DE EN
<< Back

09.10.2025

Handreichung HmbBfDI zum Data Act und Überblick über die Vorgaben des Data Acts für SaaS-Verträge und andere Cloud-Verträge

Ein futuristischer Roboter mit leuchtenden, mechanischen Armen und einem holographischen Interface vor dem Körper. Der Roboter scheint Energie oder Daten zwischen seinen Händen zu manipulieren, umgeben von technologischen Elementen und einem digitalen Hintergrund.

Am 12. September 2025 treten die wesentlichen Regelungen der Verordnung (EU) 2023/2854 (Data Act) in Kraft. Der Data Act regelt den Zugang zu und die Nutzung von Daten innerhalb der EU. Ziel des Data Act ist es, bestehende Datenmonopole aufzubrechen, den Zugang zu Daten für verschiedene Wirtschaftsteilnehmer zu erleichtern und damit einen fairen, siche-ren und innovationsfreundlichen europäischen Datenbinnenmarkt zu schaffen. Die Verordnung bringt zahlreiche Änderungen mit sich und betrifft, durch die fortschreitende Digitalisierung, nahezu alle Le-bensbereiche und Produkte. Im Folgenden wollen wir anhand der kürzlich veröffentlichten Handreichung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) einen Überblick über die wesentlichen Regelungen des Data Acts geben und anschließend dessen Auswirkungen auf SaaS- und Cloud-Verträge darstellen.

Die Handreichung des HmbBfDI

Anwendungsbereich

Vom Anwendungsbereich sind insbesondere Hersteller, Dateninhaber und Nutzer vernetzter Produkte oder verbundener Dienste (Art. 1 Abs. 3 Data Act) betroffen. Erfasst sind alle „smarten“ Produkte – von Fitnessuhren und Smartphones bis hin zu landwirtschaftlichen Maschinen mit Sensorik –, sofern diese Umgebungs- oder Nutzungsdaten an den Hersteller oder Dritte übermitteln (Art. 2 Nr. 5 Data Act). Diese Umgebungs- und Nutzungsdaten werden mithilfe sogenannter verbundener Dienste dazu genutzt, das vernetzte Produkt zu betreiben und zu optimieren (Art. 2 Nr. 6 Data Act). Zu den verbundenen Diensten zählen beispielsweise Betriebssysteme, Steuerungssoftware oder Navigationsdienste.

Neu ist die ausdrückliche Einbeziehung nicht-personenbezogener Daten als Gegenstück zu den personenbezogenen Daten der DSGVO. Beide gelten als „Daten” im Sinne des Art. 2 Abs. 1 Data Act. Der Anwendungsbereich ist daher weit gefasst.

Author
Christian Kuß, LL.M.

Christian Kuß, LL.M.
Partner
Köln
christian.kuss@luther-lawfirm.com
+49 221 9937 25686

Dr. Michael Rath

Dr. Michael Rath
Partner
Köln
michael.rath@luther-lawfirm.com
+49 221 9937 25795

Niccolo Langenheim, LL.M.

Niccolo Langenheim, LL.M.
Senior Associate
Köln
niccolo.langenheim@luther-lawfirm.com
+49 221 9937 21105