Data Act & Verträge: Unfaire Klauseln, Behördenzugriffe und Sanktionen
Skip to main content
Select location
Insight

Data Act & Verträge: Unfaire Klauseln, Behördenzugriffe und Sanktionen

Philipp Reinisch
08/10/2025
Veronika Wolfbauer
 

Locations

Austria

Der Data Act führt eine eigenständige „Fairnesskontrolle“ für B2B-Klauseln ein – zusätzlich zum nationalen AGB-Recht. Erfasst sind Vertragsbestimmungen zur Datenzugang und -nutzung, einschließlich Regelungen zur Haftung sowie zu Rechtsbehelfen bei Pflichtverletzungen oder Vertragsbeendigung.

Der Data Act führt eine eigenständige „Fairnesskontrolle“ für B2B-Klauseln ein – zusätzlich zum nationalen AGB-Recht. Erfasst sind Vertragsbestimmungen zur Datenzugang und -nutzung, einschließlich Regelungen zur Haftung sowie zu Rechtsbehelfen bei Pflichtverletzungen oder Vertragsbeendigung. Ziel ist es, einseitig auferlegte und unangemessene Bedingungen zu verhindern, die das Gleichgewicht zwischen Unternehmen – insbesondere zulasten von KMU – verzerren könnten. Solche unlauteren Klauseln sollen für die benachteiligte Partei als unverbindlich gelten und damit rechtlich unwirksam sein.

Wann greift die Kontrolle – und wann nicht?

Die Fairnesskontrolle greift nur, wenn die Bedingungen einseitig vorgegebenen werden („take-it-or-leave-it“), also wenn keine echte Verhandlungsmöglichkeit bestand. Der Verwender muss nach dem Gesetz nachweisen können, dass keine Verhandlung stattgefunden hat. In der Praxis empfiehlt sich daher eine sorgfältige Dokumentation sämtlicher Verhandlungsversuche – auch solcher, die erfolglos geblieben sind. Erfasst sind ausschließlich Klauseln zum Datenzugang und zur Datennutzung sowie zu damit verbundenen Haftungsregelungen und Rechtsbehelfen. Andere Vertragsinhalte bleiben von der Kontrolle unberührt.

Der 3-Stufen-Check

1. Blacklist – stets unzulässig:

Ohne weitere Prüfung unwirksam sind Klauseln, die etwa:
• die Haftung für Vorsatz oder grobe Fahrlässigkeit ausschließen,
• der benachteiligten Partei Rechtsbehelfe bei Nichterfüllung entziehen,
• dem Verwender allein die Auslegung oder Erfüllungsprüfung vorbehalten.

Solche Klauseln sind automatisch unverbindlich und haben in Verträgen keinen Platz.

2. Greylist – vermutet unzulässig, aber widerlegbar

Als missbräuchlich gelten Klauseln, die etwa:
• Rechtsmittel oder Haftung unangemessen beschränken oder die Gegenpartei übermäßig belasten,
• dem Verwender Datenzugriff gewähren, der berechtigte Interessen der anderen Partei erheblich beeinträchtigt (z. B. bei sensiblen oder geschützten Geschäftsdaten),
• die Nutzung eigener bereitgestellter oder erzeugter Daten unangemessen einschränken,
• eine angemessene Kündigung verhindern oder die Datenkopie nach Vertragsende blockieren,
• dem Verwender eine kurzfristige Kündigung erlauben, ohne Rücksicht auf den Wechsel zu einem vergleichbaren Dienst,
• Format, Art, Qualität oder Menge der Daten wesentlich ändern, ohne der anderen Partei ein Kündigungsrecht einzuräumen.

Auch diese Verstöße führen zur Unverbindlichkeit der betroffenen Vertragsbedingung. Die Vermutung der Unzulässigkeit kann im Einzelfall allerdings widerlegt werden, wobei die Beweislast beim Verwender der Klausel liegt. Die Prüfung der Greylist sollte dokumentiert werden, um rechtliche Risiken zu minimieren.

3. Generalklausel – Auffangregel „gute Geschäftspraxis“ / Treu & Glauben

Missbräuchlich sind auch Klauseln, die nicht ausdrücklich auf der Black- oder Greylist stehen, aber gegen "Treu und Glauben" verstoßen oder erheblich von guter Geschäftspraxis abweichen. Als Orientierungshilfe empfiehlt sich die enge Anlehnung an die (freiwilligen) Musterklauseln der EU-Kommission – sie spiegeln deren Verständnis fairer Vertragsbedingungen wider, sind aber nicht verbindlich.

Verbindung zu anderen Data-Act-Pflichten – und warum das wichtig ist

FRAND bei Datenteilung (Nutzer → Dritter):
Verlangt ein Nutzer die Weitergabe von Daten an Dritte, müssen die Bedingungen fair, angemessen und nichtdiskriminierend (FRAND) sein – einschließlich einer angemessenen Gegenleistung, die auch eine Marge enthalten darf. Die EU-Kommission hat Leitlinien angekündigt. Missbräuchliche B2B-Klauseln sind zusätzlich unverbindlich.

Cloud-Switching (Kapitel VI):
Beim Wechsel zwischen Cloud- oder Datenverarbeitungsdiensten gelten zwingende Exit-Regeln: maximal 2 Monate Kündigungsfrist, 30 Tage Übergangsphase (verlängerbar bei technischer Undurchführbarkeit), 30 Tage Abrufphase. Vertragsklauseln, die diese Mindeststandards unterschreiten, sind rechtlich hochriskant.

„Ohne Weiteres verfügbare Daten“ – warum das für Klauseln entscheidend ist:
Viele Zugangsrechte im Data Act beziehen sich auf „ohne Weiteres verfügbare Daten“ – also solche, auf die der Dateninhaber rechtmäßig und ohne unverhältnismäßigen Aufwand zugreifen kann. Nicht umfasst sind Daten, die erst erzeugt oder durch Systemumbauten zugänglich gemacht werden müssen. Bei personenbezogenen Daten bleibt eine Rechtsgrundlage nach DSGVO erforderlich. Vertragsklauseln sollten diese Grenzen klar definieren, um Auslegungsstreitigkeiten zu vermeiden.

Prüfpfad für B2B-Klauseln nach dem Data Act (Art. 13)

1. Gegenstand klären

Bezieht sich die Klausel auf Datenzugang, Datennutzung, Haftung oder Rechtsbehelfe?
> Dann fällt sie unter Art 13 Data Act und ist der Fairnesskontrolle unterworfen.

2. Verhandlungssituation dokumentieren

Gab es echte Verhandlungen (Redlines, Calls, Konzessionen)? Oder handelt es sich um ein „take-it-or-leave-it“-Setting?
> Dokumentation hilft, Beweisfragen zu vermeiden – insbesondere für den Verwender der Klausel.

3. Listen-Check durchführen

  • Blacklist: Enthält die Klausel verbotene Inhalte?
    • Streichen oder ersetzen
  • Greylist: Liegt eine vermutete Unzulässigkeit vor?
    • Gibt es sachliche Gründe oder Kompensationen (z. B. Preis, Service-Level), die das ausgleichen?
      • Falls nein: Klausel anpassen!
    • Gibt es sachliche Gründe oder Kompensationen (z. B. Preis, Service-Level), die das ausgleichen?
      • Falls nein: Klausel anpassen!

4. Generalklausel prüfen

Schafft die Klausel ein erhebliches Ungleichgewicht oder weicht sie deutlich von guter Geschäftspraxis ab?

  • Risiko hoch. Orientierung an den Musterklauseln der EU-Kommission empfohlen.

5. Schnittstellen zum Cloud-Exit beachten

Vertragsregelungen zu Kündigungsfristen, Datenexport und Unterstützungsleistungen konkret festlegen.

  • "Kleingedruckte" Einschränkungen vermeiden – Mindeststandards aus Kapitel VI Data Act sind zwingend.

Behörden & Sanktionen – wer setzt durch, was droht?

Zuständigkeiten und Verfahren: Die Durchsetzung des Data Act erfolgt durch eine oder mehrere von den Mitgliedstaaten benannte Behörden. Bei Mehrfachzuständigkeiten wird zusätzlich ein Data Coordinator bestimmt, der als zentraler Ansprechpartner fungiert und die behördenübergreifende Zusammenarbeit koordiniert. Beschwerden können sowohl natürliche als auch juristische Personen bei der zuständigen Behörde ihres Wohn-, Arbeits- oder Niederlassungsstaats einbringen. Die Behörden sind zur grenzüberschreitenden Kooperation verpflichtet. Die EU-Kommission unterstützt über das European Data Innovation Board (EDIB) und veröffentlicht eine laufend aktualisierte Übersicht der zuständigen Behörden sowie der nationalen Sanktionsregime.

Sanktionen: Der Data Act enthält keinen einheitlichen EU-Bußgeldrahmen. Die Mitgliedstaaten müssen eigene Sanktionen festlegen und hätten diese bis spätestens 12. September 2025 an die Kommission melden müssen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.

Besonderheit DSGVO: Bei Verstößen gegen Kapitel II, III und V – soweit personenbezogene Daten betroffen sind – können die Datenschutzaufsichtsbehörden Geldbußen nach DSGVO verhängen (bekanntermaßen bis zu 20 Mio Euro oder 4 % des weltweiten Jahresumsatzes).

Sonstige Verstöße: In allen übrigen Fällen – insbesondere bei Cloud-Switching (Kapitel VI) oder rein unternehmensbezogenen Daten – richten sich Zuständigkeit und Sanktionen nach nationalem Recht.

Hinweis zu Österreich: Die Benennung der national zuständigen Stelle(n) steht – Stand Ende September – noch aus.

Wenn Sie Fragen zu den Themen in diesem Artikel haben oder Unterstützung im Zusammenhang mit dem Datenschutzrecht benötigen, stehen Philipp Reinisch und Veronika Wolfbauer gerne als Ansprechpartner zur Verfügung. 

Das könnte Sie auch interessieren… Alle Insights anzeigen
A digital illustration of a padlock made from glowing white dots on a grid of purple and black dots. The grid pattern gives it a pixelated appearance, representing digital security.
Data and Privacy
Data and Privacy
Insight
Data Act & Cloud-Dienste: Mehr Freiheit für Nutzer, neue Pflichten für Anbieter
07/10/2025
Colorful abstract data visualization with a gradient background of blue to pink. The image features complex, interconnected lines and dots, resembling peaks and valleys, representing a digital network or statistical analysis.
Data and Privacy
Data and Privacy
Insight
Data Act & Industrieunternehmen: Neue Rechte und Pflichten beim Datenzugang
07/10/2025
Insight
Data Act in Kraft: Neue Spielregeln für Datenzugang und Nutzung in Europa
06/10/2025
A hand places a coin into one of four glass jars filled with coins. Two jars have small plants sprouting from them, symbolizing financial growth and investment. The background is blurred greenery, highlighting the focus on the jars and coins.
Insight
Qualifizierte Beteiligungen, Vermögensübertragungen, Verschmelzungen und Spaltungen - neue Anforderungen in der CRR III und der CRD VI
15/10/2024
A digital illustration of a padlock made from glowing white dots on a grid of purple and black dots. The grid pattern gives it a pixelated appearance, representing digital security.
Data and Privacy
Data and Privacy
Insight
Data Act & Cloud-Dienste: Mehr Freiheit für Nutzer, neue Pflichten für Anbieter
07/10/2025
Colorful abstract data visualization with a gradient background of blue to pink. The image features complex, interconnected lines and dots, resembling peaks and valleys, representing a digital network or statistical analysis.
Data and Privacy
Data and Privacy
Insight
Data Act & Industrieunternehmen: Neue Rechte und Pflichten beim Datenzugang
07/10/2025
Insight
Data Act in Kraft: Neue Spielregeln für Datenzugang und Nutzung in Europa
06/10/2025
A hand places a coin into one of four glass jars filled with coins. Two jars have small plants sprouting from them, symbolizing financial growth and investment. The background is blurred greenery, highlighting the focus on the jars and coins.
Insight
Qualifizierte Beteiligungen, Vermögensübertragungen, Verschmelzungen und Spaltungen - neue Anforderungen in der CRR III und der CRD VI
15/10/2024