Data Act in Kraft: Neue Spielregeln für Datenzugang und Nutzung in Europa

Anwendungsbereich für Industrieunternehmen

Der Data Act betrifft eine breite Palette von Akteuren: Hersteller vernetzter Produkte wie Maschinen, Anlagen, Fahrzeuge oder Geräte des Industrial Internet of Things (IIoT), also Sensoren und Systeme, die in industriellen Produktionsumgebungen Daten erfassen und austauschen. Ebenfalls erfasst sind Anbieter verbundener Dienste, etwa Apps oder Plattformen zur Steuerung dieser Produkte, sowie Unternehmen mit datenbasierten Services – beispielsweise für Predictive Maintenance oder Monitoring.

Für Unternehmen in Österreich ist der Data Act deshalb relevant, weil vernetzte Systeme längst fester Bestandteil industrieller Wertschöpfungsketten sind. Durch das Marktortprinzip gilt die Verordnung für alle Angebote im EU-Binnenmarkt, unabhängig davon, wo der Anbieter seinen Sitz hat. Damit müssen auch österreichische Unternehmen sicherstellen, dass ihre Produkte und Dienstleistungen den neuen Vorgaben entsprechen.

Pflichten zur Datenzugänglichkeit und -weitergabe

Zentrales Element des Data Acts ist das Recht der Nutzer auf Zugang zu den Daten, die bei der Verwendung eines vernetzten Produkts oder Dienstes entstehen. Hersteller und Anbieter müssen ihre Produkte und Services so gestalten, dass ohne Weiteres verfügbare Daten einfach, sicher, unentgeltlich und maschinenlesbar zugänglich sind. Darüber hinaus können Nutzer verlangen, dass diese Daten auch an von ihnen benannte Dritte weitergegeben werden. Dies eröffnet neue Chancen für After-Sales-Services, erhöht aber auch den Wettbewerbsdruck. Geschäftsgeheimnisse bleiben geschützt, müssen jedoch durch geeignete technische und vertragliche Maßnahmen abgesichert werden.

Vertragsgestaltung bei Datenzugang und -nutzung

Der Data Act bringt neue Anforderungen an die Vertragsgestaltung. Klauseln, die den Datenzugang einseitig einschränken oder überzogene Haftungsausschlüsse enthalten, sind künftig unwirksam. Zwischen Dateninhabern und Dritten gilt das FRAND-Prinzip (fair, reasonable and non-discriminatory): Daten müssen also zu fairen, angemessenen und nicht diskriminierenden Bedingungen bereitgestellt werden. Darüber hinaus müssen Nutzer vor Vertragsabschluss transparent über Art, Umfang und mögliche Nutzung der entstehenden Daten informiert werden.

Zeitliche Anwendung und Übergänge

Ab 12. September 2025 gelten die zentralen Regeln des Data Act: Nutzerrechte auf Datenzugang, die Bereitstellung an vom Nutzer benannte Dritte (inkl. Informationspflichten) sowie der Rahmen für Behördenzugriffe (B2G). Ebenfalls ab diesem Datum greifen die neuen Vorgaben für Verträge mit Datenverarbeitungsdiensten (Cloud/SaaS/IaaS) – etwa zu Wechsel, Exit und Interoperabilität.

Noch nicht sofort gilt die Designpflicht für vernetzte Produkte und verbundene Dienste: Sie erfasst Erzeugnisse/Dienste, die erst nach dem 12. September 2026 in Verkehr gebracht bzw. erbracht werden.

Unfaire B2B-Klauseln (Kapitel IV) sind für neu geschlossene Verträge ab 12. September 2025 unwirksam; für bestimmte Altverträge (u. a. sehr langfristige/befristete Verträge) greift die Unwirksamkeit erst ab 12. September 2027. Wechselentgelte im Cloud-Bereich werden schrittweise reduziert und sind ab 12. Januar 2027 vollständig untersagt.

Sanktionen bei Verstößen

Der Data Act verpflichtet die Mitgliedstaaten, nationale Vorschriften über Sanktionen zu erlassen. Diese müssen wirksam, verhältnismäßig und abschreckend sein. Bis zum 12. September 2025 müss(t)en die Staaten ihre Sanktionen an die Kommission melden; die Kommission führt dazu ein öffentliches Register. Für die Höhe der Strafe enthält der Data Act selbst keinen fixen Bußgeldrahmen (außer Verweisungen auf bestehendes Recht). Stattdessen nennt der Data Act Kriterien, die bei der Bemessung berücksichtigt werden müssen – etwa Art, Schwere und Dauer des Verstoßes, frühere Verstöße, finanzielle Vorteile oder Verluste sowie den Jahresumsatz der betroffenen Partei. Eine Besonderheit: Bei Verstößen gegen Kapitel II (Nutzerzugang), Kapitel III (Bereitstellung an Dritte) und Kapitel V (B2G-Datenzugriffe) sind die Datenschutzaufsichtsbehörden zuständig, soweit personenbezogene Daten betroffen sind. Bekanntermaßen können sie Geldbußen in Höhe von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes verhängen.

Für andere Verstöße – etwa beim Cloud Switching (Kapitel VI) oder bei unfairen Vertragsklauseln (Kapitel IV) – müssen die Mitgliedstaaten eigene Aufsichtsbehörden und nationale Sanktionsmechanismen festlegen.

Empfehlungen für erste Compliance-Schritte

Industrieunternehmen sollten jetzt handeln. Als ersten Schritt empfiehlt sich eine Bestandsaufnahme: Welche vernetzten Produkte, Dienste und Datenflüsse existieren im Unternehmen? Darauf aufbauend sollten bestehende Service-, Lizenz- und Cloud-Verträge überprüft und gegebenenfalls angepasst werden. Ebenso wichtig ist die Einrichtung klarer Data-Governance-Prozesse – etwa zur Wahrung von Geschäftsgeheimnissen oder zum Umgang mit Behördenanfragen. Auch die technische Umsetzung darf nicht unterschätzt werden: Datenzugang und Portabilität müssen praktisch möglich sein. Schließlich lohnt es sich, die strategische Dimension im Blick zu behalten: Der Data Act eröffnet neue Chancen für datenbasierte Services und Geschäftsmodelle.

Ausblick

Der Data Act verändert die Spielregeln im industriellen Datenumfeld grundlegend. Im nächsten Newsletter unserer Serie beleuchten wir, wie sich die neuen Rechte und Pflichten für Industrieunternehmen insgesamt auswirken – und welche Chancen sich dabei für datengetriebene Geschäftsmodelle eröffnen.

Wenn Sie Fragen zu den Themen in diesem Artikel haben oder Unterstützung im Zusammenhang mit dem Datenschutzrecht benötigen, stehen Mag. Philipp Reinisch, LL.M. und Mag. Veronika Wolfbauer, LL.M. gerne als Ansprechpartner zur Verfügung.