Skip to main content
September 03, 2025 GT Alert

Erforderliche Maßnahmen für Hersteller vernetzter Geräte: Herausforderungen im Rahmen des EU-Data Acts

Beteiligte Anwälte
Dr. Viola Bensinger Dr. Paul Dürr
Expertise
Datenschutz und Cybersicherheit Technologie, Medien und Telekommunikation
Büros
Berlin ¬ München ¬

Der EU-Data Act (Verordnung (EU) 2023/2854) ist ab dem 12. September 2025 anwendbar. Sie führt ein nutzerzentriertes Regelwerk für den Zugang zu und die Weitergabe von sowohl personenbezogenen als auch nicht-personenbezogenen Daten ein, die durch vernetzte Produkte erzeugt werden – mit tiefgreifenden Auswirkungen darauf, wie „Dateninhaber“ Produkte gestalten, Verträge strukturieren und Daten monetarisieren. Der Data Act verlagert die Kontrolle über die Daten auf den Nutzer, einschließlich des Rechts zur Nutzung und Kommerzialisierung nicht-personenbezogener Daten. Dies stellt einen Paradigmenwechsel im EU-Datenrecht dar, mit weitreichenden Folgen für alle Wirtschaftssektoren.

Weitreichender Anwendungsbereich

  • Sachlicher Anwendungsbereich: Die neuen Vorschriften in Kapitel II gelten für Daten, die durch „vernetzte Produkte“ erzeugt werden. Dazu zählen praktisch alle IoT-Geräte, die Daten erfassen und übermitteln (z. B. Smart-Home-Geräte, vernetzte Fahrzeuge, industrielle Maschinen und tragbare Geräte). Die Verpflichtungen erstrecken sich auch auf „verbundene Dienste“, also digitale Dienste, die für die Funktion des Produkts erforderlich sind (z. B. mobile Anwendungen zur Fernsteuerung eines Geräts oder cloudbasierte Analyseplattformen). Es ist jedoch zu beachten, dass sich die Verpflichtungen auf die durch vernetzte Produkte und verbundene Dienste erzeugten Rohdaten und zugehörige Metadaten beziehen – nicht jedoch auf aus diesen Daten abgeleitete Informationen.
  • Persönlicher Anwendungsbereich: Der Data Act regelt das Verhältnis zwischen Nutzern vernetzter Produkte (in der Regel der Eigentümer des Produkts) und dem jeweiligen „Dateninhaber“, also der Stelle, die den Zugang zu den Daten kontrolliert. In vielen IoT-Ökosystemen wird der Hersteller des Produkts als Dateninhaber qualifizierbar sein.
  • Räumlicher Anwendungsbereich: Der Data Act hat eine extraterritoriale Wirkung. Sie gilt für Hersteller und Anbieter, die vernetzte Produkte oder verbundene Dienste auf dem EU-Markt bereitstellen – unabhängig von ihrem Niederlassungsort.

Neu: Die Nutzung von Daten durch Hersteller (oder andere Dateninhaber) erfordert eine Datenlizenz vom Nutzer

Das nutzerzentrierte Regelwerk für den Zugang zu und die Weitergabe von Daten, das durch den Data Act eingeführt wird, ist nicht nur eine Compliance-Herausforderung. Es kann bestehende und zukünftige Geschäftsmodelle von Dateninhabern grundlegend verändern. Gemäß Artikel 4 Absatz 13 dürfen Dateninhaber (d. h. Hersteller vernetzter Produkte und andere Dateninhaber) die durch das Produkt erzeugten Daten nicht ohne eine vertragliche Vereinbarung mit dem Nutzer („Datenlizenz“) verwenden oder weitergeben. Dies gilt sowohl für personenbezogene als auch für nicht-personenbezogene Daten und überträgt das Recht zur Kommerzialisierung nicht-personenbezogener Daten effektiv auf den Nutzer – ein bedeutender Wandel gegenüber dem bisherigen Standard, bei dem Hersteller Produktdaten frei verwerten konnten.

Aus operativer Sicht erfordern die neuen Vorschriften des Data Acts, dass Hersteller und andere Dateninhaber Datenlizenzvereinbarungen mit den Nutzern ihrer vernetzten Produkte abschließen, wenn sie Daten nutzen möchten, die durch diese Produkte erzeugt werden – selbst wenn dies lediglich der Wartung, der Entwicklung neuer Funktionen oder der Innovation dient. Darüber hinaus müssen Dateninhaber die Anforderungen von Kapitel IV des Data Acts erfüllen, die Vorschriften zu missbräuchlichen Vertragsklauseln in B2B-Vereinbarungen enthält (wenn Nutzer Verbraucher sind, gelten ohnehin die EU- und nationalen Vorschriften für B2C-Verträge). Diese Bestimmungen sollen Klauseln verhindern, die einseitig von einer Partei auferlegt werden und erheblich von der guten Geschäftspraxis abweichen – im Geiste vergleichbar mit Verbraucherschutzregeln.

Neu: Rechte der Nutzer auf Erhalt und Weitergabe von Produktdaten

Der EU-Data Act gewährt Nutzern vernetzter Produkte und verbundener Dienste effektive Rechte auf Zugang zu den durch die Nutzung der vernetzten Produkte erzeugten Daten. Zu den wichtigsten Rechten gehören:

  • Access by Design und vorvertragliche Transparenz (Art. 3): Vernetzte Produkte und verbundene Dienste müssen so gestaltet sein, dass Daten standardmäßig leicht und sicher zugänglich sind. Nutzer müssen zudem vorab über Art, Format und Umfang der erzeugten Daten sowie über die Zugriffsmöglichkeiten informiert werden.
  • Zugangs- und Nutzungsrecht (Art. 4): Wenn Daten nicht direkt über das Produkt oder den Dienst zugänglich sind, muss der Dateninhaber sie dem Nutzer kostenlos, umfassend, strukturiert, maschinenlesbar, kontinuierlich und in Echtzeit zur Verfügung stellen.
  • Recht auf Weitergabe an Dritte (Art. 5): Auf Anfrage des Nutzers (oder einer in seinem Namen handelnden Partei) muss der Dateninhaber die Daten an eine benannte Drittpartei unter denselben technischen Bedingungen wie gegenüber dem Nutzer übermitteln.

Wettbewerbliche Exponierung

Die Verpflichtung zur Weitergabe von Daten an Nutzer und von ihnen benannte Dritte stellt für Hersteller und Anbieter ein erhebliches Wettbewerbsrisiko dar. Nutzer dürfen die Daten nicht nur verwenden, sondern werden ausdrücklich dazu ermutigt, sie zu kommerzialisieren – auch durch die Gewährung von Zugang für Wettbewerber des Dateninhabers. Der Data Act führt bestimmte Schutzmaßnahmen ein, um dieses Risiko zu begrenzen:

  • „Gatekeeper“ im Sinne der Verordnung über digitale Märkte (Digital Markets Act) sind nicht berechtigt, Daten zu erhalten.
  • Datenempfänger dürfen die Daten nicht zur Entwicklung konkurrierender Produkte verwenden
  • Nutzer und Dritte sind verpflichtet, Geschäftsgeheimnisse zu schützen und Maßnahmen zur Wahrung der Vertraulichkeit der weitergegebenen Daten zu vereinbaren.

Es ist jedoch fraglich, ob diese Maßnahmen ausreichen, um den Missbrauch geschäftskritischer Informationen zu verhindern. Innerhalb enger rechtlicher Grenzen können Dateninhaber mit Nutzern Vereinbarungen über Einschränkungen des Zugangs oder der Weitergabe von Daten treffen – solche Vereinbarungen müssen jedoch den strengen Vorgaben des Data Acts entsprechen.

Sanktionen

Zur Durchsetzung des Regelwerks des Data Acts können zuständige Aufsichtsbehörden wirksame, verhältnismäßige und abschreckende Sanktionen verhängen. Für Verstöße gegen Kapitel II des Data Acts gilt das Sanktionsregime der Datenschutz-Grundverordnung (DSGVO), das Bußgelder von bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, je nachdem, welcher Betrag höher ist.

Wichtige Erkenntnisse für Dateninhaber

Die Vorschriften für vernetzte Produkte sind nicht nur eine weitere Compliance-Herausforderung. Sie stellen einen strategischen Wandel in der  Art und Weise dar, wie Produktdaten verwaltet und monetarisiert werden. In einem KI-getriebenen Markt, in dem Daten Produktverbesserungen, After-Sales-Services und Innovationen antreiben, halten Nutzer nun die primären Rechte an Produktdaten. Dateninhaber, die frühzeitig handeln – durch Änderungen im Produktdesign, klare Nutzerlizenzierung, robuste Empfängersteuerung und disziplinierte Vertragsgestaltung – können rechtliche und wettbewerbliche Risiken mindern und sich positionieren, um von entstehenden Datenweitergabe-Ökosystemen zu profitieren.

  • Anwendbarkeit und Exponierung bewerten: Produkte/Dienste anhand der Definitionen (vernetzte Produkte, verbundene Dienste, Nutzer, Dateninhaber) abgleichen; territorialen Bezug bestätigen (Bereitstellung auf dem EU-Markt; Datenverfügbarkeit in der EU); strukturierte Gap-Analyse über rechtliche, operative und produktbezogene Workstreams durchführen.
  • Nutzungsrechte überdenken: Einführung von Nutzerdatenlizenzen zur Sicherstellung der Erlaubnis zur Nutzung nicht-personenbezogener Daten; Vermeidung von Klauseln, die gemäß Artikel 7 Absatz 2 und Artikel 13 des Data Acts als missbräuchlich eingestuft werden könnten.
  • Modellvertragsbedingungen der EU-Kommission: Die Expertengruppe der EU-Kommission hat unverbindliche Modellvertragsbedingungen („Model Contractual Terms“, MCT) für typische Datenweitergabekonstellationen veröffentlicht. Auch wenn diese MCT keinen rechtlichen Status haben und nicht bindend sind, ist davon auszugehen, dass Nutzer sie als Standard ansehen und jede Datenlizenz daran messen werden. Die MCT sind jedoch von ihrer Konzeption her nutzerfreundlich ausgestaltet, entsprechen in vielen Teilen nicht dem branchenüblichen Vertragsstandard und gehen über die gesetzlichen Anforderungen hinaus. Sie sollten daher sorgfältig geprüft und an die rechtlichen Verpflichtungen sowie die wirtschaftlichen Zielsetzungen Ihrer Organisation angepasst werden.
  • Neugestaltung für Datenzugänglichkeit und Transparenz: Planung für „Access by Design“-Compliance für ab dem 12. September 2026 bereitgestellte Einheiten; Entwicklung von APIs/Schnittstellen für Echtzeit-Zugriff durch Nutzer und Dritte; Aktualisierung vorvertraglicher Informationen (Art/Format/Volumen der Daten; Zugriffsmöglichkeiten)

 

Anhang
Vielleicht interessiert Sie auch:
November 12, 2025 - November 14, 2025 Event
2025 Privacy + Security Forum Fall Academy
Washington, D.C., United States
September 24, 2025, 2:00 PM - 3:00 PM ET Event
Waves, Trends, and Micro-Trends in Privacy Litigation (Q3)
September 17, 2025, 9:00 AM - 10:00 AM PT Event
Privacy Executives Network: Implementing CPPA’s Final ADMT, Risk Assessment, and Cybersecurity Audit Rules: Challenges and Strategies