Von der Strategie bis zur technischen Umsetzung: Die komplette Data Act To-Do-Checkliste für Hersteller, Anbieter und Nutzer vernetzter Produkte und digitaler Dienste.

Der EU Data Act ist seit dem 12. September 2025 in Kraft. Viele Pflichten gelten bereits – andere greifen am 12. September 2026. Die Zeit für eine strukturierte Umsetzung wird knapper.

Viele Unternehmen wissen inzwischen, dass sie betroffen sind – aber was bedeutet das konkret? Was muss wann umgesetzt werden, und in welcher Reihenfolge?

In den vorherigen Teilen dieses Praxisleitfadens haben wir die wichtigsten Regelungsbereiche des Data Act erklärt: Datenzugangspflichten, Datennutzungsverträge, unfaire Vertragsklauseln, die Schutzstrategie für veredelte Daten und die Switching-Regeln für Cloud-Anbieter.

In diesem abschließenden Teil bringen wir alles zusammen – in einer praxisnahen, operativen To-Do-Checkliste, mit der Sie konkrete Schritte direkt umsetzen können.

Hier Checkliste kostenlos herunterladen.

Data Act-Compliance ist kein IT-Projekt

Die wichtigste Erkenntnis vorab: Der Data Act ist keine isolierte IT-Aufgabe. Er greift tief in technische Produktgestaltung, Vertragsrecht, operative Prozesse und kommerzielle Aspekte ein – gleichzeitig und branchenübergreifend. Hersteller vernetzter Produkte, Anbieter verbundener Dienste, Cloud-Anbieter und Nutzer sind alle betroffen, teils mit ganz unterschiedlichen Pflichten und Rechten.

Die Checkliste ist deshalb in fünf Bereiche gegliedert.

1. Dateninventar & Strategische Abgrenzung

Bevor eine einzige technische oder vertragliche Maßnahme sinnvoll geplant werden kann, braucht es ein vollständiges Bild der eigenen Datenlage. Das bedeutet: Welche Produkte und Dienste fallen überhaupt in den Anwendungsbereich? Welche Daten entstehen dabei – personenbezogen, nicht-personenbezogen oder gemischt?

Und wo in der Verarbeitungskette stehen diese Daten: sind es Rohdaten (Stufe 1), aufbereitete Daten (Stufe 2) oder veredelte Daten mit erheblichen Investitionen (Stufe 3)?

Diese Klassifizierung ist strategisch entscheidend, denn nur Daten der Stufen 1 und 2 unterliegen der Weitergabepflicht. Veredelte Daten genießen besonderen Schutz – aber nur, wenn die Investitionen sorgfältig dokumentiert sind.

Ein oft übersehener Punkt: Auch Bestandsgeräte, die vor dem 12.09.2025 verkauft wurden, sind betroffen. Für bekannte Nutzer muss die vertragliche Zustimmung zur Eigennutzung der Daten nachgeholt werden.

2. Design-Pflichten & Technische Umsetzung

Ab dem 12. September 2026 müssen neu auf den Markt gebrachte vernetzte Produkte so gestaltet sein, dass Nutzer standardmäßig direkten, einfachen und kostenlosen Zugang zu den generierten Daten haben – maschinenlesbar, kontinuierlich, in Echtzeit soweit technisch möglich. Das ist Access-by-Design, und es ist keine Empfehlung, sondern eine gesetzliche Pflicht.

Unsere Checkliste gibt hier konkrete Lösungen: APIs mit vollständiger Dokumentation, Authentifizierungs- und Autorisierungsmechanismen, Echtzeit-Fähigkeit, Qualitätsgleichheit mit den eigenen Datenzugriffen – und eine aktive Schutzstrategie für Geschäftsgeheimnisse, denn beim direkten Access-by-Design greift kein automatischer Schutz.

3. Nutzerverwaltung & Operative Prozesse

Dieser Abschnitt umfasst das Zustimmungsmanagement nach Art. 4 Abs. 13 (ohne vertragliche Zustimmung des Nutzers bestehen seit dem 12.09.2025 de facto keine Eigennutzungsrechte mehr), die Einrichtung eines Anfrage-Workflows für Datenzugangsanfragen, die Weitergabe an Dritte auf Nutzerverlangen, den Schutz von Geschäftsgeheimnissen und die offensive Nutzung eigener Rechte als Datenempfänger.

Besonders wichtig: Die Koordination mit der DSGVO. Der Data Act überlagert die DSGVO nicht – er tritt neben sie. Wer beide Regelwerke nicht abstimmt, riskiert gleichzeitig gegen beide zu verstoßen. Und bei Herausgaben an Behörden in Notstandssituationen sind personenbezogene Daten vor der Übermittlung soweit möglich zu anonymisieren oder pseudonymisieren.

4. Verträge & Cloud

AGB, Nutzungsbedingungen und Serviceverträge müssen auf drei Ebenen geprüft werden: Blacklist-Klauseln entfernen, Greylist-Klauseln überprüfen und – das wird oft vergessen – eine Lizenzklausel zur Eigennutzung der Daten aufnehmen. Letzteres ist keine Kür, sondern zwingend: Ohne sie hat der Dateninhaber keine Rechtsgrundlage mehr, die durch eigene Produkte entstehenden Daten für eigene Zwecke zu nutzen.

Für Cloud- und SaaS-Anbieter kommen die Switching-Regeln hinzu: maximale Kündigungsfrist von 30 Tagen und maximale Frist von 2-7 Monaten zur Durchführung des Wechsels, kostenfreier Datenexport, funktionale Äquivalenz. Diese Regeln gelten seit dem 12.09.2025 auch für bestehende Altverträge.

5. Organisation & Governance

Alle vorgenannten Maßnahmen sind ohne klare interne Verantwortlichkeiten wirkungslos. Die Checkliste fordert: Management-Awareness herstellen, einen Data Act Compliance Officer oder SPOC benennen, ein funktionsübergreifendes Team etablieren, interne Leitlinien entwickeln und alle betroffenen Bereiche schulen – von IT und Produktentwicklung bis zu Vertrieb, Support und Recht.

Und: Die Arbeit ist mit der Erstimplementierung nicht getan. Delegierte Rechtsakte, EU-Standardvertragsklauseln und Interoperabilitätsnormen werden von der EU-Kommission noch verabschiedet. Kontinuierliches Monitoring ist Pflicht.

Business sichern, Risiken minimieren, Chancen nutzen.

Laden Sie die vollständige To-Do-Checkliste kostenlos herunter und nutzen Sie sie als Grundlage für Ihre eigene Data Act Roadmap.

Haben Sie den Data Act Anwendbarkeitscheck noch nicht gemacht? Starten Sie hier unseren kostenlosen Data Act Anwendbarkeitscheck.

Möchten Sie wissen, wo Ihr Unternehmen heute steht? Unsere kostenlose Reifegrad-Analyse gibt Ihnen in wenigen Minuten eine erste Einschätzung:

Von der Strategie bis zur Umsetzung – Wir begleiten Sie Sie pragmatisch und effizient bei der Data-Act-Transformation

Der EU Data Act ist komplex. Aber er ist auch eine Chance: Wer jetzt handelt, sichert sein Business, schützt seine Werte und erschließt neue Potenziale.

this post EU Data Act: Praxisleitfaden Teil 7 – Die operative To-Do-Checkliste first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Die ersten fünf Teile unseres Praxisleitfadens haben gezeigt, was der EU Data Act konkret bedeutet – für vernetzte Produkte, Datennutzungsverträge, Vertragsklauseln, Datenzugangspflichten und Datenverarbeitungs-Dienste.

Bevor Sie in die operative Umsetzung einsteigen, gibt es zwei Fragen, die Sie zuerst beantworten sollten:

1. Gilt der Data Act überhaupt für Ihr Unternehmen?

2. Und wenn ja – wo stehen Sie heute?

Zwei kostenlose Tools von PRICOM helfen Ihnen, Ihre Betroffenheit zu prüfen und Ihren Umsetzungsstand zu bewerten.

Schritt 1: Der kostenlose Data Act Anwendbarkeitscheck

Nicht jedes Unternehmen ist vom Data Act gleichermaßen betroffen. Ob und in welchem Umfang die Pflichten gelten, hängt von Ihrer Unternehmensgröße, Ihren Produkten, Ihren digitalen Diensten und Ihrer Rolle im Datengefüge ab – als Hersteller, Anbieter verbundener Dienste, Dateninhaber, Nutzer oder Datenverarbeitungsdienstleister.

Unser kostenloser Data Act Anwendbarkeitscheck führt Sie in wenigen Minuten durch die entscheidenden Fragen und gibt Ihnen eine erste, strukturierte Einschätzung Ihrer Betroffenheit.

Jetzt kostenlos Data Act Anwendbarkeitscheck starten:

Schritt 2: Die kostenlose Data Act Reifegrad-Analyse

Wenn der Data Act auf Ihr Unternehmen anwendbar ist, stellt sich die nächste Frage: Was haben Sie bereits umgesetzt – und wo bestehen noch Lücken?

Unsere kostenlose Reifegrad-Analyse bewertet Ihren aktuellen Umsetzungsstand systematisch: von der technischen Umsetzung des Datenzugangs über Vertragsgestaltung und Governance bis zum Schutz Ihrer Geschäftsgeheimnisse. Sie erhalten eine strukturierte Einschätzung Ihrer kritischen Handlungsfelder – als Grundlage für eine pragmatische Umsetzungsplanung.

Jetzt kostenlos Ihre Reifegrad-Analyse starten:

Die Ergebnisse beider Analysen bilden die Grundlage für den nächsten Teil 7 unseres Praxis-Leitfadens:

Die operative Data Act To-Do-Checkliste mit allen konkreten Umsetzungsschritten.

Von der Strategie bis zur Umsetzung – Wir begleiten Sie Sie pragmatisch und effizient bei der Data-Act-Transformation

Der EU Data Act ist komplex. Aber er ist auch eine Chance: Wer jetzt handelt, sichert sein Business, schützt seine Werte und erschließt neue Potenziale.

Business sichern, Risiken minimieren, Chancen nutzen.

Sprechen Sie uns direkt an – unverbindlich und vertraulich:

this post EU Data Act: Praxisleitfaden Teil 6 – Anwendbarkeitscheck und Reifegrad-Analyse first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Der Data Act verpflichtet Anbieter von Datenverarbeitungsdiensten (Cloud- und Edge-Services), den Wechsel zu anderen Anbietern technisch, vertraglich und finanziell radikal zu vereinfachen.

Dieser letzte Teil unseres Leitfadens zeigt konkret, was jetzt zu tun ist. Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps für Anbieter und Nutzer von Datenverarbeitungsdiensten.

Business sichern, Risiken minimieren, Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Das Recht auf Anbieterwechsel – “Switching”

Die Artikel 23 bis 31 verpflichten Anbieter von Datenverarbeitungsdiensten (Cloud- und Edge-Services), den Wechsel zu anderen Anbietern oder auf eine eigene On-Premise-Lösung technisch, vertraglich und finanziell radikal zu vereinfachen.

1) Zwingendes Wechselrecht (Art. 25)

Provider müssen Kunden den Umzug zu Drittanbietern oder auf On-Premise-Lösungen ermöglichen.

2) Kurze Kündigungsfristen

Anbieter dürfen keine Kündigungsfristen von mehr als zwei Monaten für den Wechselprozess verlangen. Die maximale Kündigungsfrist beträgt 2 Monate zur Einleitung des Wechsels. Die maximale Frist für die Durchführung des Wechsels liegt bei 1 Monat, in Ausnahmefällen bei maximal 7 Monaten.

3) Daten- und Asset-Portabilität (Art. 25)

Anbieter müssen den Export aller exportierbaren Daten und digitalen Assets ermöglichen. Dies umfasst nicht nur Rohdaten, sondern auch Konfigurationen, Anwendungen und andere digitale Bestandteile.

4) Funktionale Äquivalenz (Art. 23 & 30)

Der Anbieter muss den Wechsel kostenlos technisch so unterstützen, dass der Kunde den Dienst bei einem neuen Anbieter mit gleicher Funktionalität weiterführen kann, soweit dies technisch machbar ist.

Rückwirkung

Die Regelungen gelten seit dem 12.09.2025 auch für bestehende Altverträge, ungeachtet vereinbarter Mindestlaufzeiten.

Zulässigkeit von Kündigungsentschädigungen (Art. 29.4)

Während der Datenexport kostenfrei werden muss, bleiben Vorfälligkeitsentschädigungen zur Amortisation von Initialkosten zulässig. Diese müssen vorvertraglich klar als solche deklariert sein und dürfen keine versteckten Exportgebühren darstellen.

2. Anwendungsbereich – Datenverarbeitungsdienste

Die Switching-Regelungen gelten für Datenverarbeitungsdienste mit folgenden Hauptkriterien:

• Service: Digitale Bereitstellung für Kunden
• Netzzugang: Flächendeckend und auf Abruf
• Gemeinsame flexible Ressourcen: Skalierbare, konfigurierbare, elastischer Pool
• Verwaltung: Minimaler Aufwand und Interaktion, schnelle Freigabe

Cloud-Computing-Dienste

Dies umfasst Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) und Data-as-a-Service (DaaS).

Edge-Computing-Dienste

Hierzu gehört die dezentrale Datenverarbeitung am Netzwerkrand (auf dem IoT-Gerät selbst) zur Reduzierung von Latenzzeiten und Verbesserung der Performance.

Geschäftliche Nutzung

Die Regelungen gelten ausschließlich für professionelle B2B-Dienste, nicht für Verbraucherdienste oder private Nutzung.

3. Anwendungsbereich – Sind alle Cloud-Dienste erfasst?

Nicht jeder Cloud-Dienst unterliegt automatisch den Switching-Regeln. Die entscheidende Frage ist: Wer kontrolliert die Infrastruktur?

Die entscheidende Grauzone: “Infrastructure Control”

Entscheidend ist die Art der Implementierung und wer die Kontrolle über die Infrastruktur hat:

• Provider-Managed – In Scope: Der Provider kontrolliert die Umgebung und Skalierbarkeit.
• Customer-Managed – Out of Scope?: Die Software läuft im eigenen Tenant/Cloud des Kunden (Self-hosted).
• Custom-Built – Ausnahme: Speziell für einen Kunden entwickelte Lösungen ohne breiten Marktvertrieb.

Praxishinweis: Wenn der Provider keine “allgegenwärtige, elastische Infrastruktur” liefert, sondern der Kunde diese selbst bereitstellt, greifen die Switching-Regeln oft nicht, da kein klassischer “Vendor Lock-in” auf Infrastrukturebene vorliegt.

4. Anwendungsbereich – Adressaten der Switching-Regeln

Die Pflichten und Rechte treffen Anbieter und Kunden und mittelbar auch den Zielprovider.

• Diensteanbieter (Service Provider)

Zu den betroffenen Anbietern gehören Cloud-Service-Provider aller Größenordnungen, Edge-Computing-Anbieter, Hosting-Dienste für geschäftliche Anwendungen, Anbieter von verwalteten IT-Infrastrukturen (IaaS) sowie Anbieter von PaaS, SaaS und DaaS.

• Kunden (Geschäftskunden)

Auf der Kundenseite fallen Unternehmen jeder Größe und Branche, öffentliche Einrichtungen und Behörden, Forschungsinstitutionen, Non-Profit-Organisationen sowie Selbstständige und Freiberufler unter die Regelungen.

Wichtig: Die Regelungen gelten nur für B2B-Beziehungen. Verbraucher als Endnutzer fallen nicht in den Anwendungsbereich des Data Act.

5. Ausnahmen von den Switching-Vorgaben

Nach Artikel 31 gelten die Switching-Verpflichtungen nicht oder nur eingeschränkt in bestimmten Fällen.

• Rein digitale Dienste

Services ohne Integration in oder Verbindung mit vernetzten physischen Produkten (“connected products”) sind von den Switching-Pflichten ausgenommen. Diese Dienste zeichnen sich dadurch aus, dass sie keine Hardware-Komponente besitzen, keine IoT-Anbindung haben und ausschließlich cloudbasiert sind.

• Test- und Evaluierungsversionen

Nicht-produktive Versionen für Testzwecke und Evaluierung mit zeitlicher Begrenzung fallen nicht unter die vollständigen Switching-Regelungen. Diese haben eine beschränkte Funktionalität, sind zeitlich befristet und enthalten keine Produktivdaten.

• Maßgeschneiderte Individuallösungen

Dienste mit überwiegend individuell entwickelten Features für einen einzelnen Kunden, die nicht kommerziell im breiten Maßstab angeboten werden, sind ebenfalls ausgenommen. Diese zeichnen sich durch eine Mehrheit von Custom-Features, kundenspezifische Entwicklung und kein Standard-Angebot aus.

6. Auswirkungen auf Datenverarbeitungsdiensteanbieter

Der EU Data Act bringt erhebliche Veränderungen für Service Provider mit sich. Die neuen Verpflichtungen erfordern umfassende Anpassungen in Geschäftsmodellen, Verträgen und technischen Infrastrukturen.

• Vertragliche Anpassungen

Bestehende und neue Verträge müssen umfassend überarbeitet werden, um den neuen Switching-Verpflichtungen zu entsprechen. Dies umfasst die Integration spezifischer Klauseln für Kündigung, Datentransfer, Übergangsfristen und Unterstützungspflichten.

• Technische Infrastruktur

Service Provider müssen ihre technischen Systeme so gestalten, dass ein reibungsloser Datenexport und Wechsel möglich ist. Standardisierte Schnittstellen und Datenformate werden zur Pflicht.

• Operative Prozesse

Neue interne Prozesse für Switching-Anfragen, Datenexporte und Übergangsphasen müssen etabliert werden. Support-Teams benötigen Schulungen und erweiterte Kompetenzen.

• Geschäftsmodelle

Preismodelle müssen überdacht werden, da Lock-in-Effekte reduziert und Egress-Gebühren beschränkt werden.

Warnung: Ohne proaktive Anpassung sind Umsatz und ARR von Datenverarbeitungsdiensten massiv gefährdet. Reduzierte Wechselbarrieren erhöhen die Kundenabwanderung und erschweren langfristige Kundenbindung.

7. Kernpflicht: Wechselhindernisse beseitigen und keine neuen schaffen (Art. 23)

Artikel 23 des Data Act verpflichtet Service Provider, alle Hindernisse für den Anbieterwechsel zu beseitigen und keine neuen aufzustellen. Diese Kernpflichten zielen darauf ab, Anbieterwechsel fair, transparent und technisch machbar zu gestalten.

Die zentralen Pflichten betreffen den Vertragsabschluss, die Datenportierung, die funktionale Äquivalenz und die Entkopplung von anderen Services. Anbieter müssen aktiv Barrieren abbauen und dürfen keine neuen Wechselhindernisse schaffen.

8. Zwingende Vertragsklauseln für Switching

Artikel 25 legt zwingende Klauseln fest, die in Verträge für Datenverarbeitungsdienste aufgenommen werden müssen. Diese Klauseln sind nicht verhandelbar und bilden das Fundament für den Switching-Prozess.

1) Schriftlicher Vertrag (Abs. 1)

Ein schriftlicher Vertrag ist erforderlich. Die Bereitstellung muss vor der Vertragsunterschreibung erfolgen. Der Kunde muss den Vertrag speichern und reproduzieren können.

2) Mindestinhalte des Vertrags (Abs. 2)

a) Übergangsfrist: Die unverzügliche Datenübertragung muss spätestens 30 Kalendertage nach Ablauf der Kündigungsfrist erfolgen. Der Anbieter muss angemessene Unterstützung beim Wechsel leisten, die Dienstkontinuität gewährleisten, über bekannte Risiken informieren und ein hohes Sicherheitsniveau gewährleisten.

b) Unterstützung und Bereitstellung aller relevanten Informationen

c) Festlegung der Vertragsbeendigung

d) Kündigungsfrist: Die maximale Kündigungsfrist beträgt 2 Monate.

e) Liste aller exportierbarer Daten und digitaler Vermögenswerte

f) Ausnahmen: Liste der ausgenommenen Datenkategorien

g) Datenabrufzeitraum: Mindestens 30 Kalendertage nach Ende des Übergangszeitraums

h) Vollständige Datenlöschung nach Ablauf des Abrufzeitraums

i) Angabe der möglichen Wechselentgelte (gem. Art. 29)

3) Unterrichtungspflicht des Kunden (Abs. 3)

Der Kunde muss den Anbieter über seine Entscheidung unterrichten, ob er zu einem anderen Anbieter wechselt, zu einer eigenen IKT-Infrastruktur wechselt oder die Löschung der Daten wünscht.

4) Alternative Übergangsfrist (Abs. 4)

Bei technischer Undurchführbarkeit ist eine Verlängerung auf maximal 7 Monate möglich. Die Mitteilung muss innerhalb von 14 Arbeitstagen mit Begründung erfolgen.

5) Verlängerungsrecht (Abs. 5)

Der Kunde kann den Übergangszeitraum einmal verlängern.

Achtung: Vertragsklauseln, die diesen Mindestanforderungen widersprechen oder sie einschränken, sind unwirksam und werden durch die gesetzlichen Bestimmungen des Data Act ersetzt.

9. Weitere zwingende Vertragsklauseln für Switching

Artikel 25 bis 31 des Data Act legen weitere zwingende Vertragsbestimmungen fest, die über die Grundpflichten hinausgehen und spezifische Aspekte des Switching-Prozesses detailliert regeln.

Art. 26 – Informationspflicht

Der Anbieter muss Informationen über Wechselverfahren, -methoden und -formate bereitstellen sowie einen Verweis auf ein Online-Register mit Datenstrukturen und Normen geben.

Art. 27 – Zusammenarbeit

Alle Beteiligten arbeiten nach Treu und Glauben zusammen mit dem Ziel eines effektiven Wechsels und der Dienstkontinuität.

Art. 28 – Transparenz bei internationalem Zugang

Der Anbieter muss die Gerichtsbarkeit der IKT-Infrastruktur angeben, die Schutzmaßnahmen gegen unrechtmäßigen staatlichen Zugang beschreiben und einen Website-Verweis im Vertrag bereitstellen.

Art. 29 – Wechselentgelte

Ab dem 12.01.2027 gilt ein Verbot von Wechselentgelten. Bis dahin sind nur ermäßigte, kostendeckende Entgelte zulässig. Es besteht eine Informationspflicht vor Vertragsabschluss über diese Entgelte.

Art. 30 – Technische Aspekte

IaaS (Abs. 1): Der Anbieter muss die Funktionsäquivalenz ermöglichen und Kapazitäten, Dokumentation sowie Unterstützung bereitstellen.

Andere Dienste (Abs. 2-3): Offene Schnittstellen müssen unentgeltlich bereitgestellt werden. Die Kompatibilität mit Standards und Spezifikationen muss innerhalb von 12 Monaten nach Veröffentlichung gewährleistet sein.

Export (Abs. 5): Bei fehlenden Standards ist ein maschinenlesbares Format erforderlich.

Grenzen (Abs. 6): Es besteht keine Pflicht zu neuen Technologien oder zur Offenlegung von Geschäftsgeheimnissen.

10. BEST PRACTICE: Praxistipps zur Erfüllung der erweiterten Vertragsanforderungen

Die Artikel 25 bis 31 enthalten detaillierte Anforderungen, die in der Praxis oft Herausforderungen bereiten. Diese konkreten Tipps helfen bei der rechtskonformen Umsetzung.

1) Datenexport-Katalog erstellen

Erstellen Sie eine vollständige, maschinenlesbare Liste aller exportierbaren Daten mit Kategorien, Formaten und Standards. Aktualisieren Sie diese bei jeder Produktänderung automatisch.

2) 30-Tage-Abruffrist technisch absichern

Implementieren Sie automatische Systeme, die Daten nach Vertragsende 30 Tage lang verfügbar halten und danach automatisch löschen. Dokumentieren Sie den Löschvorgang.

3) Sichere Export-Mechanismen bereitstellen

Bieten Sie verschlüsselte Download-Portale oder sichere API-Endpunkte für den Datenexport an. Stellen Sie Authentifizierung und Audit-Logs sicher.

4) Transparente Kostenstruktur kommunizieren

Veröffentlichen Sie klar, welche Kosten beim Switching anfallen und welche nicht. Beachten Sie das Verbot von Data Egress Charges ab Januar 2027.

5) Interoperabilität dokumentieren

Erstellen Sie detaillierte Dokumentation zu verwendeten Standards, APIs und Datenformaten. Zeigen Sie Kompatibilität mit gängigen Alternativanbietern auf.

6) Support-Prozesse definieren

Legen Sie fest, welche technische Unterstützung Sie beim Switching bieten (z.B. Beratung, Testumgebungen, Migrationsskripte). Schulen Sie Ihr Support-Team entsprechend.

Tipp: Erstellen Sie ein internes Switching-Playbook, das alle Prozesse, Verantwortlichkeiten und technischen Schritte dokumentiert. Dies erleichtert die konsistente Umsetzung über alle Kundenbeziehungen hinweg.

11. BEST PRACTICE: Praxistipp – Separater Transition-Annex

Regeln Sie alle Switching-relevanten Rechte und Pflichten in einem separaten Annex. Dies bietet erhebliche Vorteile für beide Vertragsparteien.

• Strukturierte Übersichtlichkeit

Alle Switching-Bestimmungen befinden sich an einem Ort, was die Verständlichkeit erheblich verbessert und den Verhandlungsaufwand reduziert.

• Flexibilität bei Updates

Produkt- oder servicebedingte Änderungen können durch Anpassung des Annex ohne vollständige Vertragsänderung implementiert werden.

• Standardisierung

Ein einheitliches Annex-Template kann für alle Kundenverträge oder bestimmte Services verwendet werden, was die Effizienz in Verhandlung und Administration steigert.

Empfohlene Inhalte des Transition Annex

1. Kündigungsrecht zum Anbieterwechsel

• Kündigungsrecht mit zweimonatiger Frist
• Wirksamkeit der Kündigung
• Alternative: Datenlöschung statt Wechsel

2. Wechselprozess und Übergangsphase

• Exit-Transition-Planung
• Modus Operandi
• Vorgehensweise – Big Bang oder Ramp-Down
• Termine und Meilensteine
• Änderungsmanagement
• Unterstützungspflicht
• Kontinuität und Zusammenarbeit
• Verantwortungsübergänge
• Haftung während Übergabe (Ramp-Up/Ramp-Down)

3. Mitwirkungspflichten des Kunden und Verzug

• Informationspflicht
• Vertraulichkeit
• Verzugsfolgen

4. Verlängerung der Übergangsphase

• Anbieterseitig – Verlängerung auf 7 Monate
• Kundenseitig – Längere Übergangsphase
• Fortgeltung der bisherigen Vertragskonditionen
• Scheitern oder Verschiebung der Exit Transition

5. Datenportabilität und -löschung

• Formate – Exportierbare Daten
• Ausnahmen (Schutz von Geschäftsgeheimnissen)
• Abruffrist und Löschung – 30 Kalendertage

6. Vergütung und Wechselgebühren

• Vergütung bei vorzeitiger Kündigung
• Keine Switching Charges

7. Eskalationsverfahren und Haftung

Praxistipp: Das Transition Annex sollte integraler Vertragsbestandteil sein und bei Widersprüchen zu anderen Vertragsklauseln Vorrang haben.

Kostenloser Data Act-konformer Transition Annex verfügbar: Wir bieten Ihnen eine professionelle Vorlage für einen Data Act-konformen Transition Annex. Fordern Sie diese kostenlos an.

12. Maximale Wechselfristen im Data Act

Die Switching-Fristen des Data Act variieren je nach Komplexität des Projekts. Dieser Zeitstrahl zeigt die verschiedenen Szenarien von der Standardfrist bis zur maximalen Verlängerung.

Phase 1: Kündigungsfrist (0-2 Monate)

Die maximale Kündigungsfrist beträgt 2 Monate zur Einleitung des Wechsels. In dieser Phase kündigt der Kunde den Vertrag und initiiert den Switching-Prozess.

Phase 2: Datenübertragung – Standard (30 Tage)

Die maximale Datenübertragungsfrist liegt bei 30 Tagen nach Kündigung. In dieser Zeit erfolgt der Export und Transfer aller exportierbaren Daten.

Phase 3: Optionale Kundenverlängerung (variabel)

Das Verlängerungsrecht des Kunden ermöglicht einen angemessenen Zeitraum auf Wunsch des Kunden.

Phase 4: Alternative – Verlängerte Übergangsphase (bis 9 Monate)

Eine maximale zusätzliche Verlängerung von 7 Monaten ist bei Komplexität, hohem Integrationsgrad, umfangreicher Datenmigration, technischen, betrieblichen oder organisatorischen Herausforderungen sowie hochgradig kundenspezifischen Anpassungen möglich. Dies gilt nur bei begründeter Notwendigkeit und vertraglicher Vereinbarung.

Standardszenario

Im Standardszenario umfasst der Wechsel 2 Monate Kündigungsfrist, 30 Tage Datenübertragung und optional eine Kundenverlängerung. Die Gesamtdauer beträgt somit etwa 3 Monate (plus Kundenverlängerung).

Komplexes Szenario

Im komplexen Szenario sind 2 Monate Kündigungsfrist, 7 Monate verlängerte Übergangsphase und optional eine Kundenverlängerung vorgesehen. Dies führt zu einer Gesamtdauer von bis zu 9 Monaten (plus Kundenverlängerung).

Praxistipp: Die Verlängerung auf 7 Monate ist keine automatische Option, sondern muss sachlich begründet und vertraglich vereinbart werden. Die Beweislast für die Notwendigkeit liegt beim Service Provider.

13. BEST PRACTICE: Spezifikation exportierbarer Daten

Um operative Risiken zu minimieren, sollte ein Standarddokument den Umfang der exportierbaren Daten präzise, aber strategisch abgegrenzt definieren.

Der Data Act unterscheidet zwischen Pflicht-Export und nicht exportierbaren Daten. Zu den nicht exportierbaren Daten gehören sicherheitskritische Daten, Geschäftsgeheimnisse und geistiges Eigentum sowie Daten Dritter und nicht erforderliche Daten.

Zum Pflicht-Export gehören kundengenerierte Inhalte, Metadaten aus der Dienstnutzung sowie Input- und Output-Daten.

Praxistipp für Anbieter: Nutzen Sie eine eher weit gefasste Spezifizierung der von exportierbaren Daten ausgenommenen Datenkategorien.

• Schutzrechte

Daten, die durch geistiges Eigentum (IPR) geschützt sind oder Geschäftsgeheimnisse des Anbieters darstellen, können vom Export ausgenommen werden.

• Integrität & Sicherheit

Daten, deren Export die Sicherheit des Dienstes gefährden oder Cybersicherheits-Schwachstellen offenlegen könnte, fallen ebenfalls unter die Ausnahmen.

• Daten Dritter & nicht erforderliche Daten

Assets oder Daten Dritter sowie Daten anderer Kunden, die für die Funktion des spezifischen Dienstes nicht zwingend erforderlich sind, müssen nicht exportiert werden.

14. Vorbereitung auf 30-Tage-Wechselfrist

Die Vorgabe der maximalen Switching-Frist von 30 Tagen stellt beide Seiten vor erhebliche operative Herausforderungen. Eine proaktive Strategie ist entscheidend für eine reibungslose Umsetzung.

1) Vorbereitung optimieren

Etablieren Sie standardisierte Export-Prozesse und automatisierte Daten-Pipelines bereits vor Switching-Anfragen. Bereiten Sie Templates und Dokumentationen vor.

2) Klare Kommunikation

Definieren Sie transparente Kommunikationswege und Eskalationsprozesse. Benennen Sie dedizierte Ansprechpartner für Switching-Anfragen auf beiden Seiten.

3) Technische Infrastruktur

Investieren Sie in Self-Service-Portale und API-basierte Export-Funktionen, die Kunden eigenständig nutzen können, um die 30-Tage-Frist einzuhalten.

4) Meilenstein-Tracking

Implementieren Sie ein robustes Projektmanagement-System mit klar definierten Meilensteinen und automatisierten Status-Updates für alle Beteiligten.

Praxistipp: Die 30-Tage-Frist beginnt bereits mit der formellen Switching-Anfrage des Kunden. Eine eindeutige Vereinbarung des späteren Startpunkts im Vertrag verhindert spätere Probleme und Streitigkeiten.

15. BEST PRACTICE: Praxistipp – Verlängerte Übergangsfrist (max. 7 Monate)

In vielen Fällen wird die Standard-Switching-Frist von 30 Tagen für komplexe Migrationen unzureichend sein. Artikel 25 erlaubt Service Providern unter spezifischen Voraussetzungen eine Verlängerung auf bis zu 7 Monate.

Praxistipp: Nutzen Sie die Möglichkeit einer verlängerten Übergangszeit mit detaillierter technischer Dokumentation der Komplexitätsfaktoren.

• Anerkannte Verlängerungsgründe

Als anerkannte Gründe für eine Verlängerung gelten sehr große Datenvolumen (im Petabyte-Bereich), tiefe Systemintegration (mit Legacy-Systemen oder kritischer Infrastruktur), Compliance-Anforderungen (regulatorische Vorgaben mit ausgiebigem Testing), technische Abhängigkeiten (komplexe Microservices-Architekturen), Business Continuity (kritische 24/7-Systeme ohne Ausfallzeiten) sowie die Datenmigrations-Komplexität (umfangreiche Datentransformationen).

• Umsetzungsschritte

Zunächst erstellen Sie ein Komplexitäts-Assessment mit objektiver Bewertung der technischen und organisatorischen Migration-Komplexität. Anschließend findet die Kundenkommunikation mit transparenter Darlegung der Gründe für die verlängerte Übergangszeit statt. Es folgt die vertragliche Vereinbarung mit schriftlicher Dokumentation der verlängerten Frist und deren Begründung. Abschließend wird ein detaillierter Plan mit granularem Migrationsplan und Meilensteinen erstellt.

16. BEST PRACTICE: Praxistipp – Weitere wichtige Punkte bei verlängerter Übergangsfrist (max. 7 Monate)

Bei Inanspruchnahme der verlängerten Übergangszeit müssen weitere folgende Punkte beachtet werden:

• 14 Tage Frist einhalten

Der Service Provider muss innerhalb von 14 Arbeitstagen nach Eingang der Wechselanfragen reagieren, wenn eine Verlängerung der Übergangszeit beansprucht werden soll.

• Begründung

Anbieter müssen eine detaillierte technische Begründung für die Notwendigkeit der längeren Übergangszeit darlegen können.

• Margin-Risiko beachten

Längere Übergangszeiten als notwendig können zu Margin-Verlusten führen, da Dienstkontinuität und Support mit möglicherweise reduzierten Gebühren gewährleistet werden müssen.

• Kosten von Anfang an einkalkulieren

Verlängerte Übergangszeiten und damit verbundener Aufwand sollten in die Kosten des Datenverarbeitungsdienstes bereits ab Tag 1 berücksichtigt werden.

• Preismodelle prüfen

Die Auswirkungen auf Effizienzgewinne, Kosteneinsparungen und von Kunden geforderte Gain-Share-Preismodelle sollten bewertet werden.

17. BEST PRACTICE: Praxistipp – Definition des “erfolgreichen Wechsels”

Ein klar definiertes Ende des Wechselprozesses ist essenziell, um den Vertrag rechtssicher zu beenden und fortlaufende Aufwände und Kosten auf beiden Seiten zu vermeiden.

Definition des “erfolgreichen Wechsels”

Legen Sie im Transitionsplan fest, dass ein Wechsel als erfolgreich vollzogen gilt, wenn:

1. Vollständiger Datenexport: Alle exportierbaren Daten, Anwendungen und digitalen Assets wurden nachweislich ohne Fehlermeldung an den Ziel-Provider übertragen.
2. Keine Mängelmeldung (Deemed Acceptance): Der Kunde oder Ziel-Provider meldet Fehler nicht unverzüglich (innerhalb einer fest definierten, kurzen Frist, z.B. 5 Werktage). Nach Ablauf dieser Frist gilt die Migration als mängelfrei abgenommen.

Praxistipp: Implementieren Sie einen elektronischen Sign-Off-Prozess, bei dem der Kunde und der Ziel-Provider die erfolgreiche Datenübertragung bestätigen müssen. Dies schafft Rechtssicherheit für alle Beteiligten.

Rechtsfolgen: Early Termination Penalties statt Abo-Gebühren

Mit dem erfolgreichen Abschluss des Wechsels sind keine regulären Abo-Gebühren mehr geschuldet. Stattdessen greifen die (vorvertraglich vereinbarten) Early Termination Penalties, um den ARR-Verlust abzufedern.

Der Prozess verläuft wie folgt: Während der Wechselprozess läuft, werden reguläre Gebühren fällig. Nach der Bestätigung des erfolgreichen Abschlusses oder durch Deemed Termination wird der Vertrag beendet und die Early Termination Penalties greifen.

18. BEST PRACTICE: Operative Umsetzung – Transparenz- und Informationspflichten

Der Alt-Provider muss Kunden und Ziel-Provider alle notwendigen Informationen für einen reibungslosen Wechsel bereitstellen.

1)Technische Spezifikationen

Der Anbieter muss Dokumentation über verfügbare Datenformate, unterstützte Übertragungsprotokolle und Schnittstellen bereitstellen.

2) Bekannte Beschränkungen

Es besteht die Pflicht zur expliziten Nennung technischer Hindernisse, Inkompatibilitäten oder Besonderheiten, die den Wechsel erschweren oder verlängern könnten.

3) Übergabepunkt definieren

Der Anbieter muss klar definieren, bis zu welchem Punkt die Verantwortung des Alt-Providers reicht (z.B. API-Endpunkt, Datenübergabe-Schnittstelle).

Praxistipp: Erstellen Sie ein standardisiertes Informationspaket (Switching Information Package), das alle technischen Spezifikationen, Schnittstellen und bekannten Einschränkungen enthält. Dies beschleunigt den Wechselprozess erheblich.

19. BEST PRACTICE: Operative Umsetzung – Mitwirkungs- und Beistellungspflichten des Kunden

Um den Wechselprozess rechtssicher zu gestalten und Verzögerungen zu vermeiden, müssen Pflichten des Kunden vertraglich festgelegt werden.

Vier zentrale Kundenpflichten

• Informationspflicht: Der Kunde muss alle für den Transfer notwendigen Informationen, Zugangsdaten und Genehmigungen rechtzeitig bereitstellen.
• Drittpartei-Koordination: Der Kunde verpflichtet sich, den Ziel-Provider zur aktiven Kooperation und technischen Unterstützung auf dessen eigene Kosten zu verpflichten.
• Schriftliche Zusage des Ziel-Providers: Der Kunde muss eine schriftliche Bestätigung des Ziel-Providers vorlegen, dass dieser den Übergang technisch unterstützt und die erforderlichen Schnittstellen bereitstellt.
• Rechtzeitige Abnahme: Der Kunde muss übertragene Daten und Services innerhalb festgelegter Fristen prüfen und abnehmen (siehe Deemed Acceptance).

Wichtig: Diese Mitwirkungspflichten müssen explizit im Vertrag verankert werden. Sie bilden die Grundlage für Haftungsausschlüsse und Kostenersatzansprüche bei Verzögerungen.

20. BEST PRACTICE: Operative Umsetzung – Service-Kontinuität trotz Mitwirkungsverletzung

Der Data Act verbietet Wechselhindernisse kategorisch. Selbst wenn der Kunde seine Mitwirkungspflichten verletzt, muss der Provider den Dienst aufrechterhalten. Die Lösung liegt in der Haftungsübertragung, nicht in der Leistungsverweigerung.

Das Dilemma des Providers

Auch wenn der Kunde seine Mitwirkungspflichten verletzt und der Wechsel scheitert ist dem Provider jedoch verboten, den Dienst einzustellen.

Was der Provider NICHT darf

Der Provider darf den Dienst nicht bei mangelnder Mitwirkung einstellen, kein Leistungsverweigerungsrecht ausüben, den Wechselprozess nicht blockieren oder verzögern und keine zusätzlichen Hürden aufbauen.

Was der Provider MUSS/DARF

Der Provider muss den Dienst kontinuierlich aufrechterhalten; aber darf die Haftung explizit auf den Kunden übertragen. Er sollte alle Mitwirkungsverletzungen dokumentieren und kann Schadensersatz oder Vertragsstrafen verlangen.

Wichtiger Hinweis: Wenn Mitwirkungspflichten als Hauptleistungspflichten definiert sind, gilt dies nach BGB gesetzlich als ein nach dem Data Act verbotenes Leistungsverweigerungsrecht.

Praxistipp: Regeln Sie im Vertrag explizit, dass der Anbieter bei Nicht-Erfüllung der Mitwirkungspflichten ausdrücklich nicht zur Leistungsverweigerung berechtigt ist.

21. BEST PRACTICE: Operative Absicherung – Risikominderung durch Kompensationsmechanismen

Der Provider kann sich gegen Verzögerungen und Mitwirkungsverletzungen außerhalb seiner Verantwortung durch drei zentrale Kompensationsmechanismen absichern: Schadensersatz, Penalties und Aufwendungsersatz.

Drei Säulen der Risikominderung

• Schadensersatz (Liquidated Damages): Pauschalisierter Schadensersatz für konkrete Verzögerungsschäden durch Kunden oder Ziel-Provider deckt entgangene Gewinne und zusätzliche Kosten ab.
• Delay Penalties: Vertragsstrafen für Fristüberschreitungen bei Mitwirkungspflichten ermöglichen eine automatische Berechnung pro Tag oder Woche Verzögerung.
• Aufwendungsersatz (Erhöhte Vorhalte-Vergütung): Dies umfasst den Ersatz tatsächlicher Mehrkosten für verlängerte Bereitstellung von Migrations-Infrastruktur, dediziertem Personal und Support-Leistungen.

Praxistipp: Eine explizite Vereinbarung im Vertrag mit transparenten Berechnungsgrundlagen ist erforderlich. Die Angemessenheit nach nationalem Recht sollte geprüft werden (AGB-Kontrolle).

22. Übersicht: Datenexport- und Wechselgebühren

Artikel 25 des Data Act regelt die Zulässigkeit und Grenzen von Gebühren für Datenexport (Egress-Gebühren) und den gesamten Switching-Prozess.

1. Datenexport-Gebühren stark beschränkt

Gebühren für den Datenexport dürfen nur noch kostenbasiert und nicht als Profit-Center kalkuliert werden. Ab 2027 sind sie für Switching-Zwecke ganz verboten.

2. Switching-Gebühren transparent

Kosten für Unterstützungsleistungen beim Wechsel müssen vorab transparent und durch tatsächlichen Aufwand gerechtfertigt sein.

3. Verbot prohibitiver Gebühren

Gebühren dürfen nicht so gestaltet sein, dass sie faktisch einen Anbieterwechsel verhindern oder unangemessen verteuern (Lock-in-Verbot).

Zulässige Kostenelemente sind:

• Direkte Infrastrukturkosten: Rechenzeit, Bandbreite, Storage für Export-Prozesse basierend auf tatsächlichem Verbrauch
• Personalaufwand: Aufwand für dedizierte Unterstützung durch qualifizierte Mitarbeiter zu marktüblichen Stundensätzen
• Daten-Konvertierung: Kosten für Transformation in standardisierte, interoperable Formate wenn erforderlich
• Dokumentation & Compliance: Aufwand für Erstellung von Exportdokumentationen, Compliance-Nachweise und technische Spezifikationen

Unzulässige Gebühren sind:

• Pauschal-Strafgebühren: Fixe “Switching-Fees” ohne Bezug zu tatsächlichem Aufwand oder entgangenem Gewinn
• Profit-Margen auf Egress: Markups auf Datenausgang, die über Kostendeckung hinausgehen (ab 2027 komplett verboten)
• Versteckte Zusatzkosten: Intransparente oder nachträglich in Rechnung gestellte Gebühren ohne vorherige Transparenz

23. BEST PRACTICE: Praxistipps – Kommerzielle Gestaltung – Kündigungsentschädigung vs. Wechselgebühren

Die neuen Switching-Regelungen bringen erhebliche wirtschaftliche Herausforderungen mit sich. Insbesondere die rechtliche Aufweichung von Vertragslaufzeiten gefährdet den ARR (Annual Recurring Revenue) und die Kalkulationssicherheit bei Festlaufzeiten erheblich.

Abgrenzung: Switching Fees vs. Early Termination Penalties

Grundsatz: Verträge mit fester Laufzeit sind weiterhin zulässig, sofern ein Kündigungsrecht für den Kunden besteht.

• Switching Charges (Verboten): Alle Gebühren, die rein für den Wechselvorgang anfallen (z.B. Data Egress Fees), müssen bis zum 12.01.2027 auf Null reduziert werden. Bis dahin sind nur direkte Kosten zulässig.
• Proportional Early Termination Penalties (Zulässig): Proportionale Entschädigungen für vorzeitige Kündigung von Festlaufzeitverträgen bleiben laut Erwägungsgrund 72e erlaubt. Sie dienen der Amortisation von Initialkosten und Infrastrukturinvestitionen (z.B. Infrastruktur-Investments, Rabatte für Mindestlaufzeiten). Wichtig ist, dass diese zusätzlich zum Data Act auch dem nationalen Recht (z.B. AGB-Recht) standhalten und verhältnismäßig sein müssen.

Risiko: Das Risiko unverhältnismäßiger Beträge trägt der Anbieter. Unverhältnismäßig hohe Strafen gelten als rechtswidrige Wechselhindernisse, sind unwirksam und können Bußgelder nach sich ziehen.

24. Unklarheit der “Proportionalität”

Keine regulatorische Leitlinie: Es gibt bisher keine regulatorische Leitlinie, was eine “proportionale” Kündigungsentschädigung ist.

Abzug ersparter Aufwendungen: Die Forderbarkeit des vollen Restwertes des Vertrags als Entschädigung ist umstritten. Mit hoher Wahrscheinlichkeit muss ein Abzug ersparter Aufwendungen (z.B. Betriebskosten, Hosting-, Support- oder Lizenzkosten) angerechnet werden, sodass nur der tatsächliche Nettoverlust berechnet werden kann.

Vorausbezahlte Gebühren (Prepaid): Der Data Act erzwingt keine automatische Rückerstattung für bereits bezahlte Zeiträume, sofern diese vertraglich als nicht erstattungsfähige Kündigungsentschädigung deklariert sind. Allerdings könnten Klauseln, die eine Rückerstattung für noch nicht genutzte Zeiträume nach dem Wechsel ausschließen, ebenfalls als rechtswidrige Behinderung gewertet werden.

Risiko: Das Risiko unverhältnismäßiger Beträge trägt der Anbieter. Unverhältnismäßig hohe Strafen gelten als rechtswidrige Wechselhindernisse, sind unwirksam und können Bußgelder nach sich ziehen.

25. BEST PRACTICE: Praxistipps – Accounting & Reporting

Die Umsetzung der Data Act-Anforderungen erfordert nicht nur rechtliche, sondern auch strategische und finanzielle Anpassungen.

• Umsatzrealisierung (Revenue Recognition)

Das neue gesetzliche Kündigungsrecht (ohne Vertragsbruch) gefährdet die bisherige Umsatzverbuchung (insbesondere nach US-GAAP).

• ARR & Investor Reporting

Jährlich wiederkehrende Umsatzzahlen (ARR) für EU-Kunden müssen neu bewertet werden, da das Risiko eines plötzlichen Wechsels steigt.

• Nachweispflicht für Initialinvestitionen

Dokumentieren Sie die kundenbezogenen Initialinvestitionen präzise, um die Verhältnismäßigkeit der Strafen im Streitfall belegen zu können. Dazu zählen Onboarding-Aufwände, Schulungen und Training, erlassene Setup-Gebühren, signifikante Vorab-Investitionen (Upfront Investments), kundenspezifische Entwicklungen sowie die Infrastruktur-Bereitstellung.

Diese Dokumentation ist essentiell für die rechtliche Verteidigung von Early Termination Penalties.

Praxistipp: Die Auswirkungen auf Revenue Recognition und Reporting sollten frühzeitig mit CFO, Wirtschaftsprüfern und Investor Relations besprochen werden. Der Data Act kann materielle Auswirkungen auf Finanzberichte haben.

26. BEST PRACTICE: Praxistipps – Vertragsanpassung

Die Umsetzung der Data Act-Anforderungen erfordert rechtliche Anpassungen an den Verträgen oder AGB.

• Transparenz und Vertragsklauseln

Informationen über Kündigungsentschädigungen müssen dem Kunden vorvertraglich zur Verfügung gestellt werden. Die Verträge müssen Vorfälligkeitsentschädigungen ausdrücklich benennen.

• Terminologie

Vermeiden Sie Begriffe wie “Wechsel-” oder “Transfergebühr”. Nutzen Sie stattdessen “Entschädigung zur Amortisation investierter Initialkosten”.

• Umgang mit Vorauszahlungen

Prüfen Sie, ob vorausbezahlte Abo-Gebühren nach geltendem nationalem Recht als nicht erstattungsfähige “Early Termination Fee” einbehalten werden dürfen. Dies sollte explizit als Teil der “Early Termination Penalty” im Vertrag verankert werden.

• Alternative Modelle

Nutzen Sie degressive Preise über die gesamte Vertragslaufzeit oder Loyalitätsboni statt reiner Strafen, um Wechselhindernisse rechtskonform zu gestalten.

Praxistipp: Das Einbehalten eines künftigen Vorteils bei vorzeitigem Wechsel dürfte wohl nicht als verbotenes Hindernis gelten.

27. Preiseffekte durch Switching

Obwohl der Data Act mehr Wettbewerb und niedrigere Preise fördern soll, kann die kurze 30-Tage-Kündigungsfrist gerade bei marktmächtigen Anbietern faktisch zu höheren Preisen führen.

• Risikoaufschläge

Anbieter kompensieren das Risiko frühzeitiger Kündigungen und geringerem ARR durch höhere Preise von Beginn an.

• Kürzere Investitionszyklen

Investitionen müssen schneller amortisiert werden, was zu höheren Preisen führt.

• Marktkonzentration

Kleinere Anbieter scheiden aus dem Markt aus, was mittelfristig zu weniger Wettbewerb führt.

• Gegenteiliger Effekt

Das Gegenteil des eigentlichen Ziels des Data Act tritt vielleicht ein: Nutzer zahlen mehr für gewonnene Flexibilität.

28. Zeitplan und Umsetzung

12.09.2025

Die vorstehend erklärten Regelungen gelten bereits.

12.01.2027

Wechselentgelte dürfen nicht mehr erhoben werden.

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich.

Alle betroffenen Unternehmen sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Datenverarbeitungsdienste, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

29. ZUSAMMENFASSUNG: Data Act TO-DO Liste für Anbieter

Der Data Act verändert die Spielregeln für Cloud- und XaaS-Anbieter grundlegend. Bis zum 12.01.2027 müssen umfassende Anpassungen erfolgen, die sowohl vertragliche als auch technische und kommerzielle Aspekte betreffen.

1. Vertragsrevision

Überarbeitung aller Vertragsvorlagen mit Data Act-konformen Switching-Klauseln und Transition Annex

2. Preismodell-Transformation

Entwicklung Value-basierter Strategien statt Lock-in, da reduzierte Wechselbarrieren Kundenabwanderung erhöhen

3. Switching Fees eliminieren

Reduzierung reiner Wechselgebühren (z.B. Egress Fees) auf Null bis 12.01.2027; nur direkte Kosten zulässig

4. Kündigungsentschädigungen rechtssicher gestalten

Proportionale Entschädigungen für Festlaufzeitverträge zur Amortisation von Initialkosten nutzen

5. Initialinvestitionen dokumentieren

Präzise Dokumentation von Onboarding-Aufwänden, Schulungen und Infrastruktur-Investments

6. Accounting & Reporting anpassen

Prüfung der Auswirkungen auf Revenue Recognition und ARR-Reporting

7. Technische Vorbereitung

Investition in Export-APIs und standardisierte Datenformate

8. Operative Prozesse etablieren

Erstellung eines internen Switching-Playbooks für Wechsel und Datenexport

30. ZUSAMMENFASSUNG: Data Act TO-DO Liste für Kunden

Seit dem 12.09.2025 gelten die neuen Data Act-Regeln auch für bestehende Altverträge. Kunden sollten diese Chance nutzen, um bezogene Datenverarbeitungsleistungen strategisch zu optimieren und neue Verhandlungsspielräume zu erschließen.

• Bestandsaufnahme aller Cloud, Edge und XaaS Verträge auf Data Act Compliance prüfen
• Unwirksame Klauseln identifizieren, die das Wechselrecht behindern
• Wirtschaftliche Re-Evaluierung von Langfristverträgen durchführen
• Wechselkosten-Transparenz vom Anbieter einfordern
• Wirksamkeit von Early Termination Penalties prüfen
• Commercial-Legal-Swap als Verhandlungshebel nutzen
• Verbesserte Leistungen und erweiterte Datenzugriffsrechte einfordern
• Strategische Exit-Planung mit kurzen Kündigungsfristen (max. 2 Monate)

Praxistipp: Die neuen Regelungen bieten Kunden erhebliche Verhandlungsmacht. Nutzen Sie diese als strategischen Hebel für bessere kommerzielle und technische Konditionen.

31. Von der Strategie bis zur Umsetzung

Wir begleiten Sie Sie pragmatisch und effizient bei der Data-Act-Transformation.

Der EU Data Act ist komplex. Aber er ist auch eine Chance: Wer jetzt handelt, sichert sein Business, schützt seine Werte und erschließt neue Potenziale.

• Kostenloser Data-Act Anwendbarkeits-Check: Ihre Betroffenheit in 5 Minuten prüfen

• Kostenlose Data Act Reifegrad-Analyse:

Sprechen Sie uns direkt an – unverbindlich und vertraulich:

this post EU Data Act: Praxisleitfaden Teil 5 – Praxistipps zu Wechsel von Datenverarbeitungsdiensten first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Der Data Act schafft umfassende Verpflichtungen und Herausforderungen für Anbieter vernetzter Produkte und verbundener Dienste. Er regelt den Datenzugang für Nutzer, Informationspflichten und die Herausgabe und Nutzungsmöglichkeit von Daten durch Dritte.

Dieser fünfteilige Leitfaden zeigt konkret, was jetzt zu tun ist:

Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps für Hersteller, Anbieter, Nutzer und Datenempfänger.

Business sichern, Risiken minimieren und Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Datenzugangspflichten: Der Überblick

Kernaspekte der neuen Regelungen

Der umfassende Geltungsbereich betrifft viele IoT-Produkte und verbundene Dienste. Die Regelungen wirken sich auf verschiedene betroffene Akteure aus, darunter Hersteller, Anbieter, Dateninhaber, Nutzer und Dritte.

Nutzer erhalten weitreichende Datenzugangsrechte. Sie haben das Recht auf Zugang und Weitergabe der von ihren vernetzten Geräten generierten Daten an Dritte, beispielsweise auch an Konkurrenten. Für Anbieter gelten umfangreiche Informationspflichten. Hersteller und Dateninhaber müssen transparent über Art, Zweck und potenzielle Weitergabe gesammelter Daten informieren.

Seit dem 12. September 2025 dürfen Dateninhaber Produktdaten und verbundene Dienstdaten nur mit vertraglicher Zustimmung des Nutzers für eigene Zwecke nutzen. Produktbezogene Access-by-Design-Regelungen greifen bereits ab dem 12. September 2026.

2. Datenzugang – Varianten

Der Data Act verpflichtet zu drei Varianten des Datenzugangs, die unterschiedliche Anforderungen und Verpflichtungen mit sich bringen.

1) Direkte Zugänglichkeit durch Design (Art. 3)

Nutzer müssen standardmäßig direkten Zugang zu Daten auf vernetzten Geräten oder verbundenen Diensten haben. Die erfassten Daten umfassen Produktdaten und verbundene Dienstdaten.

2) Zugang für Nutzer auf Anfrage (Art. 4)

Der Dateninhaber muss Daten auf Anfrage des Nutzers zur Verfügung stellen. Erfasst werden hierbei ohne Weiteres verfügbare Produktdaten sowie ohne Weiteres verfügbare verbundene Dienstdaten.

3) Zugang für Dritte auf Anfrage des Nutzers (Art. 5, 6)

Der Dateninhaber muss Daten auf Anfrage des Nutzers an Dritte, die sogenannten Datenempfänger, zur Verfügung stellen. Auch hier handelt es sich um ohne Weiteres verfügbare Produktdaten.

3. Access-by-Design (Art. 3)

Ab dem 12. September 2026 müssen alle vernetzten Produkte und verbundenen Dienste so gestaltet sein, dass Nutzer standardmäßig direkten und unkomplizierten Zugang zu bestimmten Daten haben.

• Verpflichtete

Jeder in der Vertriebskette ist verpflichtet. Dies umfasst Hersteller, Verkäufer, Wiederverkäufer und Vermieter von vernetzten Produkten oder verbundenen Diensten.

• Erfasste Daten

Die erfassten Daten umfassen Produktdaten, verbundene Dienstdaten sowie relevante Metadaten und Erklärungen.

• Anforderungen Datenzugang

Die Anforderungen beinhalten einen einfachen, sicheren und kostenlosen kontinuierlichen Echtzeitzugriff auf Produktdaten und verbundene Dienstdaten in einem strukturierten, gängigen und maschinenlesbaren Format.

Praxistipp: Es empfiehlt sich eine proaktive technische Gestaltung, die den Datenzugang von Anfang an ermöglicht und nicht als nachträgliche Funktion implementiert.

4. Anforderungen an den Datenzugang

Technische Anforderungen

Der Datenzugang muss standardmäßig verfügbar sein, ohne dass eine Anfrage nötig ist. Er sollte direkt erfolgen, soweit technisch durchführbar, und einfach zugänglich sein im Sinne eines Self-Service. Die Bereitstellung muss sicher und kostenlos erfolgen.

Die Daten müssen umfassend sein und alle relevanten Produktdaten einschließlich Betriebs-, Nutzungs- und Leistungsdaten enthalten. Sie müssen strukturiert in gängigen maschinenlesbaren Formaten wie JSON, XML oder CSV vorliegen.

Umsetzungsmöglichkeiten

Mögliche Umsetzungen umfassen eine Kabel- oder Drahtlosschnittstelle direkt am Gerät oder einen Server beziehungsweise ein Self-Service-Portal im Internet für verbundene Dienste. Eine API mit vollständiger Dokumentation ist erforderlich, ebenso wie Authentifizierungs- und Autorisierungsmechanismen.

Praxistipp: Verschlüsselte Daten müssen entschlüsselt und proprietäre Formate angepasst werden. Der Nutzer benötigt die Entschlüsselungsschlüssel.

5. Geschäftsgeheimnisse bei Access-by-Design

Beim Access-by-Design gibt es keinen direkten Schutz für Geschäftsgeheimnisse. Da Nutzer auch Konkurrenten sein können, müssen Dateninhaber alternative Strategien entwickeln, um Geschäftsgeheimnisse nicht verfügbar machen zu müssen.

Strategie 1: Datenverzicht

Eine Möglichkeit besteht darin, auf bestimmte sensible Daten zu verzichten.

Strategie 2: Datenveredelung

Eine weitere Option ist die Veredelung von Daten im Gerät mit nachweisbaren Investitionen.

Strategie 3: Vertragliche Regelung

Separate Vereinbarungen können getroffen werden, allerdings hat dies rechtliche Untersicherheiten.

6. Datenzugang für Nutzer und Datenempfänger (Art. 4-6)

Der Dateninhaber muss auf Anfrage des Nutzers bestimmte Daten an verschiedene Empfänger herausgeben. Die Anforderungen unterscheiden sich je nach Empfängertyp.

Alternative 1: Nutzer (Art. 4)

Bei dieser Alternative erfolgt die Herausgabe ohne Weiteres verfügbarer Produkt- und verbundener Dienstdaten auf Anfrage des Nutzers direkt an diesen.

Alternative 2: Dritte (Datenempfänger) (Art. 5, 6)

Hier erfolgt die Herausgabe ohne Weiteres verfügbarer Produkt- und verbundener Dienstdaten auf Anfrage des Nutzers an Dritte.

7. Datenzugang Nutzer (Art. 4)

Dateninhaber müssen alle ohne Weiteres verfügbaren Produktdaten und verbundenen Dienstdaten herausgeben, die der Nutzer nicht bereits selbst abrufen kann.

1) Unverzüglich und einfach

Die Bereitstellung muss unkompliziert und ohne Verzögerung über technische Schnittstellen wie APIs oder Datenportale erfolgen.

2) Sicher und kostenlos

Der Zugang muss geschützt sein. Die Nutzeridentifizierung darf nur soweit erfolgen, wie sie für die Bereitstellung erforderlich ist, wobei die Gewährleistung des Datenschutzes sicherzustellen ist. Für Nutzer dürfen keine Gebühren anfallen.

3) Umfassend und strukturiert

Alle relevanten Daten müssen in einem gängigen, maschinenlesbaren Format bereitgestellt werden.

4) Gleiche Qualität wie für Dateninhaber

Die Datenqualität muss derjenigen entsprechen, die der Dateninhaber selbst nutzt.

5) Kontinuierlich und in Echtzeit

Die Bereitstellung sollte kontinuierlich und in Echtzeit erfolgen, soweit technisch möglich.

8. Was sind “Ohne Weiteres verfügbare Daten”?

Der Dateninhaber muss nur ohne Weiteres verfügbare Daten herausgeben. Dies sind Daten, die das Produkt oder der Dienst im normalen Betrieb generiert, ohne dass der Anbieter eine wesentliche zusätzliche Verarbeitung oder Ableitung vornehmen muss.

Was zählt dazu?

• Zu den herauszugebenden Daten zählen direkt generierte Betriebsdaten, also Daten, die unmittelbar durch die Funktion des Produkts entstehen, beispielsweise die Temperatur eines Smart-Thermostats oder Laufzeiten einer Waschmaschine.
• Leistungs- und Nutzungsdaten gehören ebenfalls dazu. Dies sind Informationen über Effizienz oder Gebrauch des Produkts wie Energieverbrauch, Nutzungshäufigkeit bestimmter Funktionen oder Fehlermeldungen.
• Sensorwerte zählen zu den herauszugebenden Daten. Dies sind Rohdaten von integrierten Sensoren, beispielsweise die GPS-Position eines Fahrzeugs oder Feuchtigkeitswerte eines intelligenten Bewässerungssystems.
• Maschinenlesbare Formate umfassen Daten, die in gängigen, strukturierten und maschinenlesbaren Formaten wie JSON, XML oder CSV ohne proprietäre Hürden vorliegen.

Was zählt nicht dazu?

Abgeleitete oder veredelte Daten zählen nicht zu den herauszugebenden Daten. Dies sind Informationen, die erst durch komplexe Algorithmen oder proprietäre Analysen des Herstellers gewonnen werden, beispielsweise die voraussichtliche Lebensdauer basierend auf Nutzungsdaten.

Geschäftsgeheimnisse sind ausgenommen, also Daten, die keinen direkten Bezug zur Leistung oder Nutzung des Produkts durch den Kunden haben, sondern dem Kern-IP des Anbieters zuzuordnen sind.

Hochgradig personalisierte Daten gehören nicht zu den herauszugebenden Daten. Dies sind Inhalte, die der Anbieter basierend auf Nutzerprofilen generiert, und deren Weitergabe die Privatsphäre anderer Nutzer beeinträchtigen könnte.

Verschlüsselte Daten ohne Entschlüsselungsmechanismus sind ebenfalls ausgenommen, wenn der Anbieter selbst keinen direkten Zugang zu entschlüsselten Rohdaten hat oder dieser Zugang eine Sicherheitsverletzung wäre.

Praxistipp: Es empfiehlt sich, Rohdaten direkt im Gerät durch nachweisbare erhebliche Investitionen oder Know-How zu veredeln und aufzubereiten, um die Herausgabe zu verhindern.

9. “Ohne Weiteres verfügbare Daten” – Problemfälle

Die Identifikation von ohne Weiteres verfügbaren Daten erfordert eine genaue technische und rechtliche Bewertung der Datenströme in vernetzten Produkten und verbundenen Diensten.

• Datenschutz

Auch ohne Weiteres verfügbare Daten können personenbezogen sein. Die Anforderungen der DSGVO sind zu beachten, die eine Herausgabe vielleicht nicht erlauben.

• Komplexität der Nutzung

Die Bereitstellung der Rohdaten entbindet den Dateninhaber nicht von der Pflicht, verständliche Informationen bereitzustellen, auch wenn die Interpretation der Daten durch Dritte erfolgt.

• Produktentwicklung vs. Nutzerwert

Eine klare Abgrenzung muss getroffen werden, welche Daten primär dem Nutzerwert dienen und welche ausschließlich für interne Entwicklungszwecke des Herstellers relevant sind.

• Software-Updates

Änderungen in der Software des Produkts dürfen den Datenzugang nicht unrechtmäßig einschränken oder die Datenqualität mindern.

10. Einschränkungen von “Ohne Weiteres verfügbar”

Wenn die Daten nicht / oder nicht mehr verfügbar sind besteht keine Pflicht zur erneuten Programmierung oder zu unverhältnismäßigem Aufwand zur Beschaffung. Aber erforderlich ist, dass die Zuordnung der Daten zu Nutzer, Produkt oder Dienst möglich sein muss.

Hinsichtlich der kontinuierlichen Bereitstellung gibt es technische Grenzen. Zur Verfügung-Stellung in Echtzeit ist nur erforderlich falls technisch durchführbar.

11. Vorvertragliche Informationspflichten

Seit 12. September 2025 gelten die Vorvertragliche Informationspflichten. Vor Vertragsschluss müssen dem Nutzer umfassende Informationen über Datenzugang und -nutzung bereitgestellt werden. Die Anforderungen unterscheiden sich für vernetzte Produkte und verbundene Dienste.

• Vernetzte Produkte (Art. 3(2))

Verpflichtet ist jeder in der Vertriebskette. Der Inhalt umfasst Informationen über abrufbare Daten und Zugangsmöglichkeiten. Der Zeitpunkt der Information ist vor Vertragsschluss.

• Verbundene Dienste (Art. 3(3))

Hier sind ausführlichere Informationen erforderlich über die Identität des Anbieters, also des Dateninhabers, über generierte oder gesammelte Daten, über Zugriffsmöglichkeiten für Nutzer sowie über die Weitergabe an Dritte, wobei dies nur innerhalb der EU erfolgen darf.

Praxistipp: Bei mehreren Nutzern, beispielsweise Leasinggeber und -nehmer, muss jeder einzeln informiert werden.

12. Schutz von Geschäftsgeheimnissen

Bei der Herausgabe können Geschäftsgeheimnisse durch verschiedene Maßnahmen geschützt werden.

• Schutzmaßnahmen

Zu den Schutzmaßnahmen gehören NDAs, Nutzungsbeschränkungen und technische Maßnahmen. Das Geschäftsgeheimnis muss deklariert werden.

• Verweigerung Herausgabe von Geschäftsgeheimnissen

Bei hoher Wahrscheinlichkeit schweren wirtschaftlichen Schadens ist eine Verweigerung möglich, aber die Behörde muss informiert werden.

• Nutzungsverbote

Die Nutzungsverbote umfassen keine Nutzung zu Wettbewerbszwecken, keine Entwicklung konkurrierender Produkte und keinen Einsatz von Zwangsmitteln, um an Daten zu kommen.

13. Weitere Einschränkungen der Herausgabepflicht

Personenbezogene Daten

Der Nutzer muss eine Rechtsgrundlage nach DSGVO nachweisen. Der Dateninhaber kann bei Unklarheit anonymisieren und trägt die Verantwortung für die rechtmäßige Herausgabe. Eine Ausnahme gilt, wenn Nutzer gleich betroffene Person ist, dann greifen Art. 15 und 20 DSGVO.

Sicherheitsgründe

Eine Einschränkung der Herausgabe ist möglich, wenn Sicherheitsanforderungen gemäß NIS2, BSIG oder Cyber Resilience Act beeinträchtigt werden oder Risiken für Gesundheit, Sicherheit oder Schutz entstehen.

Historische Daten

Ein neuer Nutzer hat grundsätzlich Anspruch auf alle vorhandenen Produktdaten, auch aus der Zeit vor seiner Nutzung. Eine Einschränkung erfolgt durch Datenschutzrechte früherer Nutzer.

14. Datenzugang für Nutzer (Art. 4)

Der Nutzer hat Anspruch auf Herausgabe von Daten durch den Dateninhaber. Es gibt jedoch wichtige Bedingungen, Ausnahmen und Ablehnungsgründe.

• Nutzungsrechte (Nr. 1-3)

Die Nutzungsrechte umfassen eine freie Nutzung für jeden Zweck sowie die Weitergabe an Dritte. Daten dürfen durch den Dateninhaber nicht privilegiert verwendet werden, wie Erwägungsgrund 30 klarstellt.

• Mögliche Ablehnungsgründe und Beschränkungen

Eine Verweigerung der Datenherausgabe bzw. eine Beschränkung des herauszugebenden Datenumfangs ist unter bestimmten Gründen möglich: wenn Geschäftsgeheimnisse enthalten sind oder die Sicherheitsanforderungen beeinträchtigt oder Risiken für Gesundheit, Sicherheit oder Schutz der Nutzer mit sich bringt.

Eine Verweigerung des Zugangs ist ebenfalls möglich, wenn für den Dateninhaber schwere wirtschaftliche Schäden erwartbar sind.

Für den Datenempfänger besteht ein Verbot der Nutzung zu Wettbewerbszwecken, er darf also die Daten nicht für eine Entwicklung konkurrierender vernetzter Produkte verwenden.

Der Dritte darf keine Zwangsmittel verwenden oder Lücken in der zum Schutz der Daten bestehenden technischen Infrastruktur des Dateninhabers ausnutzen, um Zugang zu Daten zu erlangen.

Durchsetzung des Zugangs (Nr. 10)

Die Verweigerung bzw. Einschränkung des Datenzugangs ist nur mit Information der zuständigen Behörde möglich; mit dann nachfolgendem Verfahren auf Antrag des Datenempfängers auf Durchsetzung des Zugangs.

15. Herausgabe an Dritte – Datenempfänger (Art. 5)

Auf Wunsch des Nutzers müssen Dateninhaber ohne weiteres verfügbare Daten auch Dritten zugänglich machen. Dies ermöglicht beispielsweise konkurrierenden Wartungsanbietern den Zugang zu Produktdaten.

1) Entgelt möglich

Vom Dritten kann ein Entgelt verlangt werden, das Selbstkosten plus Investitionsbeitrag plus Marge umfasst, außer bei KMU oder Non-Profit-Organisationen.

2) FRAND-Vergütung

Es gilt eine faire, angemessene und nichtdiskriminierende Vergütung für den Datenzugang, nicht jedoch für KMU.

3) Vertragspflicht

Eine Vereinbarung mit dem Datenempfänger zu Nutzungsrechten und Nutzungsbeschränkung ist erforderlich, wie in Art. 8 bis 13 geregelt.

4) Herausgabeverbot an

Ein Herausgabeverbot besteht für Dritte außerhalb der EU sowie für sogenannte Torwächter nach dem Digital Markets Act wie Google, Meta oder Microsoft.

16. Risiken: Datenübermittlung an Wettbewerber

Die Pflicht zur Datenbereitstellung an Dritte, einschließlich direkter Wettbewerber, führt zu den größten Risiken des Data Act für Dateninhaber.

• Wettbewerbsrisiko

Konkurrenten erhalten Zugang zu wertvollen Betriebs-, Nutzungs- und technischen Daten, die trotz Schutzklauseln missbräuchlich genutzt werden könnten.

• Geschäftsgeheimnisse

Geschäftsgeheimnisse müssen grundsätzlich offengelegt werden. Die nachträgliche Rechtsdurchsetzung ist komplex, während der Schaden bereits eingetreten sein kann.

• FRAND-Vergütung = Monetarisierungshindernis

Dateninhaber dürfen nur FRAND-konforme Vergütung verlangen, oft nur kostendeckend. Bei KMU-Empfängern dürfen nur Kosten für Erhebung und Bereitstellung verlangt werden. Eine Monetarisierung des Datenwertes ist damit eingeschränkt.

• Kartellverbot (Art. 101 AEUV)

Informationsaustausch zwischen Wettbewerbern kann kartellrechtswidrig sein. Bei Verstößen drohen Milliardenbußgelder, Schadensersatz, Ausschluss von Aufträgen und strafrechtliche Sanktionen.

Praxistipp: Dateninhaber müssen proaktiv die folgenden Ausnahmen und Schutzmöglichkeiten nutzen, um die Datenherausgabe zu vermeiden oder soweit wie möglich einzuschränken.

17. Datenzugang für Datenempfänger (Art. 5)

Der Dateninhaber muss nur ohne Weiteres verfügbare Daten herausgeben.

• Herauszugebende Daten: “ohne Weiteres verfügbare” Daten (Rohdaten)

Zu den herauszugebenden Daten gehören direkt generierte Betriebsdaten, Leistungs- und Nutzungsdaten sowie Sensorwerte.

• Nicht herauszugebende Daten

Veredelte Daten sind nicht herauszugeben. Dies sind aus Rohdaten gefolgerte oder abgeleitete Informationen, die Ergebnis zusätzlicher erheblicher Investitionen des Herstellers sind, beispielsweise komplexe proprietäre Algorithmen oder Analysen.

Ebenfalls nicht herauszugeben sind Daten, die für Datenempfänger bereits verfügbar sind und deren einfache Weitergabe nicht möglich ist.

Anderweitig gesammelte Daten, die nur zur Speicherung oder weiteren Übermittlung an das Gerät übermittelt wurden und von dort wieder abgerufen werden können, sind ausgenommen.

Personenbezogene Daten sind nicht herauszugeben, sofern keine Rechtsgrundlage für die Weitergabe besteht.

Praxistipp: Es empfiehlt sich, Rohdaten direkt im Gerät durch nachweisbare erhebliche Investitionen oder Know-How zu veredeln und aufzubereiten, um die Herausgabe zu verhindern.

18. Ablehnung der Datenherausgabe (Art. 5-10)

Dateninhaber können die Bereitstellung von Daten an Dritte, insbesondere Wettbewerber, unter engen Voraussetzungen verweigern oder einschränken.

1) Schutz von Testdaten (Art. 5 Abs. 2)

Gegenstand sind Daten aus der Erprobung neuer Produkte, Stoffe oder Verfahren, die noch nicht am Markt verfügbar sind. Die Einschränkung ermöglicht es, dass die Herausgabe verweigert werden kann, sofern keine anderweitige vertragliche Vereinbarung besteht. Das Praxis-Risiko besteht darin, dass kommerzielle Beta-Tests ungewollt Datenzugriff für Wettbewerber eröffnen können, das sogenannte Early-Access-Dilemma.

2) Nicht-Erforderlichkeit von Geschäftsgeheimnissen (Art. 5 Abs. 9-11)

Die Offenlegungsgrenze besagt, dass Geschäftsgeheimnisse gegenüber Dritten nur offengelegt werden müssen, wenn dies für den vereinbarten Zweck zwischen Nutzer und Drittempfänger unbedingt erforderlich ist.

Praxistipp: Der Dateninhaber sollte vom Nutzer die Offenlegung des vereinbarten Zwecks verlangen, um die Erforderlichkeit der Datenherausgabe prüfen zu können.

3) Schutz von Geschäftsgeheimnissen (Art. 5 Abs. 11 & 12)

Voraussetzung ist der Nachweis, dass trotz Schutzmaßnahmen ein schwerwiegender wirtschaftlicher Schaden durch die Offenlegung droht. Im Verfahren muss die Ablehnung schriftlich begründet und gegenüber dem Nutzer oder Empfänger detailliert dargelegt werden. Die zuständige Behörde kann die Verweigerung auf Antrag prüfen und gegebenenfalls die Herausgabe unter spezifischen Schutzauflagen anordnen.

19. Nutzungsrechte & Nutzungsbeschränkungen (Art. 6, 8, 9)

Klare Nutzungsregeln und -beschränkungen sind essenziell, um trotz gesetzlicher Herausgabepflichten die Kontrolle über wettbewerbsrelevante Daten zu behalten und den Missbrauch von Know-how durch Dritte zu verhindern.

1) Nutzungsrechte des Datenempfängers

Die Zweckbindung besagt, dass die Nutzung der Daten nur für den mit dem Nutzer vertraglich vereinbarten Zweck erfolgen darf. Gemäß Art. 8, dem FRAND-Prinzip, muss die Datenbereitstellung gegen faire, angemessene Vergütung und diskriminierungsfrei erfolgen, mit Ausnahme bei KMU als Empfänger. Ein Entgelt für die Datenbereitstellung kann erhoben werden, muss aber den Wettbewerb nicht behindern.

2) Nutzungsbeschränkungen des Datenempfängers

Das Wettbewerbsverbot untersagt die Entwicklung konkurrierender Produkte oder verbundener Dienste. Das Weitergabeverbot besagt, dass keine Weitergabe an andere Dritte ohne ausdrückliche Zustimmung des Nutzers erfolgen darf. Das Gatekeeperverbot untersagt die Weitergabe von Daten an Gatekeeper.

Hinsichtlich der Sicherheit darf keine Nutzung erfolgen, die die Sicherheit des Produkts oder Dienstes gefährden könnte. Das Profiling-Verbot untersagt die Verwendung der Daten, um detaillierte Einblicke in die wirtschaftliche Lage oder Produktionsmethoden des Dateninhabers zu gewinnen.

Praxistipp: Zusätzlich zu den obligatorischen Klauseln sollten spezifische Nutzungsbedingungen geregelt werden. Die Datenherausgabe über neutrale Datenintermediäre sollte geprüft werden.

20. Data Act vs. DSGVO: Fundamentale Widersprüche

Der Data Act gilt neben der DSGVO. Wenn die vom Data Act erfassten Daten personenbezogene Daten sind, müssen beide Verordnungen eingehalten werden, auch wenn diese gegenteiliges fordern.

1) Keine eigenständige Rechtsgrundlage

Der Data Act ist keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten nach Art. 6 DSGVO. Es muss stets eine zusätzliche datenschutzrechtliche Rechtsgrundlage vorliegen.

2) Der fundamentale Widerspruch

Der Data Act verpflichtet den Dateninhaber zur Herausgabe von Daten, während die DSGVO die Verarbeitung und Weitergabe personenbezogener Daten in vielen Fällen verbietet.

3) Das Haftungsdilemma

Wenn ein Dateninhaber, der nicht die betroffene Person ist, personenbezogene Daten Dritter, beispielsweise des Nutzers, an Datenempfänger weitergeben muss, entsteht ein Dilemma zwischen Herausgabepflicht nach Data Act und Verarbeitungsverbot nach DSGVO.

Kritisch: Unternehmen können gleichzeitig gegen beide Verordnungen verstoßen.

Praxistipp: Eine sorgfältige Datenklassifizierung, strikte Trennung personenbezogener und nicht-personenbezogener Daten und rechtskonforme Datenflüsse mit technischen und organisatorischen Schutzmaßnahmen wie Pseudonymisierung und Anonymisierung sind zwingend erforderlich.

21. Rechtliche und kommerzielle Beziehungen

Der Data Act führt zu komplexen vertraglichen und kommerziellen Verhältnissen zwischen allen beteiligten Parteien.

Die Beziehung zwischen Dateninhaber und Nutzer ist durch Kauf-, Miet-, Leasing- und Serviceverträge sowie durch Datennutzungsverträge gemäß Art. 4 Nr. 13 geregelt.

Das vernetzte Produkt oder der verbundene Dienst muss Access by Design Datenzugang nach Art. 3 ermöglichen. Der Datenzugang nach Art. 4 erfolgt kostenlos und kontinuierlich.

• Hauptverträge Hersteller-Nutzer

Kauf-, Miet-, Leasing- oder Serviceverträge zwischen Hersteller oder Anbieter und jedem einzelnen Nutzer bilden die Grundlage der Produktnutzung.

• Datennutzungsverträge mit Nutzer (Art. 4 Nr. 13)

Spezifische Vereinbarungen zu Umfang und Bedingungen der Datennutzung durch den Anbieter sind seit 12. September 2025 zwingend erforderlich.

• Zugangsbedingungen (Art. 4)

Technische und organisatorische Regelungen für kostenlosen, kontinuierlichen Echtzeit-Datenzugang des Nutzers nach Art. 4 müssen getroffen werden.

• Datennutzungsvertrag mit Datenempfängern (Art. 6)

Zwischen Dateninhaber und Datenempfänger erfolgt der Datenzugang nach Art. 5 gegen FRAND-Vergütung, außer bei KMU gemäß Art. 8, 9 und 13.

Ein Datennutzungsvertrag nach Art. 8, 9 und 13 ist erforderlich. Dieser muss Nutzungszweck und Dauer, Einschränkungen, Vertraulichkeit, Schutzmaßnahmen (TOM), Sanktionen und FRAND-Vergütung regeln.

Achtung: Es bestehen Nutzungsbeschränkungen und Verbote. DSGVO-Daten dürfen nur mit Rechtsgrundlage weitergegeben werden. Das Kartellverbot nach Art. 101 AEUV ist zu beachten.

Zwischen Nutzer und Datenempfänger wird ein Datennutzungsvertrag nach Art. 6 geschlossen, bei dem Nutzungszweck, Dauer und Vergütung frei verhandelbar sind.

22. Prozess: Datenzugangsanfrage Teil 1 – Für Nutzer (eigener Zugang) oder Datenempfänger (Drittzugang)

1) Antragseingang

Der Prozess beginnt mit dem Nutzerantrag beim Dateninhaber auf Datenherausgabe an sich oder an benannte Dritte sowie der schriftlichen oder elektronischen Autorisierung des Nutzers.

2) Identitätsprüfung & Berechtigungsprüfung

Es erfolgt die Verifizierung der Berechtigung des Antragstellers sowie die Sicherstellung der Authentizität der Anfrage. Zudem wird geprüft, ob ein direkter Zugang nach Art. 3 möglich ist.

3) Datenklassifizierung

Es muss geklärt werden, ob es sich um Produktdaten oder verbundene Dienstdaten handelt, um den Umfang des Zugangsrechts zu prüfen. Es ist zu prüfen, ob es sich um ohne Weiteres verfügbare Daten handelt, woraus sich die Herausgabepflicht ergibt. Veredelte Daten sind gegebenenfalls von der Herausgabepflicht ausgenommen.

4) Datenklassifizierung (DSGVO-Compliance)

Kritisch ist die Prüfung, ob personenbezogene Daten betroffen sind. Eine Trennung personenbezogener und nicht-personenbezogener Daten muss erfolgen. Die Rechtsgrundlage für die Datenherausgabe nach Art. 6 DSGVO ist zu prüfen. Gegebenenfalls ist eine Pseudonymisierung oder Anonymisierung durchzuführen.

23. Prozess: Datenzugangsanfrage Teil 2 – Prüfung und vertragliche Absicherung

5) Prüfung von Ablehnungsgründen

Es ist zu prüfen, ob der Empfänger ein Gatekeeper ist, in diesem Fall ist die Weitergabe verboten. Wenn der Empfänger ein Wettbewerber ist, muss das Kartellverbot nach Art. 101 AEUV geprüft werden. Sind Testdaten betroffen, besteht gegebenenfalls keine Herausgabepflicht. Wenn Geschäftsgeheimnisse betroffen und erforderlich sind, liegt ein möglicher Ablehnungsgrund vor. Sind Sicherheitsanforderungen gefährdet, ist dies ein möglicher Ablehnungsgrund. Weitere Ablehnungsgründe sind zu prüfen.

Bei Ablehnung erfolgt eine begründete Ablehnung an den Antragsteller mit Verweis auf gesetzliche Ausnahmen. Bei Genehmigung geht es weiter zum nächsten Schritt der vertraglichen Absicherung.

6) Vertragliche Absicherung bei Drittzugang

Die Definition von Nutzungszweck und -dauer ist erforderlich. Nutzungsbeschränkungen müssen festgelegt werden. Diese umfassen die Zweckbindung, das Wettbewerbsverbot mit Definition der nicht verbotenen konkurrierenden Produkte, das Weitergabeverbot an Dritte sowie Sicherheitsanforderungen.

Eine NDA oder Vertraulichkeitsverpflichtung inklusive Vertragsstrafen ist erforderlich. Der Schutz von Geschäftsgeheimnissen durch technische und organisatorische Maßnahmen muss geregelt werden.

7) Vergütung festlegen

Eine FRAND-konforme Vergütung ist zu vereinbaren. Eine Ausnahme gilt bei KMU als Empfänger, hier darf die Vergütung nur kostendeckend sein.

24. Prozess: Datenzugangsanfrage – Teil 3 – Bereitstellung und Compliance

Datenbereitstellung

Die unverzügliche Bereitstellung erfolgt in strukturiertem, maschinenlesbarem Format. Bei entsprechender Vereinbarung ist ein kontinuierlicher Echtzeit-Zugang über einen definierten Zeitraum zu gewährleisten. Als Alternative sollte die Bereitstellung über neutrale Datenintermediäre geprüft werden.

Compliance-Dokumentation

Eine Dokumentation aller Schritte für Nachweispflichten ist erforderlich. Ein Monitoring der Datennutzung durch den Empfänger muss erfolgen. Regelmäßige Überprüfungen der Einhaltung vertraglicher Verpflichtungen sind durchzuführen.

25. Zeitplan und Umsetzung

Die Datenzugangspflichten erfordern umfassende technische und vertragliche Anpassungen. Dateninhaber sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Produkte, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

• 12.09.2025

Die Nutzungsbeschränkung ist bereits in Kraft. Dateninhaber benötigen vertragliche Zustimmung zur Datennutzung für eigene Zwecke.

• 12.09.2026

Access-by-Design wird verpflichtend. Alle neuen Produkte müssen konform sein.

• Laufend

Informationspflichten, Herausgabepflichten und Schutzmaßnahmen müssen umgesetzt werden.

Fortsetzung folgt: Ihr Weg durch die Data-Act-Transformation

Die kommenden Teile dieses Leitfadens beleuchten entscheidende Details und Praxistipps für die erfolgreiche Umsetzung des Data Act.

Teil 5: Wechsel von Datenverarbeitungsdiensten

Dieser Teil behandelt vertragliche, operative und kommerzielle Lösungen beim Anbieterwechsel.

Bleiben Sie dran!

Von der Strategie bis zur Umsetzung

Wir begleiten Sie bei der Data-Act-Transformation mit dem Ziel, Ihr Business zu sichern, Risiken zu minimieren und Chancen zu nutzen.

Sie können eine Data-Act-Beratung anfragen oder einen kostenlosen Data-Act-Check durchführen, um Ihre Betroffenheit in 5 Minuten zu prüfen. Weitere Informationen zum Data Act sowie ein kostenloses Data Act Readiness Assessment und eine Checkliste stehen zum Download bereit.

this post EU Data Act: Praxisleitfaden Teil 4 – Praxistipps zu Datenzugangspflichten first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Der Data Act schafft umfassende Verpflichtungen und Herausforderungen für Anbieter vernetzter Produkte und verbundener Dienste.

Er regelt den Datenzugang für Nutzer, Informationspflichten und die Herausgabe sowie Nutzungsmöglichkeit von Daten durch Dritte.

Dieser fünfteilige Leitfaden zeigt konkret, was jetzt zu tun ist:

Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps für Hersteller, Anbieter, Nutzer und Datenempfänger zur rechtssicheren Gestaltung von Datennutzungsverträgen.

Business sichern, Risiken minimieren, Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Neue Ära für Datennutzungsverträge

Seit dem 12. September 2025 unterliegen Datennutzungsverträge einer strengen Missbrauchskontrolle nach Artikel 13 des Data Act. Die Regelung schützt insbesondere kleine und mittlere Unternehmen (KMU) vor missbräuchlichen Klauseln, die ihnen von Vertragspartnern mit überlegener Verhandlungsmacht einseitig auferlegt werden.

Diese fundamentale Änderung soll ein Gleichgewicht zwischen den Vertragsparteien herstellen und unfaire Geschäftspraktiken unterbinden.

Mit dem Stichtag 12. September 2025 tritt die Missbrauchskontrolle in Kraft, was zur Unwirksamkeit bestimmter Klauseln führt.

2. Anwendungsbereich: Welche Verträge sind betroffen?

• Zeitlicher Geltungsbereich: Artikel 13 des Data Act gilt ausschließlich für Verträge, die ab dem 12. September 2025 geschlossen wurden. Bestehende Altverträge sind nicht erfasst. Dies bedeutet, dass Unternehmen eine klare zeitliche Trennlinie haben und ihre Vertragsstrategie entsprechend anpassen müssen.
• Sachlicher Geltungsbereich: Die Missbrauchskontrolle greift nicht bei allen Business-to-Business-Verträgen, sondern konzentriert sich auf Vereinbarungen über Datenzugang und Datennutzung.

Betroffene Vertragsverhältnisse im Detail

• Datengenerierungsverhältnis: Hierzu zählen IoT-Nutzungsverträge über vernetzte Produkte wie Smart-Farming-Maschinen, Industrie-Sensorik und Connected Cars. Auch Lizenz-, Kauf-, Miet- oder Leasingverträge für datengenerierende Geräte sowie verbundene Dienste und virtuelle Assistenten fallen in diese Kategorie.
• Datenweitergabeverhältnis: Dies umfasst Vereinbarungen zur Datenübermittlung an Dritte auf Nutzerwunsch, externe Wartungsdienste und Analysetools sowie Datenteilungsverträge zwischen Unternehmen.
• Cloud- und Datenverarbeitungsdienste (XaaS): Dazu gehören Software-as-a-Service (SaaS) wie CRM, Bürosoftware und Kollaborationstools, Platform-as-a-Service (PaaS) und Infrastructure-as-a-Service (IaaS), soweit diese skalierbar sind. Wichtig ist, dass reine Hosting-Dienste auf fester Hardware häufig ausgenommen sind.
• Wartungs- und Serviceverträge: Diese sind betroffen, soweit sie Regelungen zu Haftung, Rechtsbehelfen oder Beendigung datenbezogener Pflichten enthalten.

3. Kritische Abgrenzung: Verhandlung vs. Auferlegung

Entscheidend für die Praxis: Artikel 13 gilt für Verträge, die ab dem 12. September 2025 geschlossen werden. Die zentrale Frage lautet: Wurden Klauseln einseitig auferlegt oder echt verhandelt?

Bei einseitiger Auferlegung unterliegen sie der strengen Missbrauchskontrolle. Bei echter Verhandlung bleibt die Vertragsfreiheit weitgehend erhalten.

Dieser Leitfaden richtet sich sowohl an Anbieter als auch an Kunden und führt Sie Schritt für Schritt durch die Compliance-Prüfung.

4. Die drei Stufen der Missbräuchlichkeitsprüfung

01 – Das allgemeine Verbot (Absatz 1) – Generalklausel: Dies ist die Prüfung der grundsätzlichen Missbräuchlichkeit nach Treu und Glauben.

02 – Die “schwarze Liste” (Absatz 3) – Blacklist: Hier geht es um Klauseln, die per se unwirksam sind.

03 – Die “graue Liste” (Absatz 4) – Greylist: Diese Stufe betrifft Klauseln mit vermuteter Missbräuchlichkeit.

Stufe 1: Das allgemeine Verbot (Absatz 1)

Unwirksamkeitskriterien: Eine Vertragsklausel ist unwirksam, wenn sie kumulativ zwei Voraussetzungen erfüllt:

1. Einseitig auferlegt: Dem Vertragspartner wurde keine echte Möglichkeit gegeben, den Inhalt der Klausel trotz Verhandlungsversuch zu beeinflussen.
2. Missbräuchlich: Sie weicht so stark von der guten Geschäftspraxis ab, dass sie dem Grundsatz von Treu und Glauben widerspricht.

Wichtiger Unterschied zum deutschen AGB-Recht: Im Gegensatz zum deutschen AGB-Recht (Paragrafen 305 ff. BGB) reicht es nicht, dass keine Verhandlung stattfand – es muss ein gescheiterter Verhandlungsversuch vorliegen. Dies bedeutet: Der Kunde muss aktiv versucht haben zu verhandeln, und der Anbieter muss dies abgelehnt haben. Reine “Take-it-or-leave-it”-Situationen nach Verhandlungsversuch fallen unter die Missbrauchskontrolle.

Stufe 2: Die “schwarze Liste” (Blacklist)

Immer unwirksam: Klauseln in dieser Liste sind per se unwirksam, ohne dass eine Einzelfallprüfung erforderlich ist. Sie dürfen unter keinen Umständen in Verträgen verwendet werden.

• Haftungsausschluss für Vorsatz/grobe Fahrlässigkeit: Klauseln, die die Haftung für vorsätzliche Handlungen oder grobe Fahrlässigkeit ausschließen oder begrenzen.
• Einschränkung von Rechtsbehelfen: Klauseln, die die Nutzung von Rechtsbehelfen bei Nichterfüllung vertraglicher Pflichten unangemessen einschränken.
• Einseitige Vertragsauslegung: Klauseln, die es dem auferlegenden Teil ermöglichen, einseitig festzulegen, ob die gelieferten Daten vertragskonform sind.

Stufe 3: Die “graue Liste” (Greylist)

Vermutete Missbräuchlichkeit: Bei diesen Klauseln wird die Missbräuchlichkeit vermutet, sofern der Verwender nicht das Gegenteil beweist. Die Beweislast liegt beim Anbieter.

• Unangemessene Einschränkung der Nutzungsrechte: Dies kann beispielsweise durch exklusive Nutzungsrechte geschehen, die den gesetzlichen Datenzugang faktisch verhindern.
• Unangemessene Kündigungsfristen oder Abnahmepflichten: Diese beziehen sich auf Daten, die den Kunden unangemessen binden.
• Einseitige Preisänderungsrechte: Diese ermöglichen es dem Anbieter, Preise ohne sachlichen Grund oder bei erheblichen Leistungsänderungen einseitig zu ändern.
• Verhinderung des Datenzugangs: Klauseln, die den Zugang des Partners zu den von ihm selbst generierten Daten verhindern.

5. Übersicht: Klauseltypen und Anpassungen

Die folgende Übersicht zeigt die verschiedenen Absätze, Bereiche, Tatbestände und notwendigen Praxis-Anpassungen:

• Absatz 3 – Generalklausel: Klauseln, die grob von der guten Geschäftspraxis abweichen, erfordern eine Einzelfallprüfung.
• Absatz 4 (a) – Schwarze Liste: Der Haftungsausschluss für Vorsatz/grobe Fahrlässigkeit darf nur für leichte Fahrlässigkeit ausgeschlossen werden.
• Absatz 4 (b) – Schwarze Liste: Beim Ausschluss der Rechtsmittel bei Nichterfüllung müssen gesetzliche Ansprüche gewährt werden.
• Absatz 4 (c) – Schwarze Liste: Statt einseitiger Befugnis zur Vertragsauslegung sind objektive Leistungskriterien zu definieren.
• Absatz 5 (a) – Graue Liste: Bei unangemessener Beschränkung von Rechtsmitteln müssen gesetzliche Ansprüche gewährt werden.
• Absatz 5 (b) – Graue Liste: Nutzungsverbote, die berechtigten Interessen schaden, sollten durch präzise Schutzmaßnahmen wie NDAs und Datenmaskierung ersetzt werden.

Weitere Greylist-Klauseln im Detail

• Absatz 5 (c) – Graue Liste: Die Hinderung des Kunden an Datennutzung/-kontrolle erfordert angemessene Nutzungsrechte für Nutzer.
• Absatz 5 (d) – Graue Liste: Eingeschränkte Kündigungsrechte des Kunden sollten durch angemessene Kündigungsrechte ersetzt werden.
• Absatz 5 (e) – Graue Liste: Die Hinderung bei Datenportabilität erfordert kostenlosen Zugang in maschinenlesbarem Format.
• Absatz 5 (f) – Graue Liste: Unangemessene Kündigungsrechte des Anbieters sollten nur aus wichtigen Gründen mit kurzen Fristen möglich sein.
• Absatz 5 (g) – Graue Liste: Wesentliche Preis-/Leistungsänderungen ohne Grund erfordern objektive Indizes und Sonderkündigungsrechte.
• Artikel 8-12 – Vergütung: Überhöhte Entgelte oder diskriminierende Bedingungen sollten durch FRAND-Bedingungen und transparente Vergütung ersetzt werden.

6. Beweislast: Wer muss was nachweisen?

Grundregel (Artikel 13 Absatz 6 Satz 2 Data Act): Das einbringende Unternehmen (der Verwender) trägt die Beweislast und muss nachweisen, dass die Klausel nicht einseitig auferlegt wurde. Er muss beweisen, dass der Kunde die Verhandlungsmöglichkeit hatte und trotzdem keine Verhandlungsversuche unternommen hat.

Faktische Beweislast: Die Beweislast liegt aber faktisch beim Vertragspartner, der sich auf die Missbrauchskontrolle beruft – er muss belegen, dass er erfolglos verhandelt hat.

Dies führt zu einem Beweislastgefüge, bei dem beide Parteien ihre Verhandlungsbemühungen beziehungsweise deren Scheitern dokumentieren müssen.

7. Rechtsfolgen und Sanktionen

Unwirksamkeit: Missbräuchliche Klauseln sind nichtig, wobei der restliche Vertrag bestehen bleibt (Artikel 13 Absatz 1, 7). Der Kunde kann sich also im Streitfall darauf berufen, dass die Klausel rechtlich nicht anwendbar ist.

Weitere Risiken für den Verwender:

• Abmahngefahr: Wettbewerber oder Verbände können Verstöße als unlauteres Marktverhalten abmahnen (Paragraph 3a UWG).
• Schadensersatz: Vertragspartner können Ersatz verlangen, sofern ihnen durch die missbräuchliche Klausel ein konkreter Schaden entstanden ist.
• Bußgelder: Bei gleichzeitigen Verstößen gegen Artikel 8 bis 12 wie beispielsweise Diskriminierung drohen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes.

8. PRAXISTIPPS: Compliance sicherstellen

Prio 1: Vertrags-Audit durchführen

Sowohl Anbieter als auch Kunden sollten umgehend eine umfassende Bestandsaufnahme und Prüfung aller relevanten Business-to-Business-Datenverträge durchführen (lassen), um die Konformität mit Artikel 13 sicherzustellen.

Für Anbieter:

• 01 – Identifikation: Prüfen Sie, welche Klauseln in Allgemeinen Geschäftsbedingungen und Verträgen unter die Generalklausel, “Blacklist” oder “Greylist” fallen.
• 02 – Vertragsanpassungen: Wenn Klauseln als unwirksam identifiziert werden, müssen die Vertragsvorlagen für das Neugeschäft sofort angepasst werden.
• 03 – Risikobewertung: Entwickeln Sie eine rechtliche alternative Strategie für geschäftskritische Klauseln.
• 04 – Dokumentation: Protokollieren Sie alle Verhandlungen und Nachweise für Änderungen.

Für Kunden:

• 01 – Verhandlungsposition: Nutzen Sie die Unwirksamkeit unfairer Klauseln als Hebel in Nachverhandlungen für Rabatte, attraktivere Zahlungskonditionen, erweiterte Datenzugriffsrechte, bessere Schnittstellen (APIs) oder Performance-Upgrades.
• 02 – Wirksamkeit: Lassen Sie klären, ob kritische Abhängigkeiten (Vendor Lock-in) rechtlich wirksam sind.
• 03 – Dokumentation: Dokumentieren Sie jeden Versuch, ungünstige Klauseln zu verhandeln und die Ablehnung durch den Anbieter.

9. Sofortmaßnahmen für Anbieter

• Schwarze Liste – Sofort-Check: Klauseln, die die Haftung für Vorsatz/grobe Fahrlässigkeit ausschließen oder dem Anbieter die alleinige Vertragsauslegung vorbehalten, sind stets unwirksam. Diese sollten ohne Zögern aus Entwürfen gestrichen werden.
• Graue Liste – Begründungspflicht: Bei Klauseln dieser Liste wie beispielsweise unangemessen kurze Kündigungsfristen oder Zugriffsbeschränkungen auf eigene Daten wird Missbräuchlichkeit vermutet. Anbieter müssen im Einzelfall beweisen können, warum diese Klausel dennoch angemessen ist.
• Dokumentation der Verhandlungen und Klauseln: Protokollieren Sie Nachweise, dass der Kunde Verhandlungsmöglichkeit hatte, beispielsweise jeden Verhandlungsversuch des Kunden und die sachliche Begründung Ihrer Ablehnung (E-Mail, CRM-Vermerk). Dokumentieren Sie erfolgreiche Vertragsanpassungen vollständig.

10. Konkrete Anpassungsempfehlungen

1. Haftungsklauseln: Der Ausschluss oder die Begrenzung der Haftung ist nur für leichte Fahrlässigkeit zulässig. Unbegrenzte Haftung für Vorsatz und grobe Fahrlässigkeit muss bestehen bleiben.
2. Rechtsbehelfe: Gesetzliche Ansprüche bei Nichterfüllung oder Mängeln müssen gewährt werden. Keine unangemessene Beschränkung von Nachbesserung, SLA Credits oder Gewährleistung.
3. Nutzungsrechte: Ausreichende und klare Nutzungsrechte für Nutzer müssen definiert werden. Exklusive Nutzungsrechte für Anbieter sollten gestrichen werden. Nutzungsverbote sollten durch präzise Schutzmaßnahmen wie NDAs und Datenmaskierung ersetzt werden.
4. Kündigungsrechte: Angemessene Kündigungsrechte des Kunden müssen ermöglicht werden. Exit-Regelungen mit Exportfunktionen und Migrationsunterstützung sollten geschaffen werden.
5. Einseitige Vertragsauslegung und Änderung: Statt einseitiger Bestimmungsrechte und Änderungsrechte sollten objektive Leistungskriterien und Change Management Prozesse mit Sonderkündigungsrechten etabliert werden.

11. Weitere Anpassungsempfehlungen

• Datenportabilität: Der Datenzugang sollte kostenlos, unverzüglich und in gängigem, maschinenlesbarem Format bereitgestellt werden.
• Preisänderungen: Preisgleitklauseln sollten an objektive Indizes oder Kostenfaktoren gebunden werden. Änderungen sollten nur mit Begründung und Sonderkündigungsrecht möglich sein.
• Objektive Kriterien: Objektive Leistungskriterien sollten definiert werden statt einseitiger Befugnis zur Vertragsauslegung.

12. Dokumentationspflichten für Kunden

Praxistipp: Dokumentieren Sie jeden Versuch, ungünstige Klauseln zu verhandeln und die Ablehnung durch den Anbieter (E-Mail, Protokoll, Verträge).

Wenn der Anbieter Vertragsoptionen anbietet, dokumentieren Sie, warum günstigere Varianten für Sie unzumutbar sind, zum Beispiel “technisch nicht nutzbar” oder “wirtschaftlich untragbar”.

Diese Dokumentation ist entscheidend, um im Streitfall nachweisen zu können, dass eine Klausel einseitig auferlegt wurde. Ohne entsprechende Nachweise wird es schwierig, die Unwirksamkeit einer Klausel geltend zu machen.

13. Die Generalklausel in der Praxis

Orientierung an EU-Musterverträgen: Bei der Anwendung der Generalklausel (Absatz 3) fehlen derzeit noch klare Bewertungskriterien für “gute Geschäftspraxis”. Eine Expertengruppe der EU-Kommission hat jedoch standardisierte Mustervertragsbedingungen vorgelegt (finale Fassung erwartet bis 12. September 2025).

Unternehmen, die sich eng an diesen Mustervertragsbedingungen orientieren, dürften die Anforderungen der Generalklausel erfüllen. Bei Abweichungen besteht jedoch Rechtsunsicherheit.

Dies bietet eine praktische Orientierungshilfe für Unternehmen, die Rechtssicherheit anstreben.

14. “Heilung” durch das Paket-Modell: Commercial-Legal-Swap

Anstatt lediglich unwirksame Klauseln zu streichen, sollten Anbieter und Kunden den Data Act als Anlass für eine proaktive Vertragsneugestaltung nutzen. Ziel sollte sein, rechtliche Risiken aus Artikel 13 zu eliminieren und gleichzeitig den geschäftlichen Wert der Partnerschaft zu steigern.

• Commercial-Legal-Swap: Anbieter sollten unwirksame Klauseln nicht nur streichen, sondern aktiv einen Neuabschluss mit veränderten Bedingungen anbieten.
• Anreize für Kunden setzen: Um die Akzeptanz für neue konforme Bedingungen zu erhöhen, gewährt der Anbieter dem Kunden im Gegenzug Vorteile.
  • Konkrete Anreize – Kommerziell: Dies können Rabatte, günstigere Volumina oder attraktivere Zahlungskonditionen sein.
  • Konkrete Anreize – Technisch: Hierzu gehören erweiterte Datenzugriffsrechte, bessere Schnittstellen (APIs) oder Performance-Upgrades.

15. Hürden der praktischen Umsetzung

Trotz der regulatorischen Absicht des Data Act ist zu erwarten, dass die angestrebten Vorteile für Kunden und vor allem KMU in der Praxis weitestgehend ausbleiben:

• Papiertiger “Einflussnahme”: Das Gesetz verlangt keine tatsächlichen Verhandlungen, sondern lediglich, dass das KMU die “Möglichkeit hatte, Einfluss auf die Bedingungen zu nehmen”. Standardisierte rechtliche Bedingungen sind weiter erforderlich, um ineffiziente, kostspielige Verhandlungen und Risiken zu vermeiden.
• Rechtliche Zersplitterung: Da viele Verträge weiterhin nach ausländischem Recht wie US, UK oder NL gestaltet werden, verpufft die praktische Schutzwirkung und Vereinheitlichung oft. Es wird auch weiterhin nationale Besonderheiten bei Haftung, Gewährleistung und Kündigung geben.
• Ressourcen-Gefälle: KMU fehlen oft Zeit, Budget und spezialisiertes Fachwissen, um komplexe Vertragswerke nach ausländischem Recht zu prüfen oder zu verhandeln.
• Strategische Scheinalternativen: Anbieter dürften standardisierte “Wahloptionen” präsentieren, die zwar gesetzeskonform, aber preislich oder technisch unattraktiver sind, sodass für Kunden faktisch keine Verbesserung zum Status quo eintritt.

16. Das Paradoxon des Data Act

Die Zwei-Klassen-Verträge: Der Data Act schafft ein Paradoxon: Die strengen Vorgaben des Artikel 13 greifen nur bei einseitig auferlegten Klauseln. Sobald individuell verhandelt wird, besteht die Freiheit, vom gesetzlichen Standard abzuweichen – etwa um schlechtere rechtliche Bedingungen gegen preisliche Vorteile einzutauschen.

Wo keine Verhandlungen stattfinden – was insbesondere bei KMU die Regel ist – erzwingen die Vorgaben des Artikel 13 eine Vertragsänderung und Neukalkulation auf Anbieterseite.

Risikominimierung durch Einpreisung oder schlechtere Performance: Da Anbieter Flexibilität bei der Leistungsdefinition verlieren und erweiterte Kundenrechte bei Kündigung oder Rechtsbehelfen akzeptieren müssen, sichern sie sich ab: Die höheren rechtlichen Risiken werden durch höhere Preise, reduzierte Service-Level (SLA) oder eine schwächere technische Performance konsequent eingepreist.

17. Marktsegmentierung: Großunternehmen vs. KMU

Großunternehmen: Diese können ihre Verhandlungsmacht nutzen, um vorteilhafte Individualverträge jenseits der starren Data-Act-Vorgaben abzuschließen. Sie profitieren von flexibler Vertragsgestaltung, besseren wirtschaftlichen Konditionen und Performance sowie maßgeschneiderten Lösungen.

KMU: Diese erhalten unverhandelbare Standardverträge, die zwar formal gesetzeskonform sind, aber aufgrund der Risiko-Einpreisung deutlich schlechtere wirtschaftliche Konditionen bieten. Sie erhalten standardisierte Verträge mit höheren Kosten und geringerer Leistung.

Der angestrebte Schutz verkehrt sich so in einen Nachteil für KMU.

18. Kommerzielle Nachteile für Kunden

• Theoretisch rechtlicher Schutz: KMU erhalten theoretisch fairere rechtliche Bedingungen.
• Kostensteigerung: Es sind geschätzte Mehrkosten durch Risiko-Einpreisung zu erwarten.
• Leistungsreduktion: Es kann zu einer möglichen Verschlechterung der Service-Level kommen.
• Geringe Verhandlungsmacht: KMU haben faktisch kaum Verhandlungsmacht.
• Eingeschränkte Flexibilität: Es gibt geringere Anpassungsmöglichkeiten.

Die Realität der Umsetzung: KMU erhalten zwar theoretisch bessere rechtliche Bedingungen, zahlen dafür aber faktisch mit höheren Kosten oder geringerer Leistung. Der angestrebte Schutz verkehrt sich so in einen Nachteil.

Am Ende steht lediglich ein leicht angepasster Branchenstandard, der formal dem Recht entspricht, aber die wirtschaftliche Realität und die Abhängigkeiten der KMU nicht spürbar verbessert.

19. Fazit: Rechtlicher Schutz vs. wirtschaftlicher Nachteil

Die positive Seite:

• Einheitliche Vorgaben: Es gibt erstmals einheitliche EU-weite Standards für Business-to-Business-Datenverträge.
• Schutz vor Missbrauch: Besonders unfaire Klauseln werden unwirksam.
• Transparenz: Durch Blacklist und Greylist entstehen klarere Vertragsbedingungen.

Die kritische Realität:

• Wirtschaftliche Nachteile: Höhere Kosten durch Risiko-Einpreisung sind zu erwarten.
• Marktsegmentierung: Es entsteht ein Zwei-Klassen-System zwischen Großunternehmen und KMU.
• Begrenzte Wirkung: Viele Verträge, beispielsweise nach ausländischem Recht, ändern sich kaum.

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich. Unternehmen sollten die Chance für bessere Vertragskonditionen nutzen, aber gleichzeitig die wirtschaftlichen Realitäten im Blick behalten.

20. Dringende To-Dos

• Sofortiges Vertrags-Audit: Prüfen Sie alle relevanten Verträge auf Blacklist- und Greylist-Klauseln.
• Vertragsvorlagen anpassen: Passen Sie Ihre Standardverträge an die neuen Anforderungen an.
• Dokumentation etablieren: Implementieren Sie Prozesse zur Dokumentation aller Verhandlungen und Klauseln.
• Strategische Neuausrichtung: Nutzen Sie den Commercial-Legal-Swap für Win-Win-Situationen.
• Kontinuierliche Überwachung: Bleiben Sie auf dem Laufenden über EU-Musterverträge und Best Practices.

Fortsetzung folgt: Ihr Weg durch die Data-Act-Transformation

Die kommenden Teile dieses Leitfadens beleuchten entscheidende Details und Praxistipps für die erfolgreiche Umsetzung des Data Act.

Teil 4: Datenzugangsansprüche gibt Praxistipps zu Access-by-Design, Datenzugang für Nutzer und Herausgabe an Dritte sowie zum Schutz Ihrer wertvollen Assets.

Teil 5: Wechsel von Datenverarbeitungsdiensten präsentiert vertragliche, operative und kommerzielle Lösungen beim Anbieterwechsel.

Bleiben Sie dran!

this post EU Data Act: Praxisleitfaden Teil 3 – Praxistipps zu unfairen Vertragsklauseln nach Artikel 13 first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Vertragliche Absicherung der Datennutzung

Der Data Act schafft umfassende Verpflichtungen und Herausforderungen für Anbieter vernetzter Produkte und verbundener Dienste.

Dieser Teil unseres fünfteiligen Leitfadens zeigt konkret, was der Dateninhaber mit den Daten tun darf – und was nicht.

Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps zur rechtssicheren Gestaltung von Datennutzungsverträgen.

Business sichern, Risiken minimieren, Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Zustimmungserfordernis nach Artikel 4 Absatz 13 Data Act

Seit dem 12. September 2025 dürfen Dateninhaber Produktdaten und verbundene Dienstdaten nur mit vertraglicher Zustimmung des Nutzers für eigene Zwecke nutzen.

• Erfasste Daten: Das Zustimmungserfordernis gilt nur für Produktdaten und verbundene Dienstdaten.
• Nicht erfasste Daten: Das Zustimmungserfordernis gilt nicht für veredelte Daten oder Personendaten.
• Implizite Vereinbarung: Die Nutzung der Daten zur Erbringung der Leistung an den Nutzer ist bereits implizit vereinbart.

2. Was sind “eigene Zwecke”?

Alle Zwecke, die über die Erbringung der Leistung hinausgehen, gelten als eigene Zwecke und erfordern eine vertragliche Vereinbarung:

• Produktverbesserung und Produktentwicklung: Dies umfasst die Verbesserung eigener Produkte und Dienste sowie die Entwicklung neuer Produkte und Dienste.
• Optimierung, Qualitätsmanagement und Wartung: Dazu gehören Predictive Maintenance, Fehleranalyse, Debugging und Garantie-Monitoring.
• Analyse, Aggregation, Veredelung und Datenhandel: Dies beinhaltet die Zusammenführung, Auswertung, Aufbereitung von Daten sowie deren Handel.
• KI-Training: Die Verwendung der Daten zum Training von KI-Systemen und Algorithmen fällt ebenfalls unter eigene Zwecke.

3. Kein Kopplungsverbot – aber Grenzen

Zulässige Koppelung: Für einen Datennutzungsvertrag gilt kein Kopplungsverbot. Der Dateninhaber darf den Verkauf oder die Nutzung eines Produkts oder Dienstes davon abhängig machen, dass der Nutzer weitreichende Datennutzungsrechte einräumt.

Praxistipp: Anbieter sollten die Zustimmung zu Nutzungsrechten direkt bei Registrierung im Nutzerportal oder in der App nachweisbar einholen.

Wichtige Einschränkungen: Es gibt jedoch klare Grenzen für diese Koppelung. Klauseln dürfen nicht missbräuchlich sein gemäß Artikel 13 des Data Act. Das Transparenzgebot verlangt, dass Verwendungszwecke klar benannt werden. Zudem schützt der Wettbewerbsschutz vor wirtschaftlicher Ausspähung des Nutzers oder Einschränkung der Datennutzung des Nutzers.

4. Gesetzliche Einschränkungen

Der Data Act sieht gesetzliche Einschränkungen oder Verbote für die Nutzung vor:

1. Wirtschaftliche Ausspähung des Nutzers verboten: Der Dateninhaber darf Nutzerdaten nicht verwenden, um Einblicke in die Geschäftslage, Vermögenswerte oder Produktionsmethoden des Nutzers zu gewinnen, die diesem wirtschaftlich schaden könnten.
2. Schutz der Nutzerinteressen: Die Eigennutzung durch den Dateninhaber darf die wirtschaftliche Nutzung der Daten durch den Nutzer selbst nicht behindern. Es darf keine Exklusivität für den Hersteller geben und keine Untersagung der Weitergabe der Daten durch den Nutzer.

5. Weitergabe an Dritte

Die Weitergabe von Daten an Dritte durch den Dateninhaber zu eigenen Zwecken muss explizit im Vertrag mit dem Nutzer festgehalten werden. Der Dateninhaber muss im Vertrag mit den Dritten dafür sorgen, dass der Dritte denselben Beschränkungen unterliegt.

• Vertrag mit Nutzer: Eine explizite Weitergabe-Erlaubnis an Dritte ist erforderlich.
• Zweckbindung: Die Durchreichung der Pflichten an Dritte muss sichergestellt werden.

Herausforderung: Bei der Einhaltung der Zweckbindung bei Cloud- oder SaaS-Anbietern gibt es besondere Herausforderungen, da diese oft Allgemeine Geschäftsbedingungen mit Eigennutzungsrechten haben.

Achtung: Cloud- oder SaaS-Anbieter haben oft Allgemeine Geschäftsbedingungen, die eine Eigennutzung der Daten zum Beispiel zur Verbesserung ihrer KI vorsehen. Dies kann im Konflikt mit der Vereinbarung mit dem Nutzer stehen.

6. Zeitliche Geltung und Bestandsgeräte

• 12. September 2025: Mit Inkrafttreten gelten die Regeln für alle Daten, die seit diesem Datum generiert werden.
• Bestandsgeräte: Auch Produkte, die vor diesem Datum verkauft wurden, sind betroffen.
• Neue Verträge nötig: Mit bestehenden Nutzern müssen neue vertragliche Grundlagen geschaffen werden.

Unbekannte Nutzer: Laut EU-Kommission darf die Datenverarbeitung bei unbekannten Nutzern fortgesetzt werden.

Bekannte Nutzer: Sobald der Nutzer bekannt wird, muss die Vereinbarung nachgeholt werden.

Praxistipp: User Account und In-App-Zustimmungen nutzen

Nutzen Sie User Account, In-App-Zustimmungen oder Firmware-Update-Bestätigungen als Mechanismus, um die erforderliche vertragliche Einigung nach Artikel 4 Absatz 13 rechtssicher einzuholen – auch bei bestehenden Nutzern.

1. Integration: Bauen Sie einen Zustimmungsdialog in User Account, In-App oder Update-Prozess ein.
2. Transparenz: Stellen Sie eine klare Darstellung der Nutzungszwecke sicher.
3. Dokumentation: Sorgen Sie für eine rechtssichere Speicherung der Zustimmung.

7. Praxistipp: Veredelung als “Safe Harbor”

Die für Dateninhaber kritischsten Pflichten gelten nicht für “veredelte” Daten, die das Ergebnis erheblicher Investitionen mit proprietären Algorithmen oder Know-How sind.

• Zustimmungsfreiheit: Für die Nutzung veredelter Daten ist keine vertragliche Zustimmung des Nutzers nach Artikel 4 Absatz 13 erforderlich.
• Schutz vor Konkurrenz: Veredelte Daten müssen nicht an Dritte wie beispielsweise konkurrierende Wartungsanbieter herausgegeben werden.
• Flexibilität: Die strenge Zweckbindung des Data Acts entfällt bei der Weitergabe veredelter Daten an selbst gewählte Partner.

8. Transparenzpflichten, Inhalte und Praxistipps zu Datennutzungsverträgen

Der Data Act legt hohe Anforderungen an die Transparenz und Inhalte von Datennutzungsverträgen fest.

9. Vorvertragliche Informationspflichten

Vor Vertragsschluss müssen dem Nutzer umfassende Informationen über Datenzugang und -nutzung bereitgestellt werden. Die Anforderungen unterscheiden sich für vernetzte Produkte und verbundene Dienste.

1. Vernetzte Produkte (Artikel 3 Absatz 2):
   
   • Verpflichtet ist jeder in der Vertriebskette
   • Inhalt: Informationen über abrufbare Daten und Zugangsmöglichkeiten, konkrete Nutzungszwecke und Weitergabe an Dritte
   • Zeitpunkt: Vor Vertragsschluss
2. Verbundene Dienste (Artikel 3 Absatz 3): Hier sind ausführlichere Informationen erforderlich über die Identität des Anbieters (Dateninhaber), generierte oder gesammelte Daten, Zugriffsmöglichkeiten für Nutzer und Weitergabe an Dritte (nur innerhalb der EU).

Praxistipp: Bei mehreren Nutzern wie beispielsweise Leasinggeber und -nehmer muss jeder einzeln informiert werden!

10. Transparenzpflicht im Detail

Vertragsklauseln zur Datennutzung müssen die beabsichtigten Verwendungszwecke der Produktdaten und verbundenen Dienstdaten inklusive Metadaten für den Nutzer klar und transparent benennen.

1. Verbesserung und Entwicklung neuer Produkte und Dienste: Es ist eine konkrete Beschreibung geplanter Innovationen erforderlich.
2. Aggregation, Analyse und Veredelung, Datenhandel: Die Zusammenführung, Auswertung und Aufbereitung von Datenbeständen muss klar beschrieben werden.
3. Optimierung, Qualitätsmanagement und Wartung: Fehleranalyse, Debugging, Qualitätssicherung und Garantie-Monitoring müssen transparent dargestellt werden.
4. KI-Training mit Daten: Die Verwendung der Daten zum Training von KI-Modellen und Algorithmen muss explizit benannt werden.

11. Praxistipp: Vertragsklauseln

Praktische Empfehlungen für Dateninhaber zur Umsetzung der Vorgaben in Datennutzungsverträgen:

• Klare Nutzerinformationen: Erstellen Sie Nutzerinformationen ähnlich einer Datenschutzerklärung, die über Datenkategorien, Erfassungsarten und konkrete Nutzungszwecke inklusive Weitergabe an Dritte informieren.
• Definition der lizenzierten Daten: Beziehen Sie auch zukünftige Daten mit ein durch die Definition von wichtigen Datenquellen und Sensoren.
• Definition von “veredelten Daten”: Definieren Sie im Vertrag präzise, welche Daten als “veredelt” gelten.
• Ausdrückliche und weite Nutzungsrechte: Sichern Sie sich ausdrücklich Nutzungsrechte über Artikel 4 Absatz 13 hinaus und formulieren Sie eher zu viele als zu wenig Zwecke.
• Umfassende Zweckbeschreibung: Verwenden Sie eine “modulare Zweckbindung” mit Kernzwecken und Erweiterungsoptionen.

Weitere praktische Empfehlungen für Dateninhaber zur Umsetzung der Vorgaben in Datennutzungsverträgen:

• Bei Herausgabe geschuldete Datenqualität regeln: Regeln Sie die spezifizierte Qualität. “Ist-Zustand”-Klauseln könnten nach Artikel 13 Absatz 5 Data Act missbräuchlich sein.
• Vertraulichkeitsvereinbarungen für Geschäftsgeheimnisse mit Vertragsstrafen: Verpflichten Sie Nutzer und Dritte Datenempfänger zur Respektierung von Geschäftsgeheimnissen mit Vertragsstrafen bei Zuwiderhandlung.
• Vorrangklausel vor Geheimhaltung: Nutzungsrechte des Dateninhabers sollten Standard-Geheimhaltungsklauseln im Kollisionsfall ausdrücklich vorgehen.
• Data Processing Agreements (DPA) mit Cloud und SaaS Anbietern prüfen: Prüfen Sie, ob diese mit den Nutzungseinschränkungen aus Artikel 4 Absatz 13 konform sind.
• Kartellrecht (Artikel 101 AEUV) beachten! Die Datenherausgabe, die einen Informationsaustausch darstellt, kann mit Konkurrenz nach Kartellrecht ein bußgeldbewehrtes Verbot darstellen.

12. Dringende To-Dos

1. Sofortiger Vertrags-Audit: Prüfen Sie alle Allgemeinen Geschäftsbedingungen, Kauf- und Serviceverträge sofort auf Nutzungsrechte und Geheimhaltungsklauseln. Ohne explizite Klauseln haben Dateninhaber seit dem 12. September 2025 de facto keine Nutzungsrechte mehr.
2. Transparenz implementieren: Stellen Sie klare Nutzerinformationen über Daten und Nutzungszwecke inklusive Weitergabe an Dritte bereit.
3. Implementierung von Zustimmungsmechanismen: Nutzen Sie User Account, In-App-Dialoge oder Update-Prozesse für die rechtssichere Einholung der Zustimmung.
4. Nutzungsrechte durch Vertragsupdates sichern: Sichern Sie zukunftsfähige weite Nutzungsrechte über Vertragsänderungen.
5. Veredelungsstrategie umsetzen: Identifizieren Sie alle wichtigen Daten und veredeln Sie diese nachweisbar mit Investitionen.
6. Vertragskette sichern: Stellen Sie die Weitergabe vertraglicher Nutzungsrechte und Beschränkungen in der Vertragskette sicher.
7. Technisches Rechtemanagement und Datenflüsse: Implementieren Sie Rechtemanagement-Systeme für konforme Datenflüsse.

Fortsetzung folgt: Ihr Weg durch die Data-Act-Transformation

Die kommenden Teile dieses Leitfadens beleuchten entscheidende Details und Praxistipps für die erfolgreiche Umsetzung des Data Act.

Teil 3: Unfaire Klauseln behandelt die Erkennung und Anpassung unwirksamer Vertragsbedingungen.

Teil 4: Datenzugangsansprüche gibt Praxistipps zu Access-by-Design, Datenzugang für Nutzer und Herausgabe an Dritte sowie zum Schutz Ihrer wertvollen Assets.

Teil 5: Wechsel von Datenverarbeitungsdiensten präsentiert vertragliche, operative und kommerzielle Lösungen beim Anbieterwechsel.

Bleiben Sie dran!

this post EU Data Act: Praxisleitfaden Teil 2 – Praxistipps zu Datennutzungsverträgen first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Der Data Act verändert die Spielregeln der europäischen Datenwirtschaft und schafft neue Vorgaben für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten. Die Vorgaben gelten branchenübergreifend für zahlreiche Hersteller, Anbieter, Nutzer und Dritte (inklusive Wettbewerber) über viele vernetzte Produkte und digitale Services hinweg.

Dieser fünfteilige Leitfaden zeigt konkret, was jetzt zu tun ist: Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps für Hersteller, Anbieter, Nutzer und Datenempfänger.

Business sichern, Risiken minimieren, Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Gamechanger für vernetzte Produkte und datengetriebene Dienste

Der Data Act, der ab dem 12. September 2025 gültig ist, schafft neue Spielregeln für den Umgang mit Daten und beeinflusst die gesamte digitale Wirtschaft.

Datenzugangsrechte: Der Data Act regelt klar, wer auf welche Daten von vernetzten Produkten und Diensten zugreifen darf.

Datennutzungsbedingungen: Es wird neu festgelegt, wer Daten unter welchen Bedingungen nutzen darf, um Transparenz und Fairness zu gewährleisten.

Wechsel von Diensten: Der Wechsel zwischen Cloud- und Edge-Services wird vereinfacht.

Veränderte Rahmenbedingungen: Die technischen, kommerziellen und rechtlichen Spielregeln werden grundlegend verändert und gesetzlich vorgeschrieben.

Auswirkungen auf nahezu alle Marktteilnehmer: Die Vorgaben gelten für Anbieter, Nutzer und Dritte (inklusive Wettbewerber) über viele vernetzte Produkte und digitale Services hinweg.

2. Data Act: Herausforderung und Chance zugleich

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich. Alle betroffenen Unternehmen sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Produkte, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

Die wichtigsten Termine im Überblick:

• 12.09.2025: Datenzugangsrechte, eingeschränkte Datennutzungsrechte und Missbrauchskontrolle treten in Kraft.
• Einfacherer Wechsel von Cloud/Edge: Regelungen für den Dienstleisterwechsel gelten vom 12.09.2025 bis 12.01.2027.
• Access-by-Design Pflichten ab 12.09.2026: Ab diesem Datum müssen neue Produkte den direkten Datenzugang standardmäßig ermöglichen.

3. Ziele des Data Act

Der Data Act verfolgt mehrere zentrale Ziele, um den Datenmarkt in der EU zu stärken und zu regulieren:

• Einheitliche Vorgaben: Er schafft faire Business-to-Consumer (B2C), Business-to-Business (B2B) und Business-to-Government (B2G) Regelungen für Datenzugang und Datennutzung.
• Faire Vergütung: Die einfachere Datennutzung wird mit einer gerechten Entlohnung des Mehrwerts verbunden.
• Investitionsanreize: Der Act fördert datengestützte Investitionen zur Wertschöpfung.
• Dienstleisterwechsel: Der Wechsel zwischen Cloud- und Edge-Diensten wird erleichtert.
• Interoperabilität: Standards für die Datenweiterverwendung werden entwickelt.
• Gatekeeper-Grenzen: Es werden Beschränkungen für den Datenzugriff durch marktbeherrschende Gatekeeper eingeführt.
• KMU-Vorteile: Kleine und mittlere Unternehmen erhalten vorteilhafte Bedingungen für den Datenzugang.
• B2G Datenaustausch: Der Datenaustausch mit Behörden in Notfällen und Krisen wird geregelt.
• Drittland-Schutz: Es wird Schutz vor unrechtmäßiger Datenübermittlung in Drittländer gewährleistet.

4. Wesentliche Inhalte

Der Data Act regelt umfassend und komplex den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten.

• Die Regelungen enthalten umfassende Datenzugangspflichten und Informationspflichten für Daten von vernetzten Produkten und verbundenen Diensten gemäß Artikel 3 bis 6.
• Es werden zwingende Anforderungen an Datennutzungsverträge, Allgemeine Geschäftsbedingungen (AGB) und Vertragsbestimmungen gestellt (Artikel 4 Nummer 13).
• Zudem gelten Beschränkungen für Datennutzungsrechte von Anbietern, Nutzern und Dritten nach Artikel 4 bis 10.
• Eine Missbrauchskontrolle unfairer, nicht verhandelbarer Vertragsklauseln ist in Artikel 13 vorgesehen.
• Die Vergütungsregelungen für den Datenzugang für Nutzer oder Dritte können kostenlos oder fair und angemessen gestaltet sein, wie in Artikel 8 bis 10 geregelt.
• Schließlich wird die Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten wie Cloud, Edge, Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS) in den Artikeln 23 bis 26 geregelt.

5. Anwendungsbereich – Vernetzte Produkte

Der Data Act erfasst alle vernetzten Produkte und Systeme, die durch Sensoren, Software oder Netzwerkverbindungen bei ihrer bestimmungsgemäßen Nutzung Daten generieren, sammeln oder verarbeiten.

• Dazu gehören vernetzte Fahrzeuge, Flugzeuge, Schiffe und Züge sowie Smart Homes und Consumer Devices.
• Baumaschinen und Baugeräte fallen unter die Regelung, ebenso wie Industriemaschinen, Fertigungsanlagen, Robotik und Automatisierungssysteme.
• Landwirtschaftliche Maschinen sind ebenfalls erfasst, genauso wie medizinische Geräte und Wearables.
• Virtuelle Assistenten und IoT Hubs gehören zum Anwendungsbereich, und im Bereich Energie und Infrastruktur werden Smart Meter, Energiemanagementsysteme und Building Management erfasst.

6. Anwendungsbereich – Verbundene Dienste

Ein verbundener Dienst ist jeder digitale Dienst – einschließlich Software –, der so mit einem vernetzten Produkt verknüpft ist, dass er dessen Funktionen, Verhalten oder Betrieb beeinflusst. Der Dienst kann bereits beim Kauf oder Leasing bestehen oder nachträglich hinzugefügt werden, um Funktionen zu ergänzen oder zu aktualisieren.

1. Kernkriterien: Bidirektionalität Ein wesentliches Merkmal verbundener Dienste ist, dass ein wechselseitiger Datenaustausch zwischen Produkt und Dienst stattfindet.
2. Kernkriterien: Funktionale Relevanz Ohne den Dienst könnte das Produkt eine oder mehrere seiner Funktionen nicht ausführen.

Erfasst:

• Steuerung Dazu gehören beispielsweise Apps zur Fernbedienung wie für Heizung oder Thermostat.
• Optimierung Navigationsdienste, die Routen auf das Fahrzeugdisplay senden, fallen ebenfalls darunter.
• Wartung Remote-Update-Dienste für Firmware, die Funktionen anpassen, sind verbundene Dienste.
• Analyse Fitness-Apps, die Uhrendaten visualisieren und so die Gerätefunktion ergänzen, gehören zum Anwendungsbereich.

NICHT erfasst:

• Reine Info-Anzeige Apps, die Daten nur abrufen, ohne das Gerät zu steuern, fallen nicht unter die Regelung.
• Infrastruktur und Kommunikationsdienste Dienste wie Internetzugang oder Stromversorgung sind ausgenommen.
• Finanzdienste Versicherungen, die Daten nur zur Tarifberechnung nutzen, werden nicht erfasst.

7. Anwendungsbereich – Erfasste Produktdaten

Der Data Act erfasst viele Daten, die während der Nutzung vernetzter Produkte und verbundener Dienste generiert oder gesammelt werden. Die genaue Abgrenzung ist entscheidend für die Anwendung der Zugangs- und Teilungspflichten.

1. Produktdaten (Product Data): Dies sind alle Daten, sowohl personenbezogen als auch nicht-personenbezogen, die durch die Nutzung eines vernetzten Produkts generiert und abrufbar sind.
2. Verbundene Dienstdaten (Related Service Data): Hierzu zählen Daten aus Nutzeraktionen oder Ereignissen, die bei der Bereitstellung eines Online-Dienstes in Verbindung mit einem vernetzten Produkt oder Dienst generiert werden.
3. “Ohne Weiteres verfügbare” Daten: Dies sind Produktdaten und verbundene Dienstdaten, die während des Betriebs durch direkten Abruf vom Produkt oder verbundenen Dienst ohne unverhältnismäßigen Aufwand rechtmäßig gewonnen werden können.

Konkrete Produktdaten

Produktdaten umfassen verschiedene Kategorien von Informationen, die während der Nutzung vernetzter Produkte generiert werden.

• Umgebungs- und Interaktionsdaten: Dies sind Daten zur Umgebung des Produkts oder seiner Interaktionen mit Nutzern und anderen Geräten.
• Sensordaten und Nutzerinteraktionen: Hierzu gehören automatisch generierte Sensordaten und abgeleitete Daten aus Nutzeraktionen.
• Status- und Fehlerdaten: Vom Gerät selbst generierte Informationen über dessen technischen Zustand oder aufgetretene Fehler fallen in diese Kategorie.
• Standortdaten: Geografische Positionsangaben und ähnliche ortsbezogene Informationen werden erfasst.
• Rohdaten und Metadaten: Unverarbeitete Messwerte sowie beschreibende Informationen wie API-Dokumentationen für deren Interpretation gehören zu den Produktdaten.

8. Anwendungsbereich – Nicht erfasste Daten

Der Data Act definiert auch wichtige Ausnahmen, bei denen die Zugangs- und Teilungspflichten nicht greifen.

• Abgeleitete “veredelte” Daten mit Zusatzinvestitionen: Abgeleitete oder derivative Daten, die das Ergebnis zusätzlicher substanzieller Investitionen sind, genießen besonderen Schutz. Dateninhaber sind nicht verpflichtet, solche durch erheblichen zusätzlichen Aufwand gewonnenen Daten zu teilen.
• Content-Daten: Daten, die während der Nutzung von Content generiert werden – etwa beim Aufzeichnen, Übertragen, Anzeigen oder Abspielen von Inhalten – fallen nicht unter die Datenteilungspflichten.
• Daten im Auftrag Dritter: Daten, die von vernetzten Produkten oder verbundenen Diensten im Auftrag Dritter (nicht des Nutzers) zur Speicherung oder Verarbeitung auf Servern oder in der Cloud abgerufen, generiert, darauf zugegriffen oder dorthin übertragen werden, sind ausgenommen.
• Test- und Entwicklungsdaten: Daten aus Tests neuer Produkte oder Verfahren, die noch nicht auf dem Markt platziert sind (Artikel 5 Absatz 2 des Data Act), sind vom Anwendungsbereich ausgenommen.

9. Anwendungsbereich – Adressaten der Regelungen

Der Data Act definiert verschiedene Akteure und ordnet ihnen spezifische Rechte und Pflichten zu. Das Verständnis dieser Rollen ist fundamental für die Erfüllung der Anforderungen und die Gestaltung von Verträgen und Geschäftsprozessen.

1. Hersteller und Anbieter: Dies sind Unternehmen, die vernetzte Produkte herstellen, vertreiben oder verbundene Dienste anbieten. Sie tragen die Hauptverantwortung für die Implementierung der Datenzugangspflichten.
2. Nutzer: Natürliche oder juristische Personen, die vernetzte Produkte erwerben, mieten oder nutzen, erhalten umfassende Rechte auf Zugang zu den durch die Nutzung generierten Daten.
3. Dateninhaber: Jede Partei, die rechtmäßigen Zugang zu Daten hat und technisch in der Lage ist, diese Daten bereitzustellen, wird als Dateninhaber bezeichnet – typischerweise Hersteller, Verkäufer, Anbieter oder Service-Provider.
4. Datenempfänger: Dritte Parteien, die vom Nutzer autorisiert werden, Zugang zu den Produktdaten zu erhalten, etwa für Wartung, Reparatur oder die Entwicklung komplementärer Dienste.

10. Der Nutzer – Rechteinhaber

Der Begriff des “Nutzers” ist weit gefasst und umfasst alle Personen oder Organisationen, die ein vernetztes Produkt oder einen verbundenen Dienst auf Grundlage einer rechtlichen Beziehung verwenden.

• Käufer (Eigentümer): Personen oder Unternehmen, die ein vernetztes Produkt erworben haben und dessen Eigentümer sind.
• Mieter (Pächter): Parteien, die ein Produkt im Rahmen eines Mietvertrags nutzen und während der Mietdauer Zugangsrechte besitzen.
• Leasingnehmer: Unternehmen oder Privatpersonen, die Produkte im Rahmen von Leasingvereinbarungen nutzen.
• Lizenznehmer: Nutzer, die auf Basis von Softwarelizenzen oder Nutzungsrechten Zugang zu vernetzten Diensten haben.
• Dienstleistungsempfänger: Kunden, die Cloud-Services, Software-as-a-Service-Lösungen oder andere vernetzte Dienste in Anspruch nehmen.

11. Der Dateninhaber – Verpflichteter zur Datenbereitstellung

Der Dateninhaber trägt die zentrale Verantwortung für die Umsetzung der Datenzugangspflichten. Dateninhaber sind verschiedene Akteure in der Wertschöpfungskette, die faktischen oder rechtlichen Zugang zu den Produktdaten haben und diese technisch bereitstellen können.

• Hersteller: Produzenten vernetzter Produkte, die über Backend-Systeme direkten Zugang zu den Nutzungsdaten haben.
• Verkäufer: Vertriebspartner, die im Rahmen ihrer Geschäftstätigkeit Zugang zu Produktdaten erhalten oder verwalten.
• Lizenzgeber: Anbieter von Software und Plattformen, die die Datengenerierung und -speicherung technisch ermöglichen.
• Leasinggeber: Unternehmen, die vernetzte Produkte verleasen und dabei als Datenintermediäre fungieren.
• Service-Provider: Cloud-Dienste und Plattformbetreiber, die Daten im Auftrag von Herstellern oder Nutzern verarbeiten und speichern.

12. Komplexe Rollen: Das Automobil-Leasing-Beispiel

Wer als Nutzer (User), Dateninhaber (Data Holder) oder Datenempfänger gilt, ist in der Praxis hochkomplex. Ein Unternehmen kann gleichzeitig mehrere Rollen innehaben und je nach Konstellation unterschiedliche Rechte und Pflichten haben.

• Fahrzeughersteller: Seine Rolle ist die des Dateninhabers für technische Fahrzeugdaten, da er die Datenerfassung und Backend-Systeme kontrolliert.
• Leasinggesellschaft: Sie hat eine Doppelrolle: Sowohl Nutzer (als Eigentümerin mit Datenzugangsrechten gegenüber Hersteller) als auch Dateninhaber (für eigene Flottenmanagementdaten) mit Herausgabepflicht an Nutzer oder Dritte Datenempfänger.
• Leasingnehmer: Seine Rolle ist die des Users mit eigenständigen Datenzugangsrechten, obwohl ihm nur temporäre Nutzungsrechte vertraglich übertragen wurden.
• Familienangehörige: Ihre Rolle ist ungeklärt: Sind Ehepartner oder andere Familienangehörige, die das Fahrzeug faktisch nutzen, ebenfalls User mit eigenen Datenzugangsrechten?
• Dritte (Versicherungen, Werkstätten): Ihre Rolle ist die potenzieller Datenempfänger, die auf Verlangen des Nutzers Datenzugang verlangen können.

13. Datenzugangspflichten: Der Überblick

Der Data Act unterscheidet drei zentrale Datenzugangskonzepte, die jeweils unterschiedliche Rechte und Pflichten mit sich bringen:

1. Datenzugang für Nutzer: Der Nutzer muss ab dem 12. September 2026 direkten, kostenlosen und kontinuierlichen Zugang zu Daten auf Gerät oder Dienst haben (Access-by-Design) oder auf Anfrage Zugang erhalten.
2. Datenzugang für Dritte (Datenempfänger): Der Nutzer kann verlangen, dass der Dateninhaber die Daten an Dritte weitergibt – auch an Wettbewerber des Dateninhabers. Dies ermöglicht neue Geschäftsmodelle, birgt jedoch auch erhebliche Risiken.
3. Datenzugang für Behörden: Bei öffentlichem Interesse, in Notfällen und Krisensituationen wie Naturkatastrophen oder Pandemien können Behörden die unentgeltliche Herausgabe bestimmter nicht-personenbezogener Daten verlangen.

14. Datenzugang für Nutzer und Dritte – Varianten

Der Data Act verpflichtet zu drei Varianten des Datenzugangs, die unterschiedliche Anforderungen und Verpflichtungen mit sich bringen.

1. Direkte Zugänglichkeit durch Design – “Access-by-Design” (Artikel 3): Nutzer müssen standardmäßig direkten Zugang zu Daten auf vernetzten Geräten oder verbundenen Diensten haben. Erfasste Daten sind Produktdaten und verbundene Dienstdaten.
2. Zugang für Nutzer auf Anfrage (Artikel 4): Der Dateninhaber muss Daten auf Anfrage des Nutzers zur Verfügung stellen. Erfasste Daten sind “ohne Weiteres verfügbare” Produktdaten und “ohne Weiteres verfügbare” verbundene Dienstdaten.
3. Zugang für Dritte auf Anfrage des Nutzers (Artikel 5, 6): Der Dateninhaber muss Daten auf Anfrage des Nutzers an Dritte (Datenempfänger) zur Verfügung stellen. Erfasste Daten sind “ohne Weiteres verfügbare” Produktdaten.

15. Sanktionen bei Verstößen

Bei Verstößen gegen den Data Act können empfindliche Bußgelder verhängt werden. Die EU-Mitgliedstaaten legen die konkreten Sanktionen fest, die jedoch wirksam, verhältnismäßig und abschreckend sein müssen.

• Deutschland: In Deutschland können Bußgelder bis zu 500.000 Euro verhängt werden.
• Gatekeeper (DMA): Für Gatekeeper im Sinne des Digital Markets Act können Bußgelder bis zu 4 Prozent des EU-Jahresumsatzes festgesetzt werden.
• Europäische Bußgelder: Auf europäischer Ebene sind Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich.

16. Zeitplan und Umsetzung

• 12.09.2025: Ab diesem Datum gelten Datenzugangsrechte, eingeschränkte Datennutzungsrechte und Missbrauchskontrolle bereits.
• 12.09.2026: Access-by-Design wird verpflichtend. Alle neuen Produkte müssen konform sein.
• Laufend: Informationspflichten, Herausgabepflichten und Schutzmaßnahmen müssen umgesetzt werden.

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich. Alle betroffenen Unternehmen sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Produkte, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

Fortsetzung folgt: Ihr Weg durch die Data-Act-Transformation

Die kommenden Teile dieses Leitfadens beleuchten entscheidende Details und Praxistipps für die erfolgreiche Umsetzung des Data Act.

Teil 2: Datennutzungsverträge bietet einen Leitfaden zur rechtssicheren Gestaltung von Datennutzungsverträgen.

Teil 3: Unfaire Klauseln behandelt die Erkennung und Anpassung unwirksamer Vertragsbedingungen.

Teil 4: Datenzugangsansprüche gibt Praxistipps zu Access-by-Design, Datenzugang für Nutzer und Herausgabe an Dritte sowie zum Schutz Ihrer wertvollen Assets.

Teil 5: Wechsel von Datenverarbeitungsdiensten präsentiert vertragliche, operative und kommerzielle Lösungen beim Anbieterwechsel.

Bleiben Sie dran!

this post EU Data Act: Praxisleitfaden Teil 1 – Überblick und Wesentliche Inhalte first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Neue Bedrohungen, neue Regulierung, neue Standards, neue Maßnahmen

Die IT-Sicherheitslandschaft durchlebt einen fundamentalen Wandel bei steigenden Bedrohungen:

KI-gestützte Cyberangriffe erreichen neue Komplexitätsstufen, während verschärfte Regularien wie NIS2, DORA und AI Act die Einhaltung des “Stands der Technik” verbindlich vorschreiben und zusätzliche Risiken schaffen.

Cybercrime-Fälle steigen europaweit um 25% mit Schäden über 180 Mrd. Euro, Ransomware wird zur dominierenden Bedrohung und ENISA warnt vor “KI-Missbrauch für Cyber-Angriffe”.

Die systematische Umsetzung nötiger Abwehrmaßnahmen im Einklang mit NIS2 und ISO-Normen wird geschäftskritisch – ISMS müssen um KI-Sicherheitsstandards erweitert und an die neue Bedrohungslage angepasst werden. Dies hat unmittelbare Auswirkungen auf Audits und Zertifizierungsprozesse.

Während Regulierung und Verträge “angemessene Maßnahmen” und „Stand der Technik“ fordern, bleibt die konkrete praktische Umsetzung oft unklar.

In diesem Video zeigen wir:

✅ Wie KI die Bedrohungslandschaft verändert
✅ Welche neuen Abwehrmaßnahmen zur Umsetzung der NIS2 Anforderungen nutzbar sind

✅ Hilfreiche praxisrelevante Maßnahmen aus der aktualisierten IT Security Association Germany (TeleTrusT)-Handreichung
✅ Den 7-stufigen Verteidigungsprozess gegen Ransomware
✅ Auswirkungen auf ISMS-Anpassungen und ISO Zertifizierungen

Wir bieten die gesetzlich vorgeschriebenen NIS2 Geschäftsleitungsschulungen nach § 38 BSIG an.

• Gesetzlich fundiert & nachweisbar.
• Sofort und 24/7 flexibel abrufbar.
• Flexibel in 8-10 Kapiteln mit 3-4h Inhalt
• Erfüllt die wesentlichen Anforderungen nach § 38 BSIG
• Teilnahmezertifikat als Offizieller Nachweis für Ihre Compliance
• Erstellt und präsentiert von erfahrenen InfoSec Experten, Rechtsanwälten & ISO 27001 Lead Auditoren

Jetzt NIS2 Geschäftsleitungsschulung buchen:

Weitere Informationen zu NIS2 finden Sie hier:

Brauchen Sie Unterstützung: Sprechen Sie uns direkt an – unverbindlich und vertraulich:

this post NIS2 & IT-Sicherheit first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

NIS2 & BSIG: 30.000 Unternehmen müssen handeln!

Seit dem 6. Dezember 2025 gilt das neue BSI-Gesetz.

Die wichtigsten Fakten:

– Erweiterter Anwendungsbereich auf ~30.000 Unternehmen

– Betroffenheitsprüfung & Registrierung bis 5. März 2026

– 10-Punkte-Mindestkatalog an IT-Sicherheitsmaßnahmen

– Verschärfte Meldepflichten bei Sicherheitsvorfällen

– Persönliche Verantwortung und Haftung der Geschäftsführung

Für betroffene Unternehmen besteht dringender Handlungsbedarf.

Unser NIS2 Praxisleitfaden zeigt Ihnen Schritt für Schritt, was zu tun ist:

Von der Betroffenheitsprüfung über die Registrierung, Incidence Response Plan und Disaster Recovery bis zur strategischen ISMS-Implementierung.

And, one more thing….:

Wir bieten die gesetzlich vorgeschriebenen NIS2 Geschäftsleitungsschulungen nach § 38 BSIG an.

• Gesetzlich fundiert & nachweisbar.
• Sofort und 24/7 flexibel abrufbar.
• Flexibel in 8-10 Kapiteln mit 3-4h Inhalt
• Erfüllt die wesentlichen Anforderungen nach § 38 BSIG
• Teilnahmezertifikat als Offizieller Nachweis für Ihre Compliance
• Erstellt und präsentiert von erfahrenen InfoSec Experten, Rechtsanwälten & ISO 27001 Lead Auditoren

Jetzt NIS2 Geschäftsleitungsschulung buchen:

Weitere Informationen zu NIS2 finden Sie hier:

Brauchen Sie Unterstützung: Sprechen Sie uns direkt an – unverbindlich und vertraulich:

this post NIS2 & BSIG: Praxistipps für Sofortmaßnahmen first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by

Der EU AI Act verlangt von Unternehmen systematische Governance-Strukturen für den rechtskonformen Umgang mit Künstlicher Intelligenz.

Doch wo fängt man an? Wie kann man diese komplexen Anforderungen praktisch umsetzen, ohne den Geschäftsbetrieb lahmzulegen?

ISO 42001 ist der erste internationale Standard für KI-Management-Systeme und übersetzt viele abstrakte AI-Act-Anforderungen in 38 konkrete Kontrollen – eine praxiserprobte Blaupause, die Ihnen hilft:

• Bestehende Strukturen kosteneffizient zu nutzen, statt vieles neu aufzubauen
• Konkrete Maßnahmen, statt abstraktes Compliance-Gerede umzusetzen
• Vertrauen bei Kunden, Partnern und Aufsichtsbehörden aufzubauen
• Ihre KI-Governance durch regelmäßige Selbstbewertung und interne Reviews kontinuierlich zu verbessern

In diesem Beitrag zeigen wir Ihnen, wie Sie die Struktur der ISO 42001 nutzen, um den AI-Act pragmatisch zu erfüllen – mit unserer Muster-Richtlinie effizient umsetzbar. Dieser integrative Ansatz spart nicht nur Zeit, sondern reduziert Ihre KI-Compliance Kosten erheblich.

1. Die smarte Integration: Nutzen Sie, was Sie bereits haben

Viele Unternehmen haben bereits Managementsysteme für Informationssicherheit (ISO 27001) oder Datenschutz etabliert.

ISO 42001 lässt sich hervorragend in diese bestehenden Strukturen integrieren und ergänzt sie um KI-spezifische Aspekte.

Praktische Synergien mit der DSGVO

DSGVO und AI-Act überschneiden sich in vielen Bereichen – nutzen Sie die Synergien aus Ihrem Datenschutzmanagement für effiziente KI-Compliance:

Rechtmäßigkeit & Transparenz: DSGVO und AI-Act fordern beide transparente Verarbeitung/Nutzung unter Erlaubnisvorbehalt und Nachweise für Konformität– die DSGVO für Datenverarbeitung, der AI-Act für KI-Systeme.

Rechenschaftspflicht & Dokumentation: Erweitern Sie Ihr Verarbeitungsverzeichnis nach der DSGVO um KI-Systeme – die Dokumentationspflichten ähneln sich stark.

Zweckbindung: Jede Zweck- und Nutzungsänderung erfordert nach beiden Regelwerken eine neue Risikobewertung.

Integrität & Vertraulichkeit: Die Anforderungen des AI-Act an Robustheit und Sicherheit erfordern KI-spezifische technische und organisatorische Maßnahmen die über die DSGVO-Anforderungen hinausgehen aber darauf basieren.

Datenqualität & Fairness: DSGVO-Vorgaben zu Richtigkeit und Diskriminierungsschutz korrespondieren mit AI-Act-Anforderungen an relevante, repräsentative, fehlerfreie und bias-freie Daten sowie Einschränkungen automatisierter Entscheidungen.

Risikobewertung: Datenschutz-Folgenabschätzungen (DSFA) bilden die Basis für die vielleicht erforderliche Grundrechte-Folgenabschätzung (GFA).

Incident Management: Ein Prozess sollte Datenschutz- und KI-Vorfälle abdecken können.

2. Gehen Sie ressourcenschonend vor: Vorhandene Rollen erweitern statt neue schaffen.

Statt neue Stellen zu schaffen, ist es effizienter, ihre etablierten Abteilungen, Teams und Prozesse gezielt zu erweitern.

Verantwortung der Geschäftsführung
Die Geschäftsführung trägt dabei die Gesamtverantwortung für regelkonformen KI-Einsatz. Sie stellt Ressourcen bereit, definiert die Risikostrategie, trifft Freigabe-Entscheidungen (oder delegiert diese) und prüft die KI-Strategie regelmäßig im Management-Review.

Die abteilungsübergreifende “Task Force” für KI-Compliance

Spezifische Fachabteilungen müssen KI-Aspekte in ihre bestehenden Aufgaben, Zuständigkeiten, Prozesse und Maßnahmen integrieren:

• Compliance, Recht & Risikomanagement: KI-Klassifizierung, Risikobewertung, rechtliche Überwachung und Beratung
• IT- & IT- Sicherheit: Erweiterung der Sicherheitskonzepte um KI-spezifische Bedrohungen:
  • Schutz vor Adversarial Attacks, Model Poisoning und Prompt Injection
  • Absicherung von API-Zugriffen und Authentifizierung
  • Sichere Datenhaltung (Opt-Out-Konfigurationen, Verschlüsselung)
  • Zugriffskontrollen und Berechtigungsmanagement für KI-Systeme
  • Monitoring von KI-Logs und Anomalie-Erkennung
  • Incident Response bei KI-spezifischen Sicherheitsvorfällen
• Datenschutz: Unterstützung bei spezifischen Anforderungen (z. B. DSFA für KI).
• Audit / Kontrolle: Integration von KI-Systemen in interne Prüfpläne und Dokumentation
• HR & Betriebsrat: Beteiligung bei mitarbeiterrelevanten KI-Systemen (Mitbestimmung, Transparenz)

Fachabteilungen (Systemverantwortliche)
Für jedes KI-System wird ein fachlicher Systemverantwortlicher als “Kümmerer” benannt: Er führt das initiale Prüfung jedes KI-Systems durch, koordiniert Bewertungen über den Lebenszyklus des KI-Systems, stellt Einhaltung interner Richtlinien / Policies sicher und berichtet an Stakeholder.

3. Machen Sie bestehende Prozesse ‘KI-fit’:

Nutzen Sie die 38 ISO 42001-Kontrollen als Blaupause, um Ihre etablierten Systeme wie z.B. das Datenschutzmanagementsystem punktuell um die nötigen KI-Aspekte zu ergänzen:

1) Governance & Strategie – Hier verankern Sie die folgenden Grundsätze:

• Zentrales KI-Inventar:
  • Erweitern Sie Ihre Software-Liste um ein einfaches Register für KI-Anwendungen (Status, Verantwortlicher, Risikoklasse). Das verhindert Schatten-IT und schafft Übersicht.
• Risikomanagement:
  • Erweitern Sie bestehende Frameworks um spezifische KI-Risiken wie Halluzinationen, Diskriminierung oder operative Risiken wie Anbieterabhängigkeit (Vendor Lock-in).
• Ethischer Wertekompass:
  • Definieren Sie Qualitätsprinzipien wie Fairness, Nicht-Diskriminierung und Transparenz als verbindliche Leitlinie.
• Schulungen:
  • Ergänzen Sie Datenschutz und IT-Sicherheitsschulungen um Module zu “KI-Kompetenz” und “Verantwortungsvolle Nutzung”.

2) Der Freigabeprozess für KI-Systeme (vor der Einführung)

Erweitern Sie Ihren Software-Beschaffungsprozess um folgende KI-Prüfpunkte:

• Der “Red-Flag”-Check: Prüfen Sie zuerst, ob es sich um eine verbotene Anwendung nach Art. 5 AI-Act handelt (z. B. Emotionserkennung am Arbeitsplatz oder Social Scoring). Das stoppt unzulässige Projekte sofort und spart Prüfaufwand.
• Risikoeinstufung: Führen Sie eine Kategorisierung nach den AI-Act Risikoklassen durch (minimal, begrenzt, hoch, unzulässig).
• Daten-Check: Prüfung von Datenqualität und -herkunft (Data Lineage).
• Transparenz: Sicherstellung der Dokumentationspflichten vor Inbetriebnahme.
• Operative Kontrollen (Im laufenden Betrieb)

3) Kontinuierliches Monitoring

Der “Go-Live” es KI-Systemes ist nur der Anfang der Compliance Maßnahmen über den gesamten KI-Lifecycle. Passen Sie Ihre IT- und Arbeitsrichtlinien an den Alltag mit KI an:

• Nutzungskontrolle & Oversight:
  • Human Oversight, Kennzeichnung, Zweckbindung – KI-Systeme nur für genehmigte Zwecke und mit menschlicher Prüfung.
• Zugriffsmanagement:
  • Berechtigungskonzepte, Opt-Out-Konfigurationen gegen ungewollte Datennutzung.
• Qualitätssicherung:
  • Monitoring von Performance, Model Drift und Systemänderungen/Updates.
• Datenschutz & Compliance:
  • Schutz von Geschäftsgeheimnissen und personenbezogenen Daten.
• Incident Management:
  • Prozesse für Sicherheitsvorfälle, Datenpannen und qualitative Mängel (z. B. Halluzinationen).
• Lifecycle- Management und Business Continuity:
  • Fallback-Prozesse für kritische Systeme, sauberes Offboarding mit Datenlöschung und API-Entzug.
• Archivierung:
  • KI-Logs gemäß Aufbewahrungsrichtlinien (z. B. 3 Jahre für Hochrisiko-Systeme).
• Externe Transparenz:
  • Kennzeichnung KI-generierter Inhalte.

4. Ihre nächsten Schritte für eine effiziente Sofort-Lösung

Etablieren Sie eine unternehmensinterne KI-Richtlinie. Sie minimiert Risiken, erfüllt gesetzliche Vorgaben und schafft Klarheit für alle Anwender.

Nutzen Sie dafür unsere Muster-KI-Richtlinie: mailto:info@pri-com.de?subject=Muster-KI-Richtlinie%20anfordern

ISO 42001 ist Teil unseres ganzheitlichen KI-Compliance-Ansatzes. Wir unterstützen Sie dabei – pragmatisch, zielgerichtet und angepasst an Ihre spezifischen Bedürfnisse.

this post ISO 42001 & Muster KI-Richtlinie: Ihr Kompass durch den EU AI-Act – Pragmatisch und effizient first appeared on PRICOM - Pragmatische Experten für Datenschutz, Compliance & KI and is written by