Data Act & Industrieunternehmen: Neue Rechte und Pflichten beim Datenzugang
Skip to main content
Select location
Insight

Data Act & Industrieunternehmen: Neue Rechte und Pflichten beim Datenzugang

Philipp Reinisch
07/10/2025
Veronika Wolfbauer
 
Colorful abstract data visualization with a gradient background of blue to pink. The image features complex, interconnected lines and dots, resembling peaks and valleys, representing a digital network or statistical analysis.

Locations

Austria

Der Data Act betrifft nicht nur Hersteller von Maschinen oder Anlagen, sondern alle Unternehmen, die vernetzte Produkte entwickeln, vertreiben oder einsetzen. Dazu gehören etwa produzierende Industrie, die Bauwirtschaft, Energie- und Transportunternehmen, aber auch Serviceanbieter, die ihre Leistungen auf Basis von Maschinendaten oder IoT-Diensten erbringen.

Im Zentrum stehen die neuen Rechte der Nutzer auf Datenzugang und die Pflicht von Herstellern/Dateninhabern, diese Daten – auf Wunsch auch an Dritte – bereitzustellen. Damit entstehen neue Spielregeln für After‑Sales‑Services, Wartung und datenbasierte Geschäftsmodelle, aber auch Risiken, etwa beim Schutz von Geschäftsgeheimnissen und beim Wegfall exklusiver Vertragsklauseln.

Wer ist „Nutzer“, wer „Dateninhaber“ – und warum das wichtig ist?

Rechte und Pflichten greifen zwischen Nutzer (zB Käufer/Mieter/Leaser eines vernetzten Produkts bzw Nutzer eines verbundenen Dienstes) und Dateninhaber. Als Dateninhaber gilt jene Person bzw. jenes Unternehmen, das nach dem Data Act oder anderen unions- oder nationalrechtlichen Vorschriften berechtigt oder verpflichtet ist, Daten zu nutzen oder bereitzustellen, die während der Erbringung eines verbundenen Dienstes generiert oder abgerufen wurden. Die korrekte Einordnung ist entscheidend, um Herausgabepflichten rechtssicher zu adressieren und interne Prozesse entsprechend aufzusetzen.

Welche Daten sind herauszugeben? „Ohne Weiteres verfügbare Daten“ und Metadaten

Der Data Act verfolgt einen abgestuften Ansatz: Soweit technisch möglich und sinnvoll, ist ein Direktzugang zu den Produkt- oder Dienstdaten bereitzustellen. Ist dies nicht umsetzbar, entsteht ein Anspruch auf Herausgabe jener Daten, die „ohne Weiteres verfügbar“ sind. Darunter versteht die Verordnung Daten, die der Dateninhaber rechtmäßig und ohne unverhältnismäßigen Aufwand vom Produkt oder Dienst erhält bzw. erhalten kann.

Praxis-Hinweis:
Über den Umfang „ohne Weiteres verfügbarer Daten“ lässt sich in der Praxis trefflich streiten. Maßgeblich sind Machbarkeit, Aufwand und Rechtmäßigkeit im konkreten Setup. Nicht umfasst sind Daten, die erst erzeugt werden müssten oder Systemumbauten voraussetzen. Auch ein reiner Geräte-Vor-Ort-Zugriff kann gegen „ohne Weiteres verfügbar“ sprechen. Enthalten Datensätze personenbezogene Informationen, ist weiterhin eine DSGVO-Rechtsgrundlage erforderlich – fehlt eine solche, kann bereits die „ohne-Weiteres-Verfügbarkeit“ in Frage gestellt werden.

Auf Verlangen des Nutzers sind diese Daten unverzüglich, kostenlos, strukturiert, gängig und maschinenlesbar bereitzustellen – gegebenenfalls auch kontinuierlich und in Echtzeit. Erfasst sind dabei auch die erforderlichen Metadaten, die für die Interpretation und Nutzung der Daten notwendig sind.

Weitergabe an Dritte: Chancen, Pflichten und Grenzen

Nutzer können den Dateninhaber anweisen, ohne Weiteres verfügbare Daten samt erforderlicher Metadaten einem benannten Dritten bereitzustellen. Gatekeeper im Sinne des DMA sind als Dritte ausgeschlossen. Umgehungshandlungen sind unzulässig. Insbesondere ist es Gatekeepern untersagt, Nutzer durch finanzielle oder sonstige Anreize zur Weitergabe solcher Daten zu bewegen oder die Bereitstellung durch den Dateninhaber zu veranlassen.

Zulässige Dritte unterliegen strengen Zweckbindungen. Die Nutzung der erhaltenen Daten zur Entwicklung konkurrierender Produkte ist ebenso ausgeschlossen wie das gezielte Ausforschen wirtschaftlicher Verhältnisse des Dateninhabers. Diese Einschränkungen dienen dem Schutz des industriellen Datenökosystems und sollen Missbrauch verhindern.

Geschäftsgeheimnisse müssen durch den Data Act nicht offengelegt werden. Wo Pflichten zur Datenweitergabe bestehen, sind angemessene technische und vertragliche Schutzmaßnahmen erforderlich – etwa durch NDAs, Zugriffsbeschränkungen, Protokollierung oder eine gestufte Offenlegung. Fehlen solche Schutzmechanismen, kann die Herausgabe verweigert werden.

Achtung:
Damit eine Information als Geschäftsgeheimnis gilt, muss sie geheim sein, einen kommerziellen Wert haben, weil sie geheim ist, und angemessenen Geheimhaltungsmaßnahmen unterliegen. Eine eindeutige Kennzeichnung ist ein bewährtes Mittel, ersetzt aber nicht die Notwendigkeit organisatorischer und technischer Schutzmaßnahmen (z.B. Zugriffssteuerung, NDAs, Logging). Dies ergibt sich aus der Richtlinie (EU) 2016/943, die in Österreich im UWG umgesetzt wurde.

Vertragsgestaltung

  1. Drei Verhältnisachsen & FRAND

    i. Dateninhaber ↔ Nutzer

    Zwischen Dateninhaber und Nutzer gilt ein Stufenmodell: Ist es technisch möglich und sinnvoll, muss der Datenzugang bereits bei der Gestaltung des Produkts oder Dienstes berücksichtigt werden („access by design“). Andernfalls sind die relevanten Daten auf Verlangen bereitzustellen – unverzüglich, gegebenenfalls kontinuierlich bzw. nahezu in Echtzeit, in gängigen maschinenlesbaren Formaten und inklusive der erforderlichen Metadaten.
    Nicht-personenbezogene Daten, die dem Dateninhaber ohne Weiteres zur Verfügung stehen, dürfen nur auf Grundlage eines Vertrags mit dem Nutzer für eigene Zwecke verwendet werden. Von den Nutzerrechten darf vertraglich nicht einseitig zu dessen Nachteil abgewichen werden; entsprechende Klauseln sind unwirksam.
    In der Vertragspraxis gehören die Beschreibung der zu liefernden Daten (etwa Sensordaten oder Logfiles), technische Parameter der Bereitstellung (Format, Aktualität, Sicherheit) sowie Regelungen zum Geheimnisschutz (zB NDAs, Zugriffsbeschränkungen, Protokollierung) zum vertraglichen Kern.

    ii. Dateninhaber ↔ Datenempfänger (Dritter) – auf Nutzerverlangen

    Verlangt der Nutzer die Weitergabe an einen Dritten, muss der Dateninhaber zu fairen, angemessenen und nicht diskriminierenden Bedingungen liefern (fair, reasonable and non-discriminatory, FRAND). Das bedeutet unter anderem: keine missbräuchlichen Haftungsausschlüsse oder unzulässigen Einschränkungen von Rechtsbehelfen, keine Benachteiligung des Nutzers und keine Diskriminierung vergleichbarer Empfänger. Eine sachlich begründbare Differenzierung – etwa nach Unternehmensgröße oder Branche – wird wohl zulässig sein, muss aber konsistent erfolgen.
    Eine Gegenleistung ist zulässig und kann neben den Bereitstellungskosten auch Investitionen in die Erhebung oder Generierung der Daten berücksichtigen. Eine Marge ist jedenfalls erlaubt. Für KMU und bestimmte gemeinnützige Empfänger gilt eine Kostenobergrenze (Kostenersatz). Empfehlenswert ist eine transparente Kalkulationslogik – etwa mit Ausgangspunkt „Kostenbasis plus Marge“ und definierten Zu- oder Abschlagsfaktoren.
    Rechtlich sind die Vorgaben zwingend: Klauseln, die FRAND oder die flankierenden Regeln ausschließen oder abändern, sind für den Vertragspartner nicht bindend und entfalten keine Rechtswirkung. Auch missbräuchliche B2B-Klauseln – insbesondere in AGB – sind unwirksam. Zeitlich relevant: Für neu geschlossene Verträge gelten die Vorgaben ab 12. September 2025, für bestimmte Altverträge ab 12. September 2027.

    iii. Nutzer ↔ Datenempfänger

    Zwischen Nutzer und Empfänger gelten Zweckbindung und Nutzungsregeln. Der Empfänger darf die Daten nur im vereinbarten Umfang verwenden; Weitergabe, Profiling oder wettbewerbliche Nutzung sind zu untersagen oder eng zu regeln. Eine Streitbeilegung über zertifizierte Stellen sollte vertraglich angebunden werden. Die Missbrauchskontrolle greift ergänzend, insbesondere bei einseitig auferlegten Klauseln im Rahmen von AGB.

  2. Konsequenz aus österreichischer, zivilrechtlicher Sicht

    Neben den Vorgaben des Data Act bleibt die AGB-Kontrolle nach nationalem Zivilrecht (B2B) als Sicherheitsnetz relevant. Die Missbrauchsprüfung des Data Act ergänzt diese und enthält eine eigene "Klauselkontrolle" für Datenregelungen.

    Ergebnis: Unangemessene, einseitig auferlegte Klauseln – etwa überzogene Haftungsausschlüsse, einseitige Auslegungsrechte oder unzulässige Kündigungshindernisse – sind unwirksam, sowohl nach dem Data Act als auch nach österreichischem Recht.
  1. Model Contractual Terms – Orientierung, kein Korsett

    Die Kommission wird unverbindliche Mustervertragsklauseln („Model Contractual Terms“) für alle drei Verhältnisachsen bereitstellen. Sie sollen Best-Practice-Bausteine zu FRAND, Gegenleistung, Geheimnisschutz, Sicherheit und Exit-Mechanik bieten. Unsere Empfehlung: Diese Templates sollten genutzt, aber kritisch angepasst werden.

    Der Natur von Musterklauseln ist es geschuldet, dass diese sehr allgemein gehalten sind. Anders als die datenschutzrechtlichen Standardvertragsklauseln (SCCs) für internationale Datentransfers sind die Model Contractual Terms nicht verpflichtend. Unternehmen können sie daher flexibel auf ihr Geschäftsmodell, die betroffenen Datenarten und ihr Risikoprofil zuschneiden.

Praxis-Hinweis:
Für die Verhandlungsvorbereitung empfiehlt sich eine „FRAND-Map“ je Empfängerkategorie – etwa nach Unternehmensgröße, Branche oder Use Case. Die Gegenleistung sollte transparent aus der Kostenbasis und einer definierten Marge abgeleitet werden. Das reduziert Diskriminierungs- und Missbrauchsrisiken bereits vor einer etwaigen Klauselkontrolle.

DSGVO bleibt anwendbar – der Data Act ist keine eigene Rechtsgrundlage

Sobald personenbezogene Daten betroffen sind, gilt weiterhin die DSGVO. Der Data Act tritt nicht an ihre Stelle, sondern ergänzt sie – ohne eigene Rechtsgrundlage für die Verarbeitung zu schaffen. Für jede Verarbeitung ist daher wie bisher eine Rechtsgrundlage gemäß Artikel 6 oder Artikel 9 DSGVO erforderlich.

In der Praxis bedeutet das: Zweckbindung, Datenminimierung, Transparenz und – je nach Fall – Einwilligung oder eine andere zulässige Rechtsgrundlage bleiben zwingend. Auch der Schutz von Geschäftsgeheimnissen kann den Datenzugang einschränken, muss aber nachvollziehbar begründet und technisch sowie vertraglich abgesichert sein.

Cloud, Exit & Interoperabilität (Kurzüberblick)

Für Unternehmen, die Cloud- oder Datenverarbeitungsdienste nutzen oder anbieten, gelten zusätzliche Pflichten: Anbieter müssen den Wechsel erleichtern, Exit-Prozesse vertraglich regeln und technische Voraussetzungen schaffen. Dazu zählen unter anderem eine Kündigungsfrist von maximal zwei Monaten, ein Übergangszeitraum von in der Regel 30 Tagen sowie die Möglichkeit zum Datenabruf für mindestens 30 Tage nach Beendigung des Übergangszeitraums.

Zudem sind offene Schnittstellen und eine ausreichende technische Dokumentation bereitzustellen, um die Interoperabilität zu gewährleisten. Wechselentgelte werden schrittweise reduziert und sind ab 12. Januar 2027 vollständig untersagt.

Für Kunden verbessert sich dadurch die Verhandlungsposition deutlich. Anbieter wiederum müssen Exit-Pläne und eine funktionierende Schnittstellen-Governance etablieren – nicht nur vertraglich, sondern auch technisch.

Data Act Compliance: Fünf Schritte für Industrieunternehmen

  1. Rollen klären. Wer ist bei Ihren Produkten und Diensten als Nutzer zu qualifizieren, wer als Dateninhaber? Zuständigkeiten und interne Prozesse sollten klar definiert und dokumentiert werden.
     
  2. Dateninventar erstellen. Welche Produkt- und Dienstdaten fallen unter die Bereitstellungspflichten? In welchen Formaten und mit welchen Metadaten liegen sie vor? Schnittstellen, Zugriffsmöglichkeiten und Fristen – insbesondere bei Echtzeit-Szenarien – müssen technisch und organisatorisch abgebildet werden.
     
  3. Verträge konsistent gestalten. Informationspflichten gegenüber Nutzern, Datenzugangsvereinbarungen, Drittverträge mit FRAND-Logik und Entgeltregelungen sowie Nutzungsverträge zwischen Nutzer und Drittem sollten aufeinander abgestimmt sein. Bestehende Verträge sind auf unfaire Klauseln zu prüfen und bei Bedarf anzupassen.
     
  4. Geheimnisschutz und DSGVO sicherstellen. Zweckbindung, Zugriffskontrollen, Protokollierung sowie technische und organisatorische Maßnahmen (TOMs) sind umzusetzen. Personenbezogene Daten dürfen nur auf Basis einer gültigen DSGVO-Rechtsgrundlage verarbeitet werden. Geschäftsgeheimnisse sollten eindeutig gekennzeichnet und durch Schutzprozesse abgesichert sein.
     
  5. Cloud-Exit vorbereiten. Vertragsklauseln zu Kündigung, Migration und Datenportabilität sind zu prüfen und zu ergänzen. Schnittstellen und Verantwortlichkeiten müssen klar definiert sein. Eine Roadmap bis zum vollständigen Entgeltverbot ab 12. Januar 2027 sollte festgelegt werden.

Ausblick

Im nächsten Artikel unserer Serie stehen die neuen Pflichten für Cloud- und SaaS-Anbieter im Fokus. Wir beleuchten die Anforderungen an Anbieterwechselbarkeit und Interoperabilität – insbesondere die vertragliche und technische Ausgestaltung von Exit-Plänen, die schrittweise Abschaffung von Wechselentgelten sowie die praktischen Auswirkungen auf Cloud-Verträge. Wir geben dabei erste Bausteine für ein praxisnahes „Cloud-Playbook“, das rechtliche Vorgaben und operative Umsetzungspunkte zusammenführt.

Wenn Sie Fragen zu den Themen in diesem Artikel haben oder Unterstützung im Zusammenhang mit dem Datenschutzrecht benötigen, stehen Mag. Philipp Reinisch, LL.M. und Mag. Veronika Wolfbauer, LL.M. gerne als Ansprechpartner zur Verfügung. 

Das könnte Sie auch interessieren… Alle Insights anzeigen
Data and Privacy
Data and Privacy
Insight
Data Act & Verträge: Unfaire Klauseln, Behördenzugriffe und Sanktionen
08/10/2025
A digital illustration of a padlock made from glowing white dots on a grid of purple and black dots. The grid pattern gives it a pixelated appearance, representing digital security.
Data and Privacy
Data and Privacy
Insight
Data Act & Cloud-Dienste: Mehr Freiheit für Nutzer, neue Pflichten für Anbieter
07/10/2025
Insight
Data Act in Kraft: Neue Spielregeln für Datenzugang und Nutzung in Europa
06/10/2025
A hand places a coin into one of four glass jars filled with coins. Two jars have small plants sprouting from them, symbolizing financial growth and investment. The background is blurred greenery, highlighting the focus on the jars and coins.
Insight
Qualifizierte Beteiligungen, Vermögensübertragungen, Verschmelzungen und Spaltungen - neue Anforderungen in der CRR III und der CRD VI
15/10/2024
Data and Privacy
Data and Privacy
Insight
Data Act & Verträge: Unfaire Klauseln, Behördenzugriffe und Sanktionen
08/10/2025
A digital illustration of a padlock made from glowing white dots on a grid of purple and black dots. The grid pattern gives it a pixelated appearance, representing digital security.
Data and Privacy
Data and Privacy
Insight
Data Act & Cloud-Dienste: Mehr Freiheit für Nutzer, neue Pflichten für Anbieter
07/10/2025
Insight
Data Act in Kraft: Neue Spielregeln für Datenzugang und Nutzung in Europa
06/10/2025
A hand places a coin into one of four glass jars filled with coins. Two jars have small plants sprouting from them, symbolizing financial growth and investment. The background is blurred greenery, highlighting the focus on the jars and coins.
Insight
Qualifizierte Beteiligungen, Vermögensübertragungen, Verschmelzungen und Spaltungen - neue Anforderungen in der CRR III und der CRD VI
15/10/2024