Im Bereich digitaler Geschäftsmodelle spielt das Datenrecht eine zentrale Rolle. Wichtige rechtliche Grundlagen sind dabei insbesondere die Datenschutz-Grundverordnung (DSGVO), die den Schutz personenbezogener Daten regelt, sowie der AI Act und der Data Act, welche den rechtlichen Rahmen für den Einsatz künstlicher Intelligenz und den Austausch nicht-personenbezogener Daten schaffen.

Diese Gesetze setzen hohe Standards hinsichtlich Transparenz, Verantwortlichkeit, Datenminimierung und Datensicherheit. Unternehmen müssen bei der Gestaltung von Datenverträgen, der Implementierung künstlicher Intelligenz sowie beim Austausch von Daten besonderes Augenmerk auf die Einhaltung dieser Normen legen, um Haftungsrisiken zu reduzieren und zugleich das volle Potenzial der Datenökonomie sicher auszuschöpfen.

Der Data Act – Neue Pflichten für Unternehmen

Der Data Act (Verordnung (EU) 2023/2854) stellt einen tiefgreifenden Wandel für den digitalen Datenmarkt in Europa dar.

Ab dem 12. September 2025 gelten für Unternehmen umfassende neue Pflichten beim Datenzugang und der Datennutzung. Viele Unternehmen sind bislang nicht ausreichend vorbereitet – dabei drohen bei Nichtbeachtung erhebliche rechtliche und wirtschaftliche Risiken.

Wer ist betroffen?

Vom Data Act sind grundsätzlich alle Hersteller und Anbieter von „vernetzten Produkten“ und „verbundenen Diensten“ betroffen. Dies umfasst insbesondere:

• Anbieter von Cloud-Diensten und IT-Dienstleister
• Hersteller vernetzter Produkte (z.B. Smart Cars, Smart Home-Geräte, Smart Watches, medizinische Geräte mit Internetanbindung)
• Anbieter von verbundenen Diensten (z.B. Steuerungs-Apps für Smart-Geräte)
• Softwareunternehmen und datengetriebene Geschäftsmodelle

Welche konkreten Pflichten bringt der Data Act?

Die wesentlichen Neuerungen umfassen insbesondere: 

•  Hersteller und Anbieter müssen Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten generiert werden, auf Verlangen des „Nutzers“ kostenlos und einem vom Nutzer benannten „Dritten“ gegen angemessene Vergütung bereitstellen (Recht auf Datenzugang (Art. 3 bis 7 DA) 
• Vertragsklauseln, die einem Vertragspartner einseitig unfair auferlegt werden, sind unwirksam (Verbot missbräuchlicher Vertragsklauseln (Art. 13 DA).
• Anbieter von Cloud-Diensten und anderen Datenverarbeitungsdiensten wie IaaS, PaaS und SaaS müssen spätestens ab Januar 2027 einen unkomplizierten und kostenfreien Anbieterwechsel ermöglichen Cloud-Switching (Art. 23 ff. DA).

Welche Fristen gelten?

• Der Data Act ist bereits seit Januar 2024 in Kraft.
• Ab dem 12. September 2025 ist er unmittelbar anwendbar. Verträge, Produkte und Dienstleistungen müssen bis dahin vollständig angepasst werden.
• Für Regelungen zum Cloud-Switching gilt eine verlängerte Übergangsfrist bis zum 12. Januar 2027.

Risiken bei Nichtumsetzung

Unternehmen, die die neuen Anforderungen nicht rechtzeitig umsetzen, drohen:

• Vertragsstrafen oder Bußgelder
• Unwirksamkeit von Vertragsklauseln
• Wettbewerbsrechtliche Risiken aufgrund unzulässiger Wechselbarrieren
• Verlust von Kunden, die zu Compliance-konformen Anbietern wechseln