Data Act – Fairer Zugang zu Daten in Europa
Mission
-
Data Act national durchsetzen
-
Fairen Datenzugang sichern
-
KMU stärken
-
Cloud-Wechsel erleichtern
-
Interoperabilität fördern
-
Digitale Souveränität ausbauen
Vision
-
Österreich als Datenstandort stärken
-
Innovation durch Datennutzung ermöglichen
-
Wettbewerbsfähigkeit Europas sichern
-
Faire und transparente Datenökonomie etablieren
-
Daten als strategische Ressource nutzen
Diese Informationsbereitstellung dient ausschließlich allgemeinen Auskunftszwecken und stellt keine Rechtsberatung im Sinne der geltenden nationalen oder europäischen Rechtsvorschriften dar. Trotz sorgfältiger Recherche kann keine Gewähr für die Vollständigkeit, Richtigkeit oder Aktualität der angegebenen Inhalte übernommen werden.
Es wird darauf hingewiesen, dass sich die für die Aufsicht und Durchsetzung des Data Acts zuständige Behörde in Österreich derzeit noch im Aufbau befindet. Für Fragen zum Datenschutz im Zusammenhang mit dem Data Act ist die Österreichische Datenschutzbehörde zuständig. Für verbindliche rechtliche Auskünfte oder Entscheidungen sind die einschlägigen gesetzlichen Bestimmungen sowie die künftigen behördlichen Entscheidungen maßgeblich.
Anwendungsbereich
Der Data Act schafft harmonisierte Vorschriften für den fairen Datenzugang und die faire Datennutzung. Während die DSGVO primär dem Schutz personenbezogener Daten dient, verfolgt der Data Act das Ziel, Wertschöpfung aus nicht-personenbezogenen Daten zu ermöglichen und faire Wettbewerbsbedingungen in der Datenökonomie zu schaffen.
Er ist eingebettet in die:
Ziel ist es, Datensilos aufzubrechen, Innovationspotenziale zu heben und Europa als attraktiven Standort für datengetriebene Geschäftsmodelle zu positionieren.
Wozu dient der Data Act?
Datenzugang ermöglichen
Nutzerinnen und Nutzer erhalten Rechte auf Zugang und Weitergabe der durch sie generierten Daten.
Fairen Wettbewerb sichern
Datenbereitstellung muss zu fairen, angemessenen und nichtdiskriminierenden Bedingungen erfolgen (FRAND).
Digitale Souveränität stärken
Schutz europäischer Daten vor unrechtmäßigem Drittstaatenzugriff und Reduktion struktureller Abhängigkeiten.
Zugang und Bereitstellung von Daten
Der Data Act stärkt die Rechte der Nutzerinnen und Nutzer vernetzter Produkte (wie Smart-Geräte, Fahrzeuge usw.) sowie verbundener Dienste, indem dieser ihnen einen besseren Zugang zu den dabei entstehenden nicht -personenbezogenen Daten ermöglicht.
Dabei kann es sich um:
-
einfach verfügbare Daten handeln, die die Dateninhaberinnen oder der Dateninhaber ohne erheblichen Aufwand bereitstellen kann, oder
-
Nutzerdaten, die aus der Interaktion zwischen Nutzerinnen und Nutzer und vernetztem Produkt oder einer verbundenen Dienstleistung entstehen.
Verwendung von Produkt- und Dienstdaten
Durch die Nutzung vernetzter Produkte oder Dienste entstehende Datenwerden den Nutzern zur Verfügung gestellt.
Transparenz für Nutzerinnen und Nutzer
Herstellerinnen und Hersteller müssen vor Vertragsabschluss informieren, welche Daten generiert werden und wie darauf zugegriffen werden kann.
Weitergabe möglich
Nutzerinnen und Nutzer können ihre Daten an Dritte weitergeben, etwa an Wartungs- oder Serviceanbieter.
Datenzugang bereits bei der Produktgestaltung
Der Data Act verpflichtet Herstellerinnen und Hersteller, Anbieterinnen und Anbieter, vernetzte Produkte und verbundene Dienste so zu entwickeln, dass die dabei entstehenden Daten für Nutzerinnen und Nutzer zugänglich sind. Dieses Prinzip wird als „Access-by-Design“ bezeichnet und bedeutet, dass ein Datenzugang bereits bei der Entwicklung eines Produkts berücksichtigt werden muss, diese Pflicht gilt ab 12. September 2026.
Die Daten sollen – soweit technisch möglich – einfach, sicher, kostenlos und in einem gängigen maschinenlesbaren Format bereitgestellt werden. In bestimmten Fällen kann die Weitergabe eingeschränkt werden, etwa zum Schutz von Geschäftsgeheimnissen oder aus rechtlichen bzw. sicherheitsrelevanten Gründen.
Zentrale Nutzerrechte im Überblick
Herstellerinnen und Hersteller müssen Produkte so entwickeln, dass die generierten Daten für Nutzerinnen und Nutzer standardmäßig zugänglich sind.
Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags müssen Nutzerinnen und Nutzer darüber informiert werden, welche Daten erzeugt werden und wie der Zugriff darauf funktioniert.
Nutzerinnen und Nutzer können die durch ihre Nutzung generierten Daten kostenlos und unverzüglich vom Dateninhaber erhalten.
Nutzerinnen und Nutzer können Daten an Drittanbieter übermitteln lassen, etwa an Service- oder Wartungsanbieter.
Datenzugang darf Geschäftsgeheimnisse nicht gefährden. Vertrauliche Informationen müssen durch geeignete Maßnahmen geschützt werden.
Personenbezogene Daten unterliegen weiterhin vollständig den Bestimmungen der DSGVO und dürfen nur auf einer gültigen Rechtsgrundlage verarbeitet werden.
Pflichten für Dateninhaberinnen und Dateninhaber im Rahmen von Geschäftsbeziehungen
Der Data Act legt einheitliche Regeln für Dateninhaberinnen und Dateninhaber fest, wenn Daten an andere Unternehmen (B2B) bereitgestellt werden müssen oder Nutzerinnen und Nutzer eine Weitergabe an einen Datenempfänger verlangen. Ziel ist es, faire und transparente Rahmenbedingungen für den Datenaustausch zwischen Unternehmen zu schaffen.
Die Datenbereitstellung muss zu fairen, angemessenen, nichtdiskriminierenden und transparenten Bedingungen erfolgen. Im Unternehmensbereich kann für die Bereitstellung grundsätzlich auch eine angemessene Gegenleistung verlangt werden, etwa um Investitionen in die Bereitstellung und Aufbereitung der Daten zu decken.
Faire Bedingungen (FRAND)
Daten müssen zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitgestellt werden.
Transparenz der Entgelte
Dateninhaberinnen und Dateninhaber müssen offenlegen, unter welchen Bedingungen Daten bereitgestellt werden und wie mögliche Entgelte berechnet werden.
Besondere Regeln für KMU
Bei Kleinst-, Klein- und mittleren Unternehmen oder Forschungseinrichtungen darf die Gegenleistung grundsätzlich nur die direkten Bereitstellungskosten abdecken.
Schutz vor missbräuchlichen Vertragsklauseln
Der Data Act verbietet missbräuchliche Vertragsklauseln in B2B-Verträgen über den Zugang zu und die Nutzung von Daten. Solche Klauseln sind nicht bindend, wenn sie ein erhebliches Ungleichgewicht zwischen den Vertragsparteien schaffen.
Erfasst sind insbesondere Vertragsbestimmungen, die den Zugang eines Unternehmens zu seinen eigenen Daten unangemessen einschränken oder verhindern, dass eine Partei eine Kopie ihrer Daten erhält oder einen Vertrag innerhalb angemessener Frist beenden kann.
Missbräuchliche Vertragsklauseln im Überblick
Der weitreichende Anwendungsbereich erstreckt sich auf sämtliche Datenverträge sowie Vertragsklauseln, die den Zugang zu Daten oder deren Nutzung regeln. Der Hauptgegenstand eines Vertrags oder die Angemessenheit eines Preises werden davon grundsätzlich nicht erfasst. Diese (inhaltliche) AGB-Kontrolle liegt nur bei Verträgen zwischen Unternehmen (B2B) vor.
Der Schutz greift, wenn eine Vertragsklausel von einer Vertragspartei vorgegeben wird und die andere Partei trotz Verhandlungsversuchen keinen Einfluss auf ihren Inhalt nehmen konnte.
Eine Klausel gilt als missbräuchlich, wenn sie erheblich von guter Geschäftspraxis abweicht und gegen das Gebot von Treu und Glauben verstößt.
Missbräuchliche Vertragsklauseln sind für das benachteiligte Unternehmen nicht bindend. Der übrige Vertrag bleibt grundsätzlich weiterhin wirksam.
Der Data Act nennt auch Beispiele für Klauseln, die stets oder mit hoher Wahrscheinlichkeit als missbräuchlich gelten, etwa der Ausschluss von Haftung bei grober Fahrlässigkeit.
Datenbereitstellung an öffentliche Stellen (B2G)
Der Data Act regelt unter bestimmten Voraussetzungen die Bereitstellung von Daten aus dem privaten Sektor an öffentliche Stellen. Diese Verpflichtung kann in Situationen der „außergewöhnlichen Notwendigkeit“ entstehen, etwa wenn Maßnahmen zum Schutz von Leben, Gesundheit oder zur Bewältigung erheblicher wirtschaftlicher Risiken erforderlich sind.
Dabei unterscheidet der Data Act zwei Hauptanwendungsbereiche: die Bewältigung öffentlicher Notlagen (z. B. Naturkatastrophen oder Pandemien) sowie andere Situationen außergewöhnlichen Bedarfs im Zusammenhang mit gesetzlich übertragenen Aufgaben im öffentlichen Interesse.
Grundsätzlich sollen dabei nicht-personenbezogene Daten bereitgestellt werden. Personenbezogene Daten können nur subsidiär und unter strikter Einhaltung der Datenschutzvorschriften angefordert werden, etwa wenn sie zuvor anonymisiert wurden.
Daten für das öffentliche Interesse
Unter bestimmten Voraussetzungen können Unternehmen verpflichtet sein, Daten zur Unterstützung öffentlicher Aufgaben bereitzustellen.
Ausnahmefälle und Notlagen
Die Regelung greift insbesondere bei außergewöhnlichen Situationen wie Naturkatastrophen oder anderen Krisenlagen.
Schutz sensibler Daten
Geschäftsgeheimnisse und sensible Unternehmensdaten müssen geschützt werden; in bestimmten Fällen kann eine Herausgabe eingeschränkt werden.
Datenbereitstellung an öffentliche Stellen im Überblick
Die Regelung betrifft Daten aus dem privaten Sektor, mit einem Schwerpunkt auf nicht-personenbezogenen Daten. Personenbezogene Daten können nur subsidiär einbezogen werden und unterliegen weiterhin den Vorgaben der DSGVO.
Öffentliche Stellen können Daten anfordern, wenn eine außergewöhnliche Notwendigkeit vorliegt und diese Daten für konkrete Aufgaben im öffentlichen Interesse benötigt werden.
Unternehmen müssen angeforderte Daten bereitstellen, sofern die gesetzlichen Voraussetzungen erfüllt sind und die entsprechenden Verfahrensanforderungen eingehalten werden.
Die bereitgestellten Daten dürfen ausschließlich für den konkret angegebenen Zweck verwendet werden.
Unternehmen können geeignete Schutzmaßnahmen verlangen, wenn Geschäftsgeheimnisse betroffen sind. In begrenzten Fällen kann die Herausgabe von Daten eingeschränkt oder verweigert werden, wenn gravierende wirtschaftliche Nachteile drohen.
Sektorale Regelungen zum Datenzugang sowie die Vorgaben des Datenschutzrechts bleiben weiterhin anwendbar.
Wechsel zwischen Datenverarbeitungsdiensten
Viele Unternehmen und Privatpersonen in der Europäischen Union nutzen Cloud- und Edge-Dienste für Speicherung, Verarbeitung und Verwaltung von Daten. Der Wechsel zu einem anderen Anbieterinnen und Anbieter oder die parallele Nutzung mehrerer Dienste ist jedoch häufig mit hohen Kosten, technischen Hürden oder unübersichtlichen Vertragsbedingungen verbunden.
Der Data Act soll diese sogenannten Lock-in-Effekte reduzieren und den Markt für Datenverarbeitungsdienste fairer und transparenter gestalten. Anbieterinnen und Anbieter müssen Hindernisse für einen Anbieterwechsel abbauen und klare Regeln für Datenportabilität, Vertragsbedingungen und technische Interoperabilität schaffen.
Bestimmte Ausnahmen bestehen für Dienste, deren zentrale Funktionen speziell für einzelne Kunden entwickelt wurden, sowie für Dienste, die sich noch in einer Test- oder Beta-Phase befinden.
Cloud-Switching erleichtern
Nutzerinnen und Nutzer erhalten das Recht, ihren Datenverarbeitungsdienst zu wechseln und ihre Daten zu einem anderen Anbieterinnen und Anbieter mitzunehmen.
Wettbewerb stärken
Die neuen Regeln sollen Lock-in-Effekte reduzieren und einen faireren Wettbewerb im Cloud-Markt fördern.
Mehr Transparenz
Anbieterinnen und Anbieter müssen klar über Wechselbedingungen, Datenexportformate und mögliche Drittstaatenzugriffe informieren.
Cloud-Switching und Datenverarbeitungsdienste im Überblick
Die Regelungen betreffen Anbieterinnen und Anbieter von Datenverarbeitungsdiensten, insbesondere Cloud-Dienste wie Infrastruktur-, Plattform- und Softwarelösungen. Ziel ist es, Wechselbarrieren zu reduzieren und Wettbewerb im Cloud-Markt zu stärken.
Nutzerinnen und Nutzer erhalten das Recht, den Anbieterinnen und Anbieter eines Datenverarbeitungsdienstes zu wechseln und ihre exportierbaren Daten zu einem neuen Anbieterinnen und Anbieter zu übertragen. Dies umfasst sowohl die vollständige Beendigung eines Dienstes als auch eine parallele Nutzung während einer Migration.
Anbieterinnen und Anbieter müssen technische und vertragliche Hindernisse für einen Anbieterwechsel abbauen. Dazu gehören transparente Informationen über Wechselbedingungen, Exportformate, Fristen und mögliche Gebühren.
Die maximale Kündigungs- oder Ankündigungsfrist für einen Wechsel beträgt zwei Monate. Nutzerinnen und Nutzer müssen ihre Daten mindestens 30 Tage nach Vertragsende oder Beginn des Wechsels abrufen können.
Wechselgebühren müssen transparent offengelegt und schrittweise reduziert werden. Ab 12. September 2027 soll der Wechsel zwischen Datenverarbeitungsdiensten grundsätzlich kostenlos möglich sein.
Anbieterinnen und Anbieter müssen standardisierte Schnittstellen und Datenformate bereitstellen, um den Austausch von Daten, Metadaten und relevanten Funktionen zwischen verschiedenen Diensten zu ermöglichen.
Anbieterinnen und Anbieter müssen offenlegen, ob Behörden oder andere Stellen aus Drittstaaten Zugriff auf in der EU gespeicherte Daten verlangen können. Ziel ist mehr Transparenz und ein besserer Schutz nicht-personenbezogener Daten.
Schutz vor unrechtmäßigem staatlichem Zugriff auf Daten
Der Data Act schützt nicht-personenbezogene Daten vor unrechtmäßigem Zugriff durch Behörden aus Drittstaaten sowie vor unzulässigen Datenübermittlungen in Länder außerhalb der Europäischen Union. Ziel ist es, Daten auch im internationalen Kontext zu sichern und Unternehmen vor Herausgabeverlangen zu schützen, die mit dem europäischen Rechtsrahmen nicht vereinbar sind.
Anbieterinnen und Anbieter von Datenverarbeitungsdiensten müssen dafür geeignete technische, organisatorische und rechtliche Maßnahmen ergreifen, um unzulässige Zugriffe zu verhindern. Gleichzeitig bleibt eine rechtmäßige Datenübermittlung möglich, wenn sie auf internationalen Vereinbarungen oder rechtsstaatlichen Verfahren beruht.
Schutz europäischer Daten
Nicht-personenbezogene Daten sollen vor unrechtmäßigem Zugriff durch Behörden aus Drittstaaten geschützt werden.
Verantwortung der Anbieterinnen und Anbieter
Cloud- und Datenverarbeitungsdienste müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen.
Rechtmäßige Ausnahmen
Ein Zugriff kann nur unter bestimmten Voraussetzungen erfolgen, etwa auf Grundlage internationaler Abkommen oder rechtsstaatlicher Verfahren.
Schutz vor Drittstaatenzugriff im Überblick
Die Regelung betrifft nicht-personenbezogene Daten, die in der EU gespeichert oder verarbeitet werden. Ziel ist es, unzulässige staatliche Zugriffe aus Drittstaaten sowie rechtswidrige Datenübermittlungen zu verhindern.
Anbieterinnen und Anbieter von Datenverarbeitungsdiensten müssen angemessene technische, organisatorische und rechtliche Maßnahmen treffen, um unrechtmäßige Zugriffe zu verhindern. Dazu gehören etwa sichere Infrastrukturen, klare interne Prozesse und eine sorgfältige rechtliche Prüfung von Zugriffsanfragen.
Ein Zugriff auf Daten kann nur unter engen Voraussetzungen erfolgen, etwa auf Grundlage einer behördlichen oder gerichtlichen Entscheidung eines Drittstaats, die bestimmten rechtsstaatlichen Anforderungen entspricht oder auf einer internationalen Vereinbarung beruht.
Anbieterinnen und Anbieter müssen ihre Kundinnen und Kunden grundsätzlich über behördliche Zugriffsverlangen informieren. Eine Ausnahme besteht nur dann, wenn eine solche Information laufende strafrechtliche Ermittlungen gefährden würde.
Interoperabilität
Der Data Act fördert die Interoperabilität von Datenräumen und Datenverarbeitungsdiensten, um einen reibungslosen Datenaustausch innerhalb der Europäischen Union zu ermöglichen. Ziel ist es, gemeinsame technische Regeln und offene Standards zu schaffen, damit Daten zwischen verschiedenen Systemen, Diensten und Datenräumen sicher und effizient genutzt werden können.
Die Vorgaben betreffen unter anderem Cloud-Dienste, Datenräume und Datenintermediäre sowie die Nutzung sogenannter Smart Contracts für den automatisierten Datenaustausch. Die Europäische Kommission kann technische Anforderungen weiter konkretisieren und europäische Normungsorganisationen mit der Entwicklung gemeinsamer Standards beauftragen.
Einheitliche Standards
Der Datenaustausch soll auf offenen und allgemein anerkannten technischen Standards basieren.
Nahtloser Datenaustausch
Interoperable Systeme ermöglichen einen reibungslosen Austausch von Daten zwischen verschiedenen Diensten und Datenräumen.
Mehr Chancen für KMU
Standardisierte Schnittstellen erleichtern kleinen und mittleren Unternehmen den Zugang zu Datenräumen und digitalen Märkten.
Interoperabilität im Überblick
Der Data Act legt technische und organisatorische Anforderungen fest, um Interoperabilität zwischen Datendiensten sicherzustellen. Dazu gehören standardisierte Schnittstellen, Protokolle und Datenformate.
Dienste, die den Zugang zu oder Austausch von Daten ermöglichen – etwa Datenmarktplätze, Datenräume oder Datenintermediäre – müssen bestimmte Mindestanforderungen an Kompatibilität und Zusammenspiel erfüllen.
Interoperabilität soll auf offenen und allgemein anerkannten Standards beruhen. Die Europäische Kommission kann Durchführungsrechtsakte erlassen und europäische Normungsorganisationen mit der Entwicklung gemeinsamer Referenzarchitekturen und Schnittstellen beauftragen.
Die Regeln sollen auch den Datenaustausch zwischen verschiedenen Datenräumen fördern, etwa zwischen Industrie, Energie, Mobilität oder Gesundheitssektor.
Die Interoperabilitätsanforderungen ergänzen bestehende sektorspezifische Regelungen – beispielsweise im Energie-, Verkehrs- oder Finanzsektor – ohne diese zu ersetzen.
