Skip to main content
Logo von MKM LEGAL
Mehrere USB-Kabel ragen ins Bild hinein

Der EU Data Act – Teil 4

Informations- und Datenzugangsansprüche

Durch die im Data Act (EU-Verordnung 2023/2854) verankerten Rechte auf Datenzugang und -weitergabe verändert sich das Macht- und Kooperationsverhältnis innerhalb einer gesamten Vertriebskette, von den Herstellern über den Verkäufer/Vermieter/Leasinggeber bis zum Nutzer des vernetzten Produkts oder des verbundenen Dienstes grundlegend. Mit der Verordnung soll ein Rahmen geschaffen werden, in dem festgelegt wird, wer unter welchen Bedingungen und auf welcher Grundlage berechtigt ist, Produktdaten oder verbundene Dienstdaten zu nutzen.

Die Möglichkeit für Nutzer und Dritte, auf Daten vernetzter Produkte und verbundener Dienste (wie bei Fahrzeugen, Lifestyle-Anwendungen, Fahrzeugen, Haushaltsgeräten und Konsumgütern, Medizin- und Gesundheitsprodukten oder landwirtschaftlichen und industriellen Maschinen und Anlagen) zuzugreifen und diese wirtschaftlich zu verwerten, kann für Hersteller und Dienstanbieter jedoch auch wettbewerbliche Risiken mit sich bringen. Sie sehen sich potenziell neuer Konkurrenz und einem Abfischen von vertraulichen Unternehmensinformationen ausgesetzt und sollten daher Sorge tragen, ihre Produkte und Daten zu identifizieren und auf Schwachstellen zu überprüfen.

In diesem Beitrag erhalten Sie einen ersten Überblick über das rechtliche Gerüst rund um Informations- und Datenzugangsansprüche – inklusive wichtiger praktischer Abgrenzungen.

1. Arten der vom Data Act erfassten Daten

Erfasst sind sowohl personenbezogene als auch nicht-personenbezogene Daten, die bei der Nutzung vernetzter Produkte oder verbundener Dienste generiert oder erhoben werden. Die Regelungen gelten insbesondere gegenüber Herstellern vernetzter Produkte oder verbundener Dienste, die diese in der Europäischen Union in Verkehr bringen, und gegenüber Nutzern, die diese Produkte innerhalb der EU verwenden – unabhängig davon, wo der Hersteller seinen Sitz hat.

Zeitlich ist der Datenzugang, falls eine eigenständige Zugangsmöglichkeit des Nutzers nicht gegeben ist, gemäß dem Data Act „unverzüglich“ nach dem Verlangen des Nutzers bereitzustellen. Soweit dies relevant und technisch durchführbar ist, hat der Dateninhaber die Daten kontinuierlich und in Echtzeit bereitzustellen. Dabei gilt: Die Daten müssen dem Nutzer in derselben Qualität zur Verfügung gestellt werden, wie sie dem Dateninhaber selbst vorliegen.

Erfasst sind insbesondere die sogenannten Primärdaten und die damit verbundenen Metadaten.

2. Informationspflichten vor Vertragsschluss

Bereits vor Abschluss eines Vertrags sind Dateninhaber vernetzter Produkte sowie Anbieter verbundener Dienste verpflichtet, dem potenziellen Nutzer Informationen über die Datennutzung bereitzustellen.

Diese vorvertragliche Aufklärungspflicht betrifft insbesondere Art und Umfang der Datenerhebung, -nutzung und -weitergabe. Entscheidend ist dabei nicht, ob der Nutzer die Informationen tatsächlich zur Kenntnis genommen oder verstanden hat – es genügt, dass sie ordnungsgemäß bereitgestellt wurden.

3. Datenzugangsansprüche

Der Nutzer kann die Ansprüche auf Datenzugang, -herausgabe und -weitergabe gegen den Dateninhaber geltend machen. Dabei kann es durchaus sein, dass der Hersteller und der Verkäufer als Dateninhaber zu klassifizieren sind. Die Regeln zum Zugang und zur Datenweitergabe erfolgt dabei in einer Stufensystematik. Der Zugangsanspruch ist subsidiär zur Zugangsmöglichkeit. Der Anspruch besteht nur, soweit der Nutzer auf die Daten nicht direkt ohne die Hilfe einer dritten Partei des vernetzten Produkts oder des verbundenen Dienstes zugreifen kann:

Stufe 1: Zugangsmöglichkeit zu Produkt- und Dienstdaten gemäß Data Act (Art. 3 Data Act)

Der Data Act verpflichtet Hersteller vernetzter Produkte sowie Anbieter verbundener Dienste dazu, ihre Systeme so zu gestalten, dass Nutzer – also insbesondere die Endanwender – unter bestimmten Voraussetzungen direkten Zugang zu den von ihnen erzeugten oder genutzten Daten erhalten. Dies umfasst sowohl die Produktdaten (z. B. Maschinendaten, Sensorwerte) als auch die Daten verbundener Dienste (z. B. Cloud-Dienste, Anwendungen), einschließlich der erforderlichen Metadaten, die für das Verständnis, die Interpretation und die Weiterverwendung dieser Daten notwendig sind. Die Daten sind einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format zugänglich zu machen.

Diese Verpflichtung gilt, sofern der Zugang relevant und technisch durchführbar ist – eine wichtige Einschränkung, die Raum für konkrete technische und organisatorische Ausgestaltung lässt.

Stufe 2: Anspruch auf aktive Datenbereitstellung und Weitergabe an Dritte (Art. 4 Data Act)

Sofern der Nutzer keinen unmittelbaren technischen Zugriff auf die Produkt- oder Dienstdaten hat – unter Stufe 1 beschrieben – verpflichtet die Verordnung den Dateninhaber zur aktiven Bereitstellung dieser Daten. In diesem Fall hat der Nutzer einen Rechtsanspruch auf die aktive Bereitstellung dieser „ohne Weiteres verfügbare Daten“ durch den Hersteller bzw. Anbieter.

Wichtig ist:
Die Daten sind in dem Zustand bereitzustellen, in dem sie dem Dateninhaber vorliegen. Es besteht keine Verpflichtung zur zusätzlichen Aufbereitung der Rohdaten, etwa durch Aggregation, Standardisierung oder Bereinigung – insbesondere dann nicht, wenn solche Maßnahmen mit erheblichen Investitionen oder zusätzlichem Aufwand verbunden wären.

Auch diese Bereitstellung muss in einer strukturierten, allgemein zugänglichen und maschinenlesbaren Form erfolgen, um die Weiterverarbeitung und tatsächliche Nutzung der Daten zu ermöglichen. Darüber hinaus schreibt der Data Act vor, dass diese Datenbereitstellung unverzüglich, kontinuierlich und kostenfrei (oder zumindest zu fairen, angemessenen und nichtdiskriminierenden Bedingungen) zu erfolgen hat.

Der Dateninhaber ist auf Verlangen des Nutzers zudem verpflichtet, die Daten einem Dritten bereitzustellen. Viele Nutzer, vor allem Privatpersonen, sind oft nicht in der Lage, Produktdaten und verbundene Dienstdaten eigenständig sinnvoll zu verwenden. Deshalb gewährt ihnen der Data Act das Recht, diese Daten direkt an Dritte weiterzuleiten.

4. Konsequenzen für die Praxis

Da der Data Act bereits ab dem 12. September 2025 gilt, besteht akuter Handlungsbedarf. Unternehmen sollten ihre Produkte, Verträge, Strategien und Prozesse im Umgang mit nicht-personenbezogenen und personenbezogenen Daten, rechtzeitig überprüfen, um rechtskonform zu agieren und zugleich ihre unternehmerischen Interessen zu schützen. Wichtig ist dabei, Maßnahmen zu ergreifen, die einerseits die Einhaltung der Vorschriften sicherstellen, andererseits aber keine unnötig tiefen Einblicke in sensible Unternehmensdaten erlauben.

Erster Teil der Artikelserie: Eine neue Ära der Datennutzung in Europa

Zweiter Teil der Artikelserie: Strategien und Schutz des Geschäftsgeheimnisses

Dritter Teil der Artikelserie: Data Act & DSGVO: Zerreißprobe für Unternehmen

 

Autorin: Luise Klufmöller LL.M. (Rechtsanwältin | Fachanwältin für Urheber- und Medienrecht | Fachanwältin für gewerblichen Rechtsschutz) 

Blauer Hintergrundverlauf mit 12 gelben Sternen im Kreis, darin die Schrift Data Act

Seminar zum EU Data Act

In unserem Online-Seminar erhalten Sie konkrete Hinweise von erfahrenen Rechtsanwält*innen, welche Strategien und Lösungsansätze für Unternehmen empfehlenswert sind. 

Mehr Informationen

Weitere Insights zum Thema

article
5. Juni 2025
Ist das erlaubt? 
Nutzung personenbezogener Daten zu Testzwecken
article
3. Juni 2025
Recht auf Löschung bzw. „Recht auf Vergessenwerden“ gemäß Art. 17 DSGVO
Europaweit koordinierte Prüfung der Datenschutzaufsichtsbehörden
article
3. Juni 2025
EU Data Act – Teil 3
Data Act & DSGVO: Zerreißprobe für Unternehmen
article
30. Mai 2025
Wirksamer Widerruf trotz Aufbewahrung im Schließfach
Zerrissenes Testament im Schließfach gilt nicht
article
9. Mai 2025
EU Data Act – Teil 2
Der Data Act: Strategien und Schutzmechanismen des Geschäftsgeheimnisses
article
9. Mai 2025
Worauf Sie als Arbeitgeber jetzt achten müssen
Vorsicht bei Zustellung einer Kündigung per Einwurf-Einschreiben
article
7. Mai 2025
Übermittlung personenbezogener Daten von EU-Unternehmen nach UK
EDSA stimmt Verlängerungen des UK-Angemessenheitsbeschlusses bis 27. Dezember zu
article
29. April 2025
Wenn Funktion auf Kreativität trifft
Schutz einfacher Produkte im Urheberrecht am Beispiel Birkenstock
Logo von MKM LEGAL
Rechtliches

Impressum

Datenschutzerklärung

AGB

Hinweisgebersystem

Kontakt

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Adressen

Äußere Sulzbacher Str. 118
90491 Nürnberg

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Leipziger Platz 9
10117 Berlin

Newsletter-Anmeldung