Handreichung HmbBfDI zum Data Act und Überblick über die Vorgaben des Data Acts für SaaS-Verträge und andere Cloud-Verträge

Zentrale Rechtspflichten

Eine der zentralen Pflichten des Data Acts ist die Zugänglichmachung der bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugten Daten („Access by Design“, Art. 3 Abs. 1 Data Act). Vernetzte Produkte und die damit verbundenen Dienste müssen so gestaltet sein, dass die dabei entstehenden Daten – einschließlich relevanter Metadaten – für Nutzer standardmäßig leicht, sicher, kostenlos und in einem gängigen, maschinenlesbaren Format zugänglich sind.

Darüber hinaus verpflichtet der Data Act die Anbieter dazu, vor Vertragsabschluss, beispielsweise beim Kauf, der Miete oder dem Leasing eines Internet-of-Things-Produkts, bestimmte Informationen bereitzustellen (Art. 3 Abs. 2 Data Act). Dazu zählen unter anderem Angaben zur Art, zum Format und zum geschätzten Umfang der erzeugten Daten sowie zur Fähigkeit des Produkts, Daten kontinuierlich und in Echtzeit zu generieren. Diese Informationen müssen klar und verständlich formuliert sein.

Eine weitere wesentliche Regelung ist das Recht der Nutzer und Dateninhaber auf Zugang zu den Produktdaten und den Daten verbundenen Dienste sowie das Recht auf deren Nutzung (Art. 4 Data Act). Dieses Recht soll für mehr Transparenz sorgen und gleichzeitig den fairen Wettbewerb wahren, etwa durch den Schutz von Geschäftsgeheimnissen oder innovationsbezogenen Informationen.

Zu beachten ist auch, dass Dateninhaber sogenannte „ohne Weiteres verfügbare Daten“, sofern sie nicht-personenbezogen sind, nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verwenden dürfen (Art. 4 Abs. 13 Data Act). „Ohne Weiteres verfügbare Daten“ sind Daten, die ohne unverhältnismäßigen Aufwand aus dem Produkt oder Dienst gewonnen werden können. Daraus kann sich die Notwendigkeit ergeben, Datenlizenzverträge abzuschließen.

Schließlich regelt der Data Act auch das Recht der Nutzer, die Weitergabe ihrer Daten an Dritte zu verlangen (Art. 5 Data Act). In diesem Fall ist der Dateninhaber verpflichtet, die entsprechenden Daten auf Wunsch des Nutzers bereitzustellen.

Das Verhältnis zwischen Datenschutz und Datenzugänglichmachung 

Die Pflicht zur Zugänglichmachung nach dem Data Act steht im Widerspruch zum Datenminimierungsgrundsatz der DSGVO. Hier fordert der HmbBfDI eine klare Trennung zwischen personenbezogenen und nicht-personenbezogenen Daten. Gerade bei Mischdatensätzen ist genau zu prüfen, unter welche Kategorie die Daten fallen, da bei personenbezogenen Daten der Schutz der DSGVO Vorrang hat. Die pauschale Annahme „im Zweifel personenbezogen“ gilt nicht mehr. Bei der Bereitstellung personenbezogener Daten ist zu unterscheiden, ob der Anspruchsteller und die betroffene Person identisch sind oder nicht. Denn eine Bereitstellung personenbezogener Daten darf nur mit einer Rechtsgrundlage erfolgen. Im ersten Fall kann regelmäßig auf Art. 6 DSGVO abgestellt werden, wobei es bei besonderen personenbezogenen Daten (z. B. Gesundheitsdaten) einer expliziten Einwilligung bedarf. Wenn jedoch ein Dritter betroffen ist, wie etwa bei einem gemeinsam genutzten Auto, wird es komplexer. Die Handreichung schlägt als Rechtsgrundlage ein überwiegendes berechtigtes Interesse, die Pflicht zur Erfüllung eines Vertrags oder bereits bei Vertragsschluss eine Einwilligung einzuholen, die einen etwaigen Bereitstellungsanspruch trägt, vor.

Umsetzungspflichten für Unternehmen

• Die Handreichung listet konkrete Maßnahmen für Unternehmen zur Umsetzung der Anforderungen auf:
• Prüfung des Anwendungsbereichs anhand gesetzlicher Kriterien;
• Erstellung einer Übersicht über vorhandene Datensätze/Verarbeitungsverzeichnisse;
• Klärung des Personenbezugs einzelner Datensätze;
• Kennzeichnung schutzwürdiger Geschäftsgeheimnisse;
• Einrichtung technischer Schnittstellen zur Datenausgabe;
• Anpassung bestehender Verträge an neue Vorgaben;
• Vereinheitlichung von Transparenzpflichten gemäß DSGVO-Vorgaben.

Aufsichtsbehörde

Zuletzt befasst sich der HmbBfDI mit der Durchsetzung des Data Acts und der zuständigen Aufsichtsbehörde. Laut dem Referentenentwurf der alten Bundesregierung vom 5. Februar 2025 soll die Bundesnetzagentur (BNetzA) für nicht-personenbezogene Daten und die Beauftragte für Datenschutz und Informationsfreiheit (BfDI) für personenbezogene Daten zuständig sein (zweigeteilte Aufsicht). Der HmbBfDI sieht hier jedoch einen Verstoß gegen Art. 37 Abs. 3 Data Act und seine eigene Zuständigkeit. Nach Art.  37 Abs. 3 Data Act ist die für personenbezogene Daten zuständige Behörde auch für den Data Act zuständig. Sollte bis Mitte September kein entsprechendes Umsetzungsgesetz vorliegen, werden die für die jeweiligen Datenschutzbeauftragten der Länder kraft Unionsrechts zuständig.

Die Aufgaben und Befugnisse der neuen Aufsichtsbehörde umfassen insbesondere Untersuchungs-, Abhilfe-, Beratungs- und Genehmigungsbefugnisse. Auch eine Bußgeldbefugnis ist vorgesehen.

Im Bereich der Cloud-Dienste richtet sich der Data Act in erster Linie an Anbieter sogenannter „Datenverarbeitungsdienste“. Darunter versteht der Data Act digitale Dienstleistungen, die es Kunden ermöglichen, über ein Netzwerk flexibel und bedarfsgerecht auf einen gemeinsamen Pool an konfigurierbaren, skalierbaren und elastischen Rechenressourcen zuzugreifen (Art. 2 Nr. 8 Data Act). Zu diesen Diensten zählen insbesondere die Modelle wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS). Kurzum: ein Großteil der heute gängigen cloudbasierten Geschäftsmodelle.

Der Data Act verpflichtet die Anbieter dazu, technische und organisatorische Maßnahmen zu ergreifen, die einen einfachen Anbieterwechsel („Cloud Switching“, Kapitel VI des Data Acts) ermöglichen. Dadurch sollen Lock-in-Effekte gezielt abgebaut werden. Ziel des Data Acts ist es, Nutzerinnen und Nutzern von SaaS-Diensten mehr Kontrolle über ihre Daten zu geben und ihnen einen einfacheren und selbstbestimmteren Anbieterwechsel zu ermöglichen.

Entsprechende Vertragsklauseln müssen den Anforderungen des Art. 25 Abs. 2 Data Act entsprechen und die entsprechenden Informationspflichten gegenüber den Kunden erfüllen. Verträge müssen künftig so gestaltet sein, dass ein Wechsel ohne unfaire Verzögerungen und Hürden möglich ist. Dazu zählen beispielsweise unangemessene Kündigungsfristen –maximal zwei Monate –, lange Vertragslaufzeiten oder Wechselentgelte. Gemäß Art. 41 Data Act ist die Kommission verpflichtet, vor dem 12. September 2025 entsprechende Mustervertragsklauseln vorzulegen.

Anbieter sind bereits in der Entwicklungsphase verpflichtet eine entsprechende Schnittstelle zur Datenausgabe einzuplanen und die Systeme so zu gestalten, dass ein späterer Datenzugang technisch möglich ist. Die Systeme müssen interoperabel gestaltet werden und entsprechende Schnittstellen bereitstellen.

Der Data Act bringt eine Vielzahl von Rechten und Pflichten mit sich. Ähnlich wie die DSGVO sieht der Data Act bei Verstößen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor. Damit ist er genauso ernst zu nehmen wie die DSGVO.

Für die betroffenen Unternehmen sind die Vorgaben des Data Act hinsichtlich der erforderlichen vertraglichen und technischen Strukturen bis zum 12. September 2025 umzusetzen. Herausforderungen ergeben sich im Rahmen der Vertragsgestaltung vor allem im Hinblick auf die aktive Unterstützung der Kunden beim Anbieterwechsel. Auf technischer Ebene werden für viele Anbieter hinsichtlich Datenportabilität und Interoperabilität Anpassungen erforderlich sein. Mit Blick auf die fortschreitende Umsetzungsfrist empfiehlt es sich, diese Umstrukturierungen möglichst zeitnah anzugehen. Zudem sollten Unternehmen ihre bestehenden Verträge auf Vereinbarkeit mit dem Data Act prüfen. Dies gilt insbesondere für Klauseln, die einen Anbieterwechsel erschweren können. Zur Erleichterung der Umsetzung wird die Europäische Kommission noch vor Geltung des Data Acts unverbindliche Standardvertragsklauseln bereitstellen, die als wertvolle Orientierung für die Vertragsgestaltung dienen können.

Gleichzeitig sollten die geforderten technischen Anforderungen, wie offene Schnittstellen, maschinenlesbare Datenformate und strukturierte Exportfunktionen bereitgestellt werden.