Ein umfassender Überblick über das Datengesetz, einschließlich seiner Ziele und seiner Funktionsweise in der Praxis.
Warum das Datengesetz?
Das Datengesetz ist ein Gesetz, mit dem die Datenwirtschaft in der EU verbessert und ein wettbewerbsfähiger Datenmarkt gefördert werden soll, indem Daten (insbesondere industrielle Daten) leichter zugänglich und nutzbar gemacht, datengesteuerte Innovationen gefördert und die Datenverfügbarkeit erhöht werden. Um dies zu erreichen, sorgt das Datengesetz für Fairness bei der Zuordnung des Wertes von Daten zu den Akteuren der Datenwirtschaft. Es wird klargestellt, wer welche Daten unter welchen Bedingungen verwenden kann. Nähere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zum Datengesetz.
In den letzten Jahren ist die Verfügbarkeit von Produkten, die mit dem Internet verbunden sind („vernetzte Produkte“), auf dem europäischen Markt rasch gestiegen. Diese Produkte, die zusammen ein Netz bilden, das als Internet der Dinge (IoT) bekannt ist, erhöhen das Datenvolumen, das in der EU für die Weiterverwendung zur Verfügung steht, erheblich. Dies birgt ein enormes Potenzial für Innovation und Wettbewerbsfähigkeit in der EU.
Das Datengesetz gibt Nutzern vernetzter Produkte (Unternehmen oder Einzelpersonen, die ein solches Produkt besitzen, leasen oder vermieten) eine größere Kontrolle über die von ihnen generierten Daten, während gleichzeitig Anreize für diejenigen, die in Datentechnologien investieren, aufrechterhalten werden. Darüber hinaus werden allgemeine Bedingungen für Situationen festgelegt, in denen ein Unternehmen gesetzlich verpflichtet ist, Daten mit einem anderen Unternehmen zu teilen.
Das Datengesetz enthält auch Maßnahmen zur Stärkung von Fairness und Wettbewerb auf dem europäischen Cloud-Markt sowie zum Schutz von Unternehmen vor unfairen Vertragsklauseln im Zusammenhang mit der gemeinsamen Datennutzung, die von stärkeren Akteuren auferlegt werden. Außerdem wird ein Mechanismus eingeführt, über den öffentliche Stellen Daten von einem Unternehmen anfordern können, wenn ein außergewöhnlicher Bedarf besteht, z. B. in öffentlichen Notsituationen, und es werden klare Regeln dafür festgelegt, wie solche Anträge gestellt werden sollten. Darüber hinaus werden Schutzvorkehrungen eingeführt, um zu verhindern, dass staatliche Stellen aus Drittländern auf nicht personenbezogene Daten zugreifen können, wenn dies gegen EU- oder nationales Recht verstoßen würde. Schließlich werden im Datengesetz grundlegende Anforderungen an die Interoperabilität festgelegt, um sicherzustellen, dass Daten nahtlos zwischen Sektoren und Mitgliedstaaten, die durch gemeinsame europäische Datenräume erleichtert werden, sowie zwischen Anbietern von Datenverarbeitungsdiensten fließen können.
Das Datengesetz wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht und gilt seit dem 12. September 2025.
Das Datengesetz ergänzt das Daten-Governance-Gesetz, das im September 2023 in Kraft getreten ist. Während das Daten-Governance-Gesetz das Vertrauen in freiwillige Mechanismen des Datenaustauschs stärkt, schafft das Datengesetz Rechtsklarheit in Bezug auf den Zugang zu und die Nutzung von Daten.
Zusammen mit anderen politischen Maßnahmen und Finanzierungsmöglichkeiten tragen diese beiden Verordnungen zur Schaffung eines EU-Binnenmarkts für Daten bei. Ziel ist es, Europa zu einem Vorreiter in der Datenwirtschaft zu machen, indem das Potenzial der ständig wachsenden Datenmengen, insbesondere industrieller Daten, zum Nutzen der europäischen Wirtschaft und Gesellschaft genutzt wird.
Behandelte Fragen
Entsprechend den allgemeinen Bestimmungen (Kapitel I), die den Anwendungsbereich der Verordnung festlegen und Schlüsselbegriffe definieren, ist das Datengesetz in sechs Hauptkapitel gegliedert:
Kapitel II zu Business-to-Business- und Business-to-Consumer-Datenaustausch im Zusammenhang mit IoT: Nutzer von IoT-Objekten können auf Daten zugreifen, diese nutzen und portieren, die sie durch die Nutzung eines vernetzten Produkts gemeinsam generieren.
Kapitel III über den Datenaustausch zwischen Unternehmen: Dadurch werden die Bedingungen für den Datenaustausch klargestellt, wenn ein Unternehmen gesetzlich, auch durch das Datengesetz, verpflichtet ist, Daten mit einem anderen Unternehmen zu teilen.
Kapitel IV über missbräuchliche Vertragsklauseln: Diese Bestimmungen schützen alle Unternehmen, insbesondere KMU, vor missbräuchlichen Vertragsklauseln, die ihnen auferlegt werden.
Kapitel V über den Datenaustausch zwischen Unternehmen und Behörden: Öffentliche Stellen werden in bestimmten Situationen außergewöhnlicher Notwendigkeit in der Lage sein, mehr faktengestützte Entscheidungen zu treffen, indem sie auf bestimmte Daten des privaten Sektors zugreifen können.
Kapitel VI über den Wechsel zwischen Datenverarbeitungsdiensten: Anbieter von Cloud- und Edge-Computing-Diensten müssen Mindestanforderungen erfüllen, um die Interoperabilität zu erleichtern und einen Wechsel zu ermöglichen.
Kapitel VII über den unrechtmäßigen Zugang der Regierung eines Drittlands zu Daten: Nicht personenbezogene Daten, die in der EU gespeichert sind, sind vor unrechtmäßigen Zugriffsanfragen ausländischer Behörden geschützt.
Kapitel VIII über die Interoperabilität: Teilnehmer an Datenräumen müssen Kriterien erfüllen, damit Daten innerhalb und zwischen Datenräumen fließen können. In einem EU-Repository werden einschlägige Normen und Spezifikationen für die Cloud-Interoperabilität festgelegt.
Kapitel IX über die Durchsetzung: Die Mitgliedstaaten müssen eine oder mehrere zuständige Behörden benennen, die das Datengesetz überwachen und durchsetzen. Wird mehr als eine Behörde benannt, muss ein „Datenkoordinator“ benannt werden, der als zentrale Anlaufstelle auf nationaler Ebene fungiert.
Kapitel II: Business-to-Business- und Business-to-Consumer-Datenaustausch im Kontext des IoT-Marktes
Warum?
Ein zentrales Ziel des Datengesetzes ist es, Fairness in der Datenwirtschaft zu schaffen und die Nutzer in die Lage zu versetzen, aus den Daten, die sie mithilfe der vernetzten Produkte, die sie besitzen, mieten oder leasen, generieren, Nutzen zu ziehen.
Das Datengesetz ermöglicht es Nutzern vernetzter Produkte (z. B. vernetzte Autos, Medizin- und Fitnessgeräte, Industrie- oder Landmaschinen) und damit verbundener Dienste (d. h. alles, was dazu führen würde, dass sich ein vernetztes Produkt in einer bestimmten Weise verhält, wie z. B. eine App zur Einstellung der Helligkeit von Lichtern oder zur Regulierung der Temperatur eines Kühlschranks), auf die Daten zuzugreifen, die sie gemeinsam erstellen, indem sie die vernetzten Produkte / damit verbundenen Dienste nutzen.
Die Verfügbarkeit solcher Daten wird sich erheblich auf die Wirtschaft auswirken. Beispielsweise können Daten, die durch vernetzte Produkte und zugehörige Dienste generiert werden, dazu verwendet werden, Aftermarket- und Nebendienstleistungen zu fördern sowie völlig neue Dienste zu schaffen, von denen sowohl Unternehmen als auch Verbraucher profitieren.
Beispiele für vernetzte Produkte: Konsumgüter (z. B. vernetzte Autos, Gesundheitsüberwachungsgeräte, Smart-Home-Geräte), andere Produkte (z. B. Flugzeuge, Roboter, Industriemaschinen).
Beispiel für einen verwandten Dienst: Ein Benutzer kauft eine Waschmaschine und installiert eine Anwendung, mit der er die Umweltauswirkungen des Waschzyklus anhand der Daten der verschiedenen Sensoren in der Maschine messen und den Zyklus entsprechend anpassen kann. Dieser Antrag würde als verbundener Dienst betrachtet.
Beispiele für Aftermarket- und Nebendienstleistungen: Reparatur- und Wartungsdienstleistungen, datenbasierte Versicherungen.
Arten von Daten im Anwendungsbereich
Kapitel II des Datengesetzes über die gemeinsame Nutzung von Daten zwischen Unternehmen und Unternehmen und zwischen Unternehmen und Verbrauchern gilt für alle Rohdaten und vorverarbeiteten Daten, die aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes generiert werden, die dem Dateninhaber (z. B. Hersteller eines vernetzten Produkts/Anbieters eines verbundenen Dienstes) ohne Weiteres zur Verfügung stehen, d. h. Daten, auf die ohne unverhältnismäßigen Aufwand leicht zugegriffen werden kann und die über einen einfachen Vorgang hinausgehen. Dies gilt sowohl für personenbezogene als auch für nicht personenbezogene Daten, einschließlich relevanter Metadaten.
Solche Daten umfassen Daten, die von einem einzelnen Sensor oder einer angeschlossenen Gruppe von Sensoren erfasst werden, wie Temperatur, Druck, Durchflussrate, Audio, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit.
Abgeleitete oder abgeleitete Daten und Inhalte (z. B. stark angereicherte Daten, audiovisuelles Material) fallen nicht in den Anwendungsbereich. Darüber hinaus lässt das Datengesetz die Gesetze zum Schutz der Rechte des geistigen Eigentums unberührt.
Wenn ein Benutzer beispielsweise einen Film auf seinem angeschlossenen Fernseher anschaut, ist der Film selbst nicht in Reichweite, aber Daten über die Helligkeit des Bildschirms sind in Reichweite.
In der Praxis
Kapitel II des Datengesetzes ermöglicht es Nutzern (d. h. jeder juristischen oder natürlichen Person, die ein vernetztes Produkt besitzt, vermietet oder vermietet), auf die Daten zuzugreifen, die sie durch ihre Nutzung des vernetzten Produkts oder des verbundenen Dienstes generieren. Wenn der Nutzer diese Daten mit einer anderen Einrichtung oder Einzelperson (im Folgenden „Dritte“)teilen möchte, kann er dies entweder direkt tun oder den Dateninhaber auffordern, sie mit einem Dritten seiner Wahl (mit Ausnahme von Gatekeepern nach dem Gesetz über digitale Märkte)zu teilen. Der Dateninhaber ist in der Regel das Unternehmen, das das verbundene Produkt herstellt oder einen verwandten Dienst anbietet. Ein Dateninhaber muss einen Vertrag mit dem Nutzer haben (z. B. Kaufvertrag, Mietvertrag, damit verbundener Dienstleistungsvertrag usw.), in dem die Rechte in Bezug auf den Zugang, die Nutzung und die gemeinsame Nutzung der Daten festgelegt sind, die durch das verbundene Produkt oder den damit verbundenen Dienst erzeugt werden. Es ist wichtig zu beachten, dass der Dateninhaber ohne Zustimmung des Nutzers keine nicht personenbezogenen Daten verwenden kann, die durch das Produkt generiert werden.
Als Beispiel und unter Berücksichtigung der Tatsache, dass der jeweilige Vertrag die genauen Rollen bestimmt:
-
Ein Unternehmen betreibt einen Bulldozer: Der Dateninhaber wäre in der Regel der Bulldozerhersteller, und der Benutzer wäre das Unternehmen, das den Bulldozer betreibt.
-
Wenn jemand einen angeschlossenen Kühlschrank kauft und eine App herunterlädt, die ihm hilft, die optimale Temperatur für den Inhalt des Kühlschranks zu regulieren, gäbe es möglicherweise zwei Dateninhaber, nämlich die Entität, die den Kühlschrank in Verkehr gebracht hat, und die Entität, die den entsprechenden Dienst anbietet (die App), und nur den einen Benutzer (den Besitzer des Kühlschranks).
Das Datengesetz enthält mehrere Mechanismen, die es den Nutzern erleichtern, von diesen Bestimmungen Gebrauch zu machen: Die Dateninhaber müssen dem Nutzer Informationen über die Art der Daten zur Verfügung stellen, die sie bei der Nutzung des verbundenen Produkts oder verbundenen Dienstes generieren werden (einschließlich des Volumens, der Erhebungshäufigkeit usw.); Nutzer sollten in der Lage sein, über ein einfaches Verfahren Zugang zu den Daten zu beantragen, und Die Dateninhaber müssen die Daten den Nutzern kostenlos zur Verfügung stellen.
Einschränkungen bei der Nutzung der Daten
Um Unternehmen nicht davon abzuhalten, in datengenerierende Produkte zu investieren, können die gewonnenen Daten nicht zur Entwicklung eines konkurrierenden vernetzten Produkts verwendet werden. Das Datengesetz verbietet den Wettbewerb bei verwandten Dienstleistungen oder Aftermarket-Dienstleistungen nicht. Darüber hinaus besteht nach dem Datengesetz keine Verpflichtung für einen Dateninhaber, Daten an Dritte mit Sitz außerhalb der EU weiterzugeben.
Das Datengesetz steht in vollem Einklang mit den Datenschutzvorschriften, insbesondere der DSGVO. Ist der Nutzer nicht die betroffene Person, deren Daten angefordert werden, können personenbezogene Daten nur zur Verfügung gestellt werden, wenn eine gültige Rechtsgrundlage (z.B. Einwilligung) vorliegt. Dies ist eine wichtige Überlegung, da die gemeinsam generierten Daten oft sowohl personenbezogene als auch nicht personenbezogene Daten enthalten, die möglicherweise schwer zu trennen sind.
Sie schafft Anreize für die Entwicklung vernetzter Produkte und Dienstleistungen auf der Grundlage neuer Datenströme, die für kleinere Unternehmen von besonderem Wert sind. Darüber hinaus unterliegen Kleinst- und Kleinunternehmen als Hersteller oder Anbieter verbundener Dienstleistungen nicht denselben Verpflichtungen wie größere Unternehmen.
Um Geschäftsgeheimnisse zu schützen, ohne das Ziel des Datengesetzes zu untergraben, mehr Daten zur Verfügung zu stellen, können der Dateninhaber und der Benutzer / Dritte bestimmte Maßnahmen zur Wahrung der Vertraulichkeit der Geschäftsgeheimnisse vereinbaren. Werden diese Maßnahmen nicht eingehalten, kann der Dateninhaber den Datenaustausch verweigern oder aussetzen. Der Dateninhaber darf die Weitergabe von Daten nur verweigern, wenn er nachweisen kann, dass er durch die Offenlegung von Geschäftsgeheimnissen höchstwahrscheinlich einen schweren wirtschaftlichen Schaden erleiden wird.
Der Dateninhaber und der Nutzer können zustimmen, den Datenaustausch zu beschränken, wenn die Gefahr besteht, dass die Sicherheitsanforderungen des vernetzten Produkts untergraben werden, was schwerwiegende nachteilige Auswirkungen auf die Gesundheit, Sicherheit oder Sicherheit von Menschen haben könnte. Solche Anforderungen müssen im EU-Recht oder im nationalen Recht festgelegt werden.
Wenn der Dateninhaber Daten aus Gründen des Schutzes oder der Sicherheit von Geschäftsgeheimnissen aussetzt, zurückhält oder die Weitergabe verweigert, muss er dies der zuständigen nationalen Behörde mitteilen. Die Nutzer können eine solche Entscheidung entweder vor dem zuständigen Gericht eines Mitgliedstaats, über eine Beschwerde bei der zuständigen Behörde oder nach Zustimmung des Dateninhabers vor einer Streitbeilegungsstelle anfechten.
Kapitel III: Vorschriften für die obligatorische gemeinsame Nutzung von Daten zwischen Unternehmen
Warum?
Mit dem Datengesetz werden Vorschriften für Situationen eingeführt, in denen ein Unternehmen („Dateninhaber“) nach EU- oder nationalem Recht rechtlich verpflichtet ist, Daten einem anderen Unternehmen („Datenempfänger“) zur Verfügung zu stellen, auch im Zusammenhang mit IoT-Daten. Insbesondere müssen die Bedingungen für den Datenaustausch fair, angemessen und diskriminierungsfrei sein.
Als Anreiz für die gemeinsame Nutzung von Daten können Dateninhaber, die zur gemeinsamen Nutzung von Daten verpflichtet sind, vom Datenempfänger eine „angemessene Entschädigung“ verlangen.
Arten von Daten im Anwendungsbereich
Kapitel III des Datengesetzes gilt für alle Daten (sowohl personenbezogene als auch nicht personenbezogene), die sich im Besitz eines Unternehmens befinden, einschließlich der in Kapitel II des Datengesetzes genannten Situationen.
In der Praxis
Dateninhaber können eine angemessene Entschädigung für die Bereitstellung der Daten für einen Datenempfänger verlangen. Dies könnte Kosten für die Bereitstellung der Daten sowie technische Kosten im Zusammenhang mit der Verbreitung und Speicherung umfassen. Kleinstunternehmen, KMU und gemeinnützigen Forschungseinrichtungen dürfen jedoch nicht mehr als die Kosten für die Bereitstellung der Daten in Rechnung gestellt werden.
Zum Schutz der Dateninhaber enthält das Datengesetz eine nicht erschöpfende Liste von Maßnahmen zur Behebung von Situationen, in denen ein Dritter oder Nutzer unrechtmäßig auf Daten zugegriffen oder diese verwendet hat. Beispielsweise könnte ein Dateninhaber verlangen, dass eine rechtsverletzende Partei die Herstellung des betreffenden Produkts einstellt oder die Daten vernichtet, die sie unrechtmäßig erhalten hat, oder er könnte eine Entschädigung verlangen.
Etwaige Verpflichtungen zur gemeinsamen Datennutzung, die dem Datengesetz vorausgehen, bleiben unberührt. Die Verpflichtungen in künftigen (sektoralen) Rechtsvorschriften sollten an die Bestimmungen des Kapitels III des Datengesetzes angeglichen werden.
Kapitel IV: Missbräuchliche Vertragsbedingungen
Warum?
Vertragliche Freiheit ist für Business-to-Business-Beziehungen von zentraler Bedeutung. Das Datengesetz zielt jedoch darauf ab, alle europäischen Unternehmen, die Daten erwerben möchten, insbesondere KMU, vor missbräuchlichen Vertragsklauseln zu schützen, indem es Maßnahmen ergreift, um in Situationen einzugreifen, in denen beispielsweise eines der Unternehmen (z. B. aufgrund seiner Marktgröße) in einer stärkeren Verhandlungsposition ist und eine nicht verhandelbare Klausel („take-it-or-leave-it“) in Bezug auf den Datenzugang und die Datennutzung auferlegt.
Arten von Daten im Anwendungsbereich
Diese Vorschriften gelten für alle personenbezogenen und nicht personenbezogenen Daten, die sich im Besitz einer privaten Einrichtung befinden und auf der Grundlage eines Vertrags zwischen Unternehmen abgerufen und verwendet werden.
In der Praxis
Einseitig auferlegte Take-it-or-Leave-it-Bedingungen können, wenn sie sich auf die Bereitstellung von Daten beziehen, einem Missbräuchlichkeitstest unterzogen werden.
Das Datengesetz enthält eine nicht erschöpfende Liste von Klauseln, die immer als missbräuchlich gelten (z. B. die die Haftung der Partei, die die Klausel einseitig für vorsätzliche Handlungen oder grobe Fahrlässigkeit verhängt hat, ausschließen oder einschränken würden) und von Klauseln, die als missbräuchlich gelten (z. B. die die Abhilfemaßnahmen bei Nichterfüllung vertraglicher Verpflichtungen oder die Haftung bei Verletzung dieser Verpflichtungen unangemessen einschränken oder die Haftung des Unternehmens, dem die Klausel einseitig auferlegt wurde, ausweiten würden). Wenn eine Klausel als missbräuchlich angesehen wird, ist sie nicht mehr gültig – wenn möglich, wird sie einfach vom Vertrag getrennt. Wenn davon ausgegangen wird, dass die Klausel missbräuchlich ist, kann das Unternehmen, das die Klausel auferlegt hat, versuchen nachzuweisen, dass die Klausel nicht missbräuchlich ist.
Kapitel V: Datenaustausch zwischen Unternehmen und Behörden
Warum?
Daten, die sich im Besitz privater Einrichtungen befinden, können für eine öffentliche Stelle für die Wahrnehmung einer Aufgabe von öffentlichem Interesse von wesentlicher Bedeutung sein. Nach Kapitel V des Datengesetzes können öffentliche Stellen unter bestimmten Bedingungen auf diese Daten zugreifen, wenn ein außergewöhnlicher Bedarf besteht. Letzteres bezieht sich auf eine unvorhersehbare und zeitlich begrenzte Situation, in der die Daten einer privaten Einrichtung für die Erfüllung der im öffentlichen Interesse liegenden Aufgabe, insbesondere zur Verbesserung der faktengestützten Entscheidungsfindung, erforderlich sind. Zu den Situationen mit außergewöhnlichem Bedarf gehören sowohl öffentliche Notfälle (wie schwere Naturkatastrophen oder vom Menschen verursachte Katastrophen, Pandemien und Cybersicherheitsvorfälle) als auch Nicht-Notfälle (z. B. könnten aggregierte und anonymisierte Daten aus den GPS-Systemen der Fahrer zur Optimierung der Verkehrsströme verwendet werden).
Mit dem Datengesetz wird sichergestellt, dass die Behörden zeitnah und zuverlässig Zugang zu diesen Daten haben, ohne den Unternehmen einen übermäßigen Verwaltungsaufwand aufzubürden.
Arten von Daten im Anwendungsbereich
Nach Kapitel V fallen alle Daten in den Anwendungsbereich, wobei der Schwerpunkt auf nicht personenbezogenen Daten liegt.
Kapitel V des Datengesetzes über den Datenaustausch zwischen Unternehmen und Behörden unterscheidet zwischen zwei Szenarien:
-
Um auf einen öffentlichen Notfall reagieren zu können, sollte eine öffentliche Stelle nicht personenbezogene Daten anfordern. Wenn dies jedoch nicht ausreicht, um auf die Situation zu reagieren, können personenbezogene Daten angefordert werden. Soweit möglich, sollten diese Daten vom Dateninhaber anonymisiert werden.
-
In Nicht-Notfällen können öffentliche Stellen nur nicht personenbezogene Daten anfordern.
Wichtigste Interessenträger
Zu den Einrichtungen, die Daten anfordern können, gehören öffentliche Stellen der Mitgliedstaaten sowie bestimmte Organe, Einrichtungen und sonstige Stellen der EU. Diese Einrichtungen können die Daten unter bestimmten Bedingungen auch an forschungsführende und -fördernde Organisationen weitergeben.
Im Zusammenhang mit Anfragen von Unternehmen an Behörden sind Dateninhaber in der Regel private Einrichtungen, können aber auch öffentliche Unternehmen umfassen.
In der Praxis
Eine öffentliche Stelle kann einen Dateninhaber unter bestimmten Bedingungen verpflichten, bestimmte Daten unverzüglich zur Verfügung zu stellen, um auf einen öffentlichen Notfall zu reagieren. Das Datengesetz definiert einen öffentlichen Notfall. seine Existenz wird jedoch nach nationalen oder EU-Verfahren oder -Rechtsvorschriften bestimmt.
Bei außergewöhnlichen Bedürfnissen, die nicht mit einem öffentlichen Notfall zusammenhängen, kann eine öffentliche Stelle nicht personenbezogene Daten anfordern, um eine bestimmte Aufgabe zu erfüllen, die im öffentlichen Interesse liegt und gesetzlich vorgesehen ist, wenn die öffentliche Stelle nachweisen kann, dass sie auf andere Weise nicht auf die Daten zugreifen konnte.
In beiden Fällen (Notfall und Nicht-Notfall) müssen Anträge eine Reihe strenger Grundsätze und Bedingungen erfüllen. Beispielsweise müssen Anträge spezifisch, transparent und verhältnismäßig sein, Geschäftsgeheimnisse müssen geschützt werden und die Daten müssen gelöscht werden, sobald sie nicht mehr benötigt werden.
In der nachstehenden Tabelle ist zusammengefasst, was Unternehmen in diesem Zusammenhang für die Bereitstellung von Daten an eine öffentliche Stelle verlangen können.
Entschädigung für die Bereitstellung von Daten nach Kapitel V des Datengesetzes
| Andere Unternehmen als Kleinst- und Kleinunternehmen können Folgendes verlangen: | Kleinst- und Kleinunternehmen können verlangen: | |
| Öffentlicher Notstand | Unternehmen können beantragen, dass ihr Datenbeitrag von der empfangenden öffentlichen Stelle anerkannt und öffentlich anerkannt wird. | Angemessene Vergütung bis zu den angefallenen technischen und organisatorischen Kosten + öffentliche Anerkennung auf Anfrage |
| Nicht-Notfallsituation | Angemessene Vergütung, die die anfallenden technischen und organisatorischen Kosten nicht übersteigt (mit Ausnahme der Erstellung amtlicher Statistiken) | N/A (ausgenommen von der Pflicht zur Bereitstellung von Daten) |
Um den Aufwand für die Unternehmen so gering wie möglich zu halten, können dieselben Daten nicht mehr als einmal („einmaliger Grundsatz“) von mehr als einer öffentlichen Stelle angefordert werden. Aus diesem Grund müssen alle Anfragen vom Datenkoordinator öffentlich zugänglich gemacht werden (es sei denn, es besteht ein Sicherheitsbedenken).
Kapitel VI: Wechsel zwischen Datenverarbeitungsdiensten
Warum?
Um einen wettbewerbsfähigen Markt in der EU zu gewährleisten, sollten Kunden von Datenverarbeitungsdiensten (einschließlich Cloud- und Edge-Diensten) nahtlos von einem Anbieter zum anderen wechseln können. Die Kunden stehen jedoch derzeit einer Reihe von Hindernissen gegenüber, darunter hohe Gebühren, die beispielsweise mit Datenaustritt, langwierigen Verfahren und mangelnder Interoperabilität zwischen Anbietern verbunden sind, was zu Daten- und Anwendungsverlusten führen kann.
Das Datengesetz wird den Wechsel frei, schnell und flüssig machen. Davon profitieren sowohl Kunden, die frei die Dienstleistungen wählen können, die ihren Bedürfnissen am besten entsprechen, als auch Anbieter, die von einem größeren Kundenpool profitieren.
Geltungsbereich
Kapitel VI des Datengesetzes gilt für Anbieter von Datenverarbeitungsdiensten (d. h. digitale Dienste, die einen allgegenwärtigen und abrufbaren Netzzugang ermöglichen, wie Netzwerke, Server oder andere virtuelle oder physische Infrastrukturen und Software). Daten, die für den Wechsel von entscheidender Bedeutung sind, umfassen Eingabe- und Ausgabedaten, einschließlich Metadaten, die durch die Nutzung des Dienstes durch den Kunden generiert werden, mit Ausnahme von Daten, die durch Rechte des geistigen Eigentums geschützt sind oder ein Geschäftsgeheimnis des Diensteanbieters darstellen.
In der Praxis
Um das Machtungleichgewicht zwischen Anbietern und Kunden im Cloud-Markt zu überwinden, werden im Datengesetz Mindestanforderungen an den Inhalt von Cloud-Verträgen festgelegt. Insbesondere Kunden aus dem privaten und öffentlichen Sektor werden von einer deutlich höheren Vertragstransparenz profitieren.
Das Datengesetz enthält Maßnahmen, mit denen sichergestellt wird, dass Kunden schnell und reibungslos von einem Anbieter von Datenverarbeitungsdiensten („Quellenanbieter“) zu einem anderen („Zielanbieter“) wechseln können, ohne Daten oder die Funktionalität von Anwendungen zu verlieren. Anbieter von Platform und Software as a Service müssen beispielsweise offene Schnittstellen zur Verfügung stellen und zumindest Daten in einem gängigen und maschinenlesbaren Format exportieren. Die Anbieter von Infrastruktur als Dienstleistung müssen Maßnahmen ergreifen, um zu erleichtern, dass der Kunde, wenn er auf einen Dienst desselben Typs umsteigt, aufgrund desselben Inputs für Merkmale, die beide Dienste gemeinsam haben, im Wesentlichen vergleichbare Ergebnisse erzielt („funktionale Äquivalenz“). Als Beispiel für eine solche Maßnahme muss der Quellanbieter möglicherweise Tools zum Verschieben von Rechenlasten von einer Virtualisierungstechnologie auf eine andere verwenden.
Alle Anbieter sind verpflichtet, Hindernisse zu beseitigen, mit denen ihre Kunden konfrontiert sein können, wenn sie zu einem anderen Anbieter wechseln oder mehrere Dienste gleichzeitig nutzen möchten.
Mit dem Datengesetz werden ab dem 12. Januar 2027 auch die Wechselgebühren, einschließlich der Gebühren für den Datenausgang (d. h. die Gebühren für den Datentransit), vollständig abgeschafft. Dies bedeutet, dass die Anbieter ihren Kunden keine Gebühren für die Vorgänge in Rechnung stellen können, die zur Erleichterung des Wechsels oder für den Datenausgang erforderlich sind. Als Übergangsmaßnahme in den ersten drei Jahren nach Inkrafttreten des Datengesetzes (vom 11. Januar 2024 bis zum 12. Januar 2027) können die Anbieter ihren Kunden jedoch weiterhin die Kosten in Rechnung stellen, die ihnen im Zusammenhang mit dem Wechsel und dem Datenausgang entstehen.
Kapitel VII: Unrechtmäßiger Zugang der Regierung eines Drittlands
Warum?
Manchmal zielt eine Entscheidung oder ein Urteil eines Landes außerhalb der EU (im Folgenden „Drittland“) darauf ab, dem Staat den Zugang zu nicht personenbezogenen Daten, die innerhalb der EU verarbeitet und gespeichert werden, und deren Übermittlung zu ermöglichen. In bestimmten Fällen kann die Gewährung des Zugangs zu diesen Daten oder deren Übermittlung jedoch tatsächlich rechtswidrig sein, insbesondere wenn das Ersuchen im Widerspruch zum EU-Recht steht und Garantien zum Schutz der Grundrechte natürlicher Personen, der nationalen Sicherheitsinteressen oder wirtschaftlich sensibler Daten bietet.
Das Datengesetz folgt dem Daten-Governance-Gesetz in Bezug auf die Bestimmungen, die darauf abzielen, den unrechtmäßigen staatlichen Zugang von Drittländern und die Übermittlung nicht personenbezogener Daten, die sich in der EU befinden, zu verhindern. Solche Bestimmungen haben keine Auswirkungen auf den regelmäßigen Datenaustausch zwischen Unternehmen. Sie erhöhen die Transparenz und Rechtssicherheit in Bezug auf das Verfahren und die Bedingungen, unter denen nicht personenbezogene Daten von staatlichen Stellen außerhalb der EU abgerufen oder an diese übermittelt werden können.
Arten von Daten im Anwendungsbereich
Nicht personenbezogene Daten, die in der EU von einem Anbieter eines Datenverarbeitungsdienstes gespeichert werden.
In der Praxis
Das Datengesetz verbietet nicht den grenzüberschreitenden Datenverkehr, sondern stellt sicher, dass der Schutz von Daten in der EU bei Reisen mit Daten, die außerhalb der EU übermittelt werden, gewährleistet ist.
In diesem Zusammenhang enthält das Datengesetz Vorschriften und Garantien für Anträge ausländischer öffentlicher Stellen auf Zugang zu nicht personenbezogenen Daten, die sich in der Union befinden. Eine legitime internationale Zusammenarbeit im Bereich der Strafverfolgung wird von diesen Bestimmungen nicht berührt.
Wenn es kein internationales Abkommen gibt, das den Zugang einer Regierung eines Drittlands zu nicht personenbezogenen Daten innerhalb der EU regelt, können die Daten nur unter bestimmten Bedingungen übertragen oder abgerufen werden. Diese Bedingungen beziehen sich auf bestimmte Garantien zum Schutz der europäischen Rechte, die das Rechtssystem des Drittlands erfüllen muss, einschließlich der Verpflichtung, die Gründe darzulegen und die Verhältnismäßigkeit in der Entscheidung zu bewerten. Der Anbieter von Datenverarbeitungsdiensten, an den sich eine solche Entscheidung richtet, kann sich an die zuständige nationale Stelle wenden, um zu beurteilen, ob die im Datengesetz festgelegten Bedingungen erfüllt sind. Um zu beurteilen, ob diese Bedingungen erfüllt sind, wird die Europäische Kommission gemeinsam mit dem Europäischen Dateninnovationsrat (einer Expertengruppe, die im Rahmen des Daten-Governance-Gesetzes eingesetzt wurde, um den Austausch bewährter Verfahren zu erleichtern und sektorübergreifenden Interoperabilitätsstandards Vorrang einzuräumen) Leitlinien ausarbeiten.
Anbieter von Datenverarbeitungsdiensten sollten alle zumutbaren Maßnahmen (z. B. Verschlüsselung, Audits, Einhaltung von Zertifizierungssystemen) ergreifen, um den Zugang zu den Systemen, in denen sie nicht personenbezogene Daten speichern, zu verhindern. Diese Maßnahmen sollten auf ihren Websites veröffentlicht werden. Darüber hinaus sollten sie, wo immer möglich, ihre Kunden informieren, bevor sie Zugang zu ihren Daten gewähren.
Kapitel VIII: Interoperabilität
Warum?
Normen und Interoperabilität sind von entscheidender Bedeutung, um sicherzustellen, dass Daten aus verschiedenen Quellen innerhalb und zwischen gemeinsamen europäischen Datenräumen verwendet werden können, um die Forschung zu fördern und neue Produkte oder Dienstleistungen zu entwickeln. Zu diesem Zweck werden im Datengesetz einige grundlegende Anforderungen festgelegt, die die Teilnehmer an Datenräumen erfüllen müssen und die von der Europäischen Kommission im Wege delegierter Rechtsakte näher spezifiziert werden können.
Außerdem soll die Interoperabilität zwischen Datenverarbeitungsdiensten sichergestellt werden. Dies ist unabdingbar, wenn die Kunden von einem einfacheren Wechsel profitieren sollen.
Wichtigste Interessenträger
Dieses Kapitel richtet sich an Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder datenbasierte Dienste anbieten und die den Datenaustausch innerhalb der Datenräume erleichtern oder sich daran beteiligen.
Es richtet sich auch an Anbieter von Smart Contracts sowie an Anbieter von Datenverarbeitungsdiensten.
In der Praxis
Die Teilnehmer am Datenraum sollten mehrere grundlegende Anforderungen erfüllen, damit Daten innerhalb und zwischen Datenräumen fließen können. Beispielsweise sollte eine Beschreibung der Datenstrukturen, Datenformate und Vokabeln, sofern verfügbar, öffentlich zugänglich sein. Darüber hinaus sollten Mittel zur Gewährleistung der Interoperabilität von Vereinbarungen über die gemeinsame Datennutzung, wie etwa intelligente Verträge, sichergestellt werden.
Das Datengesetz bereitet auch den Weg für die Verbesserung der Interoperabilität von Datenverarbeitungsdiensten durch harmonisierte Normen und offene Interoperabilitätsspezifikationen.
Darüber hinaus werden Anforderungen an Anbieter intelligenter Verträge für die automatisierte Ausführung von Vereinbarungen über die gemeinsame Datennutzung festgelegt, um beispielsweise sicherzustellen, dass sie die Bestimmungen der Vereinbarung über die gemeinsame Datennutzung ordnungsgemäß ausführen und Manipulationen durch Dritte standhalten.
Die Kommission wird Interoperabilitätshindernisse bewerten und Normungserfordernissen Vorrang einräumen, auf deren Grundlage sie europäische Normungsorganisationen auffordern kann, harmonisierte Normen auszuarbeiten, die den oben genannten Anforderungen entsprechen.
Führt der Auftrag nicht zu einer harmonisierten Norm oder reicht die Norm nicht aus, um die Konformität mit dem Datengesetz zu gewährleisten, kann die Kommission gemeinsame Spezifikationen als Ausweichlösung annehmen. Diese sollten auf offene und inklusive Weise unter Berücksichtigung der Rückmeldungen des Europäischen Dateninnovationsrats entwickelt werden.
Kapitel IX: Durchsetzungs- und übergeordnete Bestimmungen
Die Mitgliedstaaten benennen eine oder mehrere (neue oder bestehende) zuständige Behörden, um die effiziente Umsetzung des Datengesetzes zu gewährleisten. Gibt es mehrere zuständige Behörden, müssen die Mitgliedstaaten eine von ihnen als „Datenkoordinator“ benennen. Der Datenkoordinator wird als zentrale Anlaufstelle für alle Fragen im Zusammenhang mit der Umsetzung des Datengesetzes auf nationaler Ebene fungieren und die Anwendung sowohl für Unternehmen als auch für Behörden erleichtern. Wenn beispielsweise ein Unternehmen wegen der Verletzung seiner Rechte aus dem Datengesetz Abhilfe sucht, sollte der Datenkoordinator (auf Anfrage) alle erforderlichen Informationen zur Verfügung stellen, damit er seine Beschwerde bei der zuständigen Behörde einreichen kann. Der Datenkoordinator wird auch die Zusammenarbeit in grenzüberschreitenden Situationen erleichtern, z. B. wenn eine zuständige Behörde eines bestimmten Mitgliedstaats nicht weiß, an welche Behörde sie sich im Mitgliedstaat des Datenkoordinators wenden sollte.
Die Kommission wird ein öffentliches Register der zuständigen Behörden und Datenkoordinatoren führen.
Der Europäische Dateninnovationsrat wird die Gespräche zwischen den zuständigen Behörden erleichtern, z. B. um Empfehlungen zur Festsetzung von Sanktionen für Verstöße gegen das Datengesetz zu koordinieren und anzunehmen. Die Sanktionen werden von den zuständigen Behörden festgelegt, und gemäß dem Datengesetz sollten wirksame, verhältnismäßige und abschreckende Sanktionen verhängt werden.
Die Mitgliedstaaten können, wenn sie dies wünschen, zertifizierte Streitbeilegungsstellen einrichten, um Parteien zu unterstützen, die sich nicht auf faire, angemessene und nichtdiskriminierende Bedingungen für die Bereitstellung von Daten einigen können. Den Parteien steht es frei, sich an jede Streitbeilegungsstelle zu wenden – entweder in dem Mitgliedstaat, in dem sie niedergelassen sind, oder in einem anderen.
Zertifizierte Streitbeilegungsmechanismen und spezialisierte zuständige Behörden werden es Unternehmen, insbesondere kleinen Unternehmen, erleichtern, ihre Rechte aus dem Datengesetz durchzusetzen, da sie den beteiligten Parteien eine einfache, schnelle und kostengünstige Lösung bieten.
Unterstützung bei der Umsetzung des Datengesetzes
Das Datengesetz gilt seit dem 12. September 2025. Um die Unternehmen bei der Bewältigung dieser neuen Vorschriften zu unterstützen, hat die Kommission Folgendes veröffentlicht:
- Häufig gestellte Fragen (FAQs) zum Datengesetz
- Entwurf einer Empfehlung zu unverbindlichen Mustervertragsbedingungen für den Datenzugriff und die Datennutzung (MCT) und unverbindlichen Standardvertragsklauseln für Cloud-Computing-Verträge (SCC)
- Leitlinien zu Fahrzeugdaten, die dem Datengesetz beigefügt sind
Künftig wird die Kommission Leitlinien für einen angemessenen Ausgleich für die obligatorische gemeinsame Nutzung von Unternehmensdaten im Rahmen von Kapitel III des Datengesetzes veröffentlichen.
Aufbauend auf den bereits veröffentlichten Leitlinien bietet der ins Leben gerufene Data Act Legal Helpdesk den Interessenträgern konkrete Leitlinien zu rechtlichen Fragen im Zusammenhang mit dem Datengesetz.
Im Digital Omnibus schlägt die Kommission spezifische Änderungen des Datengesetzes vor, um Unternehmen, öffentliche Verwaltungen und Bürger gleichermaßen zu entlasten und die Wettbewerbsfähigkeit zu fördern.
Innerhalb von drei Jahren nach ihrem Inkrafttreten wird die Kommission eine Bewertung der Auswirkungen des Datengesetzes vornehmen. Auf dieser Grundlage kann die Kommission erforderlichenfalls eine Änderung des Gesetzes vorschlagen.
Rechtlicher Hinweis
Dieses Dokument sollte nicht als repräsentativ für den offiziellen Standpunkt der Europäischen Kommission angesehen werden.