anonymisiert).
Art 4 Z 7 DSGVO	Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Die Verantwortlichenrolle ergibt sich entweder aufgrund einer rechtlichen Zuordnung oder aufgrund der faktischen Kontrolle über die Datenverarbeitung. ^[13] Die Datennutzung nach dem DA stellt keinen Zweck iSd DSGVO dar, sondern eine Art der Datenverarbeitung (Art 4 Z 2 DSGVO). Daraus folgt, dass sich die Verantwortlichenrolle idR aus der faktischen Kontrolle ergibt. Diese kann sich je nach Phase der Datenverarbeitung unterscheiden.^[14]
Art 4 Z 7 DSGVO	Gemeinsam Verantwortlicher	Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.	Gemeinsame Verantwortlichkeit liegt vor, wenn zumindest zwei Akteure gemeinsam über die Zwecke und Mittel der Datenverarbeitung entscheiden. Die Schwelle an die Gemeinsamkeit setzt der EuGH sehr niedrig an: So genügt es, dass verschiedene Personen in unterschiedlichem Ausmaß in unterschiedliche Phasen der Datenverarbeitung einbezogen sind.^[15]

Beispiel:^[16] Ein Unternehmen betreibt E-Scooter-Sharing. Die vernetzten E-Scooter erfassen personenbezogene Daten der Nutzer*innen, wie zB Standortdaten und Nutzungsverhalten. Das Unternehmen fordert gem Art 5 DA vom Hersteller der E-Scooter, die Daten einer Fahrerin an einen Reparatur- und Wartungsdienstleister weiterzugeben, um Reparaturen auf Basis des Fahrverhaltens gezielt durchzuführen.

Rechtsakt	Scooter-Fahrerin	E-Scooter-Sharing-Unternehmen	Reparatur- und Wartungsdienstleister (Dienstleister für den Aftermarkt)	Hersteller der E-Scooter
DA	Nutzer	Nutzer	Dritter	Dateninhaber
DSGVO	Betroffener	Gemeinsam Verantwortliche		Verantwortlicher

##^[17]

Dateninhaber darf ohne Weiteres verfügbare Daten nur auf der Grundlage eines Vertrags mit dem Nutzer nutzen
Information über Bedingungen des Datenzugangs vor Vertragsabschluss
Verweigerung des Zugangs à begründete Mitteilung an die Behörde

Pflichten der Dateninhaber, die zur Datenbereitstellung verpflichtet sind (Kapitel III)

Daten: Kapitel III gilt für alle Daten des Privatsektors, die rechtlichen Verpflichtungen mit Blick auf die Datenweitergabe unterliegen.

Missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung B2B (Kapitel IV)

Daten: Kapitel IV gilt für alle Daten des Privatsektors, die auf der Grundlage von Verträgen zwischen Unternehmen abgerufen und genutzt werden.

Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europ. Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit (Kapitel V)

Daten: Kapitel V gilt für alle Daten des Privatsektors mit Schwerpunkt auf nicht-personenbezogenen Daten.

Unrechtmäßiger staatlicher Zugang zu und unrechtmäßige staatliche Übermittlung von nicht-personenbezogenen Daten im internationalen Umfeld (Kapitel VII)

Daten: Kapitel VII gilt für alle nicht-personenbezogenen Daten, die in der Union von Anbietern von Datenverarbeitungsdiensten gehalten werden.

faire Vertragsbedingungen

Datenempfänger: keine Entwicklung konkurrierender Produkte
Schutz von Geschäftsgeheimnissen: angemessene technische und organisatorische Maßnahmen, die erforderlich sind, um die Vertraulichkeit der weitergegebenen Daten insb. gegenüber Dritten zu wahren (Mustervertragsklauseln, Vertraulichkeits-vereinbarungen, strenge Zugangsprotokolle, technische Normen, Anwendung von Verhaltenskodizes)
FRAND-Grundsätze: faire, angemessene (reasonable) und nichtdiskriminierende Bedingungen
angemessene Entschädigung (B2B-Kontext)

B2B

Missbräuchliche Vertragsklauseln, die einem anderen Unternehmen einseitig auferlegt werden
in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten
Ausnutzung eines Machtverhältnisses: Inhalt des Vertrags kann trotz des Versuchs, hierüber zu verhandeln, nicht beeinflusst werden
Keine Bindung für das benachteiligte Unternehmen
Beispiele und Vorgaben für missbräuchliche Klauseln (zB kein Haftungsausschluss)

Datenweitergabevereinbarungen

Art 36

Robustheit und Zugangskontrolle (gegen Manipulationen durch Dritte),
Sichere Beendigung und Unterbrechung,
Datenarchivierung und Datenkontinuität,
Zugangskontrolle (auf der Governance-Ebene und der Ebene des intelligenten Vertrags)
Kohärenz.

bedingter staatlicher Zugang zu Daten

Zugang der MS und EU Behörden zu Daten des priv. Sektors
Wenn ein außergewöhnlicher Bedarf besteht
- Daten zur Bewältigung eines öffentlichen Notstands erforderlich und anders nicht rechtzeitig und wirksam beschaffbar ODER
- Gesetzlich vorgesehene Aufgabe im öffentlichen Interesse und alle anderen Mittel ausgeschöpft (nur nicht-personenbezogene Daten, Entgeltanspruch)
auf Anfrage
Begründung / Nachweis der außergewöhnlichen Umstände + Prozess
Dateninhaber stellen Daten zur Verfügung
Garantien und Beschränkungen der Nutzung

Wechsel zwischen Datenverarbeitungsdiensten

Ein erweitertes Recht auf Datenübertragbarkeit wird angestrebt, um Nutzern eine leichtere Weitergabe ihrer Daten zu ermöglichen. Dies soll auch die Bereitstellung qualitativ hochwertiger, datengestützter Dienste erleichtern. Zudem sollen die Daten vor Zugriffen durch Behörden aus Drittstaaten geschützt werden.

Smart Contracts

##

Übertragbarkeit (Portabilität) und Interoperabilität

Kapitel VIII Interoperabilität

Wechsel zu anderen (Cloud-)Anbietern von Datenverarbeitungsdiensten oder zu eigener IKT-Infrastruktur
Keine vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Hindernisse bzw. Beseitigung solcher Hindernisse
Schrittweise Abschaffung von Wechselentgelten
Informationspflichten und vertragliche Transparenzpflichten in Bezug auf den Zugang und die Übermittlung im internationalen Umfeld
Ausnahme: Dienst ist auf die spezifischen Bedürfnisse eines einzelnen Kunden zugeschnitten

Übertragungsbeschränkungen (Drittstaaten)

Entwicklung von Interoperabilitätsnormen
leichtere Übertragbarkeit und Interoperabilität: Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten und Verbesserung der Interoperabilität von Data Sharing Mechanismen und Diensten für die gemeinsame Nutzung von Daten
Interoperabilität für Betreiber von Datenräumen, Datenverarbeitungsdiensten und intelligenten Verträgen zur gemeinsamen Nutzung von Daten
Beschränkung der Datenübermittlung an Drittländer (Datensouveränität)

Fallbeispiele

Der DA ermöglicht es Anbietern von Anschlussdiensten, ihre Angebote auf Basis von Daten vernetzter Produkte zu verbessern und neue Dienste zu entwickeln, die unter gleichen Bedingungen mit den Diensten der Hersteller konkurrieren. Nutzer*innen vernetzter Produkte wie Verbraucher*innen, landwirtschaftliche Betriebe, Bauunternehmen und Gebäudeeigentümer*innen erhalten dadurch die Möglichkeit, zwischen verschiedenen Anbietern für Reparatur- und Wartungsdienste zu wählen oder diese selbst durchzuführen.^[18]

Gaia-X

Die Gaia-X-Initiative zielt darauf ab, eine digitale Infrastruktur für branchenübergreifenden Datenaustausch in Europa zu schaffen. Der Gaia-X Hub Österreich koordiniert die Teilnahme österreichischer Unternehmen und Institutionen und fördert deren Zusammenarbeit mit europäischen Partnern zur Entwicklung gemeinsamer Datenökosysteme.^[19]

Synergien

Sekrospezifische Datenrechtsakte

Der DA gilt als horizontaler Rechtsakt branchenübergreifend. Daneben gibt es besondere Rechtsakte, die den Datenaustausch in spezifischen Bereichen regeln, wie etwa den Europäischen Gesundheitsdatenraum. Im jeweiligen Bereich gelten diese besonderen Regeln zusätzlich zu den allgemeinen Regeln des DA. In den besonderen Rechtsakten wird oft ausdrücklich auf die Geltung der allgemeinen Bestimmungen Bezug genommen. Fehlt eine ausdrückliche, gesetzliche Regelung, so ist eine Abwägung der konkreten Bestimmungen im Einzelfall vorzunehmen.^[20]

Datenschutz

Der DA gilt gem Art 1 Abs 5 DA unbeschadet des Unionsrechts und des nationalen Rechts über den Schutz personenbezogener Daten, die Privatsphäre, die Vertraulichkeit der Kommunikation und die Integrität von Endgeräten, die für personenbezogene Daten gelten, insb der DSGVO ^[21], der Datenschutzverordnung für die Stellen der EU (VO (EU) 2018/1725), die ePrivacy-RL (RL 2002/58/EG), einschließlich der Befugnisse und Zuständigkeiten der Aufsichtsbehörden und der Rechte der betroffenen Personen. Geht es also um die Verarbeitung personenbezogener Daten und ist der Anwendungsbereich des DA gegeben, so ist außerdem die DSGVO anwendbar.

Im Falle eines Widerspruchs haben das Unionsrecht oder das nationale Recht zum Schutz personenbezogener Daten bzw der Privatsphäre Vorrang.

Die Rechte aus Kapitel II des DA ergänzen für betroffene Personen das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO.

##^[22]

Rechtsgrundlage für die Datenverarbeitung

Der DA bietet laut EG 7 keine Rechtsgrundlage für die Gewährung des Zugangs zu Daten, die sich auf andere Personen als den Nutzer beziehen oder für deren Bereitstellung an Dritte. Der DA verleiht dem Dateninhaber kein neues Recht auf die Nutzung personenbezogener Daten. Vielmehr bedarf es einer geeigneten Rechtsgrundlage gem Art 6 (und ggf Art 9) DSGVO.^[23] ## EG 34 ##

Datenportabilität

Free-Flow-Verordnung: Portabilität in B2B-Szenarien, Verbot der Datenlokalisierungspflicht
DSGVO: Datenportabilität für betroffene Personen
Data Act:
- Nutzer können sowohl auf persönliche als auch auf nicht-persönliche Daten zugreifen, die von vernetzten (IOT-)Geräten generiert werden, und diese portieren
- Erleichterung des Cloud-Switching

Daten Governance

Der DA ergänzt den DGA. Beide zielen darauf ab, einen gemeinsamen europäischen Binnenmarkt für Daten zu schaffen, von dem die Wirtschaft und die Gesellschaft profitieren sollen. Während der DGA Regelungen zu Prozessen und Strukturen enthält, die den freiwilligen Datenaustausch fördern sollen, stellt der DA klar, wer zu welchen Bedingungen Wert aus Daten schöpfen kann.^[24]

Datenbankrichtlinie^[25]

#Schutzrecht der Datenbanken# Der DA stellt in Art 43 ausdrücklich klar^[26], dass - sofern der Anwendungsbereich des DA erfüllt ist - das Schutzrecht sui generis von Datenbanken nicht herangezogen werden kann, um den Zugriff auf Daten zu untersagen. ##Konsequenz#

Digital Markets Act und Digital Services Act

Die beiden Rechtsakte sehen unter anderem Marktregeln für (große) Internetplattformen vor, deren Geschäftsmodell die Sammlung und Verarbeitung großer Mengen an Nutzer*innendaten umfasst.^[27]

Konsequenzen/Strafen und Durchsetzung

Kapitel IX Anwendung und Durchsetzung

Nationale Behörden + „nationaler Datenkoordinator“: unabhängig, zuständig für Anwendung und Durchsetzung, zentrale Anlaufstelle, Mitglied im Europäischen Dateninnovationsrat (EDIB)
Beschwerderecht (bei einer zuständigen nationalen Behörde)
Recht auf einen wirksamen gerichtlichen Rechtsbehelf
Sanktionen (durch MS umzusetzen bis 12.9.2025)
EK erstellt Mustervertragsklauseln und Standardvertragsklauseln
EDIB (European Data Innovation Board) für DGA und DA zuständig: Beratung und Unterstützung der EK, Förderung der Zusammenarbeit zwischen den MS

Weiterführende Literatur

Einführende Werke

Hoeren/Pinelli, Data Law (November 2024).
Hennemann/Ebner/Karsten, Data Act. An Introduction (2024), https://www.nomos-elibrary.de/10.5771/9783748918691/data-act?page=1.
Sattler/Zech (Hrsg), The Data Act. First Assessments (2024), https://digitalrecht-z.uni-trier.de/index.php/drz/catalog/book/36.
Schreiber/Pommerening/Schoel, Der neue Data Act (DA)² (2024, iE).
Steinrötter (Hrsg), Europäische Plattformregulierung. DSA | DMA | P2B-VO | DGA | DA | AI Act | DSM-RL (2023).
Steinrötter/Heinze/Denga (Hrsg), EU Platform Regulation. A Handbook (2025).

Kommentare

Bomhard/Schmidt-Kessel, EU Data Act (2025).
Czychowski/Lettl/Steinrötter, Data Act (2025).
Paschke/Schumacher, EU Data Act (2025).
Wolff/Brink/v. Ungern-Sternberg, BeckOK Datenschutzrecht⁴⁹ (1.8.2024).

Weiterführende Links

Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
Europäische Kommission, Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

Nachweise

↑ Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.
↑ Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski in Yearbook of Antitrust and Regulatory Studies 138.
↑ Hoeren/Pinelli, Data Law 23.
↑ Schemmel in BeckOK DatenschutzR⁴⁹ DA Art 3 Rn 2.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (137).
↑ Napieralski in Yearbook of Antitrust and Regulatory Studies 139 mwN.
↑ Napieralski in Yearbook of Antitrust and Regulatory Studies 140 mwN.
↑ Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).
↑ Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.
↑ Napieralski in Yearbook of Antitrust and Regulatory Studies 132 ff.
↑ EuGH 10.7.2018, C‑25/17, Zeugen Jehovas Rz 66; EuGH, 29.7.2019, C-40/17, Fashion ID Rz 70.
↑ Vgl Napieralski in Yearbook of Antitrust and Regulatory Studies 141 f.
↑ Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75
↑ Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.
↑ AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria.
↑ Hoeren/Pinelli, Data Law 19.
↑ VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).
↑ Hoeren/Pinelli, Data Law (November 2024) 124 ff.
↑ Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, in Yearbook of Antitrust and Regulatory Studies 139.
↑ Europäische Kommission, Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.
↑ Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.
↑ Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.
↑ Hoeren/Pinelli, Data Law 19.

[1] Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[2] Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[3] Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[4] Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[5] Siehe Europäische Kommission, Datengesetz erklärt, 13.11.2024, https://digital-strategy.ec.europa.eu/de/factpages/data-act-explained.

[6] Drexl/Banda/Otero/Hoffmann/Kim/Kulhari/Moscon/Richter/Wiedemann, Position Statement of the Max Planck Institute for Innovation and Competition of 25 May 2022 on the Commission’s Proposal of 23 February 2022 for a Regulation on Harmonised Rules on Fair Access to and Use of Data (Data Act)’https://papers.ssrn.com/abstract=4136484 (Stand 23.6.2022) 25; Napieralski in Yearbook of Antitrust and Regulatory Studies 138.

[7] Hoeren/Pinelli, Data Law 23.

[8] Schemmel in BeckOK DatenschutzR⁴⁹ DA Art 3 Rn 2.

[9] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (137).

[10] Napieralski in Yearbook of Antitrust and Regulatory Studies 139 mwN.

[11] Napieralski in Yearbook of Antitrust and Regulatory Studies 140 mwN.

[12] Napieralski, Between the Data Act and the GDPR: Attributing Responsibility for Data Sharing in University of Warsaw (Hrsg), Yearbook of Antitrust and Regulatory Studies (2024) 127 (140 ff).

[13] Europäische Datenschutzausschuss, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO. Version 2.0, https://www.edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_de.pdf (7.7.2021), Rz 21.

[14] Napieralski in Yearbook of Antitrust and Regulatory Studies 132 ff.

[15] EuGH 10.7.2018, C‑25/17, Zeugen Jehovas Rz 66; EuGH, 29.7.2019, C-40/17, Fashion ID Rz 70.

[16] Vgl Napieralski in Yearbook of Antitrust and Regulatory Studies 141 f.

[17] Schmidt-Kessel, Heraus- und Weitergabe von IoT-Gerätedaten, MMR 2024, 75

[18] Europäische Kommission, Frequently Asked Questions Data Act, 13.9.2024, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-frequently-asked-questions-about-data-act.

[19] AIT, Gaia-X Hub Austria, https://www.ait.ac.at/themen/cooperative-digital-technologies/gaia-x-hub-austria.

[20] Hoeren/Pinelli, Data Law 19.

[21] VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, ABl L 2016/119, 1 (Datenschutz-Grundverordnung).

[22] Hoeren/Pinelli, Data Law (November 2024) 124 ff.

[23] Umstritten ist, ob dies nur in Bezug auf die Datenübermittlung an Dritte gilt oder auch in Bezug auf den Datenzugang an den Nutzer. Siehe die Diskussion in Napieralski, in Yearbook of Antitrust and Regulatory Studies 139.

[24] Europäische Kommission, Datengesetz, 13.11.2024, https://digital-strategy.ec.europa.eu/de/policies/data-act.

[25] Richtlinie 96/9/EG des Europäischen Parlaments und des Rates vom 11. März 1996 über den rechtlichen Schutz von Datenbanken.

[26] Zur Frage, ob es sich um eine Klarstellung oder Adaptierung handelt, siehe die Diskussion in Hoeren/Pinelli, Data Law 119.

[27] Hoeren/Pinelli, Data Law 19.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]