Skip to main content

Die Europäische Kommission hat im Rahmen ihres „Digital Omnibus“-Gesetzespakets wesentliche Änderungen an der Verordnung (EU) 2023/2854 – besser bekannt als „Data Act“ – vorgeschlagen. Der konsolidierte Kompromisstext des EU-Rates, der noch Gegenstand weiterer Verhandlungen ist und sich im Laufe des Gesetzgebungsverfahrens noch ändern kann, betrifft vorerst einige der wirtschaftlich sensibelsten Bereiche des Data Acts: den Datenaustausch zwischen privaten Parteien und mit Behörden, den Wechsel des Cloud-Anbieters ("Cloud-Switching") sowie die Weiterverwendung von Daten des öffentlichen Sektors. Allerdings lässt das „Digital Omnibus“-Paket in mehreren Punkten, in denen Unternehmen und Stakeholder Änderungen oder zumindest Klarstellungen gefordert hatten, die dem „Data Act“ zugrunde liegenden Unsicherheiten unberücksichtigt.

Fünf Entwicklungen sind dabei als besonders bedeutsam hervorzuheben:

  1. Cloud-Dienstleister, die den Verpflichtungen zum Cloud-Switching unterliegen, würden ausdrückliche gesetzliche Klarheit hinsichtlich der Zulässigkeit von Sanktionen bei vorzeitiger Kündigung bei befristeten Verträgen erhalten.
  2. KMU und kleine Mid-Cap-Anbieter von Cloud-Diensten würden von wirksamen Bestandsschutzregelungen für Verträge profitieren, die vor dem 12. September 2025 abgeschlossen wurden, was eine vorübergehende Befreiung von den Verpflichtungen zum Cloud-Switching bieten würde.
  3. Hersteller und andere Personen, die Daten von vernetzten Produkten erhalten (Dateninhaber), würden stärkere (und leichter geltend machbare) Rechte erhalten, um Anträge auf Datenzugang abzulehnen, wenn die Offenlegung die Gefahr birgt, dass Geschäftsgeheimnisse an Stellen in Drittländern mit unzureichendem Rechtsschutz preisgegeben werden.
  4. Die Regelung zum Zugriff öffentlicher Stellen auf Daten aus vernetzten Produkten wird neu strukturiert: Der weit gefasste Rahmen der „außergewöhnlichen Notwendigkeit“ würde durch eine engere Regelung ersetzt, die fast ausschließlich an echte öffentliche Notstände geknüpft ist, wodurch das Risiko unerwünschter Datenanfragen seitens der Regierung potenziell erheblich verringert würde.
  5. Bestimmungen, die eng mit denen des Data Governance Act verbunden sind (einschließlich Vorschriften zu Datenvermittlungsdiensten, Datenaltruismus-Organisationen, Datenlokalisierung und der Weiterverwendung von Daten des öffentlichen Sektors), würden in den Data Act integriert, wodurch ein konsolidierterer Rechtsrahmen geschaffen würde.

  6. Cloud-Switching: Begrenzte Übergangsausnahmen für bestehende Verträge

    Zwei neue – und recht eng gefasste – Ausnahmen ergänzen die bestehende Ausnahmeregelung für vollständig maßgeschneiderte Dienste und bieten eine vorübergehende Befreiung von den Verpflichtungen zum Cloud-Switching für Verträge, die am oder vor dem 12. September 2025 abgeschlossen wurden.

    • Die erste neue Ausnahmeregelung gilt für angepasste Standarddienste: Hat ein Anbieter den Großteil der Merkmale und Funktionen eines Dienstes an die Bedürfnisse eines bestimmten Kunden angepasst, gilt die gesamte Palette der Wechselverpflichtungen für die Laufzeit aller vor dem 12. September 2025 abgeschlossenen Verträge nicht.
    • Die zweite Ausnahmeregelung gilt für alle KMU und „Small-Mid-Cap“-Anbieter von Datenverarbeitungsdiensten, die keine Infrastrukturdienste umfassen. Diese Anbieter sind ebenfalls von den Switching-Verpflichtungen für Verträge, die vor dem 12. September 2025 abgeschlossen wurden, befreit.
    • Beide Ausnahmen sehen vor, dass der jeweilige Anbieter „nicht verpflichtet ist, einen Vertrag über die Erbringung dieser Dienste vor dessen Ablauf neu zu verhandeln oder zu ändern“ (freie Übersetzung). Dies könnte sich auf Art. 29 beziehen, der für beide Ausnahmen weiterhin gilt und schlicht bedeutet, dass Verträge, die vor dem 12. September 2025 geschlossen wurden und Wechselentgelte oder sonstige Bestimmungen vorsehen, die im Widerspruch zu Art. 29 stehen, nicht geändert werden müssen. Die Einhaltung von Art. 29 – oder zumindest seiner ersten drei Absätze – ist weiterhin gewährleistet, da alle Bestimmungen in solchen Altverträgen, die Art. 29 Abs. 1–3 widersprechen, nichtig wären. Unklar ist jedoch, wie es sich mit den Absätzen 4 bis 6 von Art. 29 verhält und ob diese Bestimmungen für Verträge, die vor dem 12. September 2025 geschlossen wurden, durchsetzbar sind.
    • Für beide Ausnahmen gelten gewisse Einschränkungen – so profitieren beispielsweise Infrastrukturanbieter gemäß Art. 30 Abs. 1 nicht von ihnen, und die in Art. 29 geregelte Wechselentgeltregelung gilt weiterhin, wie oben erwähnt.

    So willkommen diese vorübergehende Erleichterung auch sein mag, ist ihr Anwendungsbereich doch begrenzt. Indem der Rat solche begrenzten Ausnahmen einführte, anstatt die Regelung selbst zu überarbeiten, ließ er die logisch vorangehende – und grundlegendere – Frage unberührt, welche Dienstleistungen überhaupt als „Datenverarbeitungsdienste“ gelten. Diese Definition wurde als unklar, unbestimmt und weit gefasst kritisiert, und ihr Anwendungsbereich ist nach wie vor umstritten: Ob sie unter Bezugnahme auf die zugrunde liegende Infrastruktur oder auf die tatsächlich für den Kunden erbrachte Dienstleistung ausgelegt wird, kann darüber entscheiden, ob ganze Kategorien von Anbietern – insbesondere Reseller und viele Software-as-a-Service-Angebote – überhaupt unter die Switching-Regelung fallen. Weder die Kommission noch der Rat haben die recht verwirrende Regelung zum Kern der Wechselpflichten geklärt – d. h., ob ein Kunde eines Cloud-Dienstes die vorzeitige Kündigung eines beliebigen Vertrags (auch befristeter Verträge) verlangen kann oder ob der Kunde lediglich verlangen kann, dass die Daten, die Gegenstand eines solchen Vertrags sind, an einen neuen Anbieter oder an den Kunden selbst übertragen werden.

    Bis diese Punkte durch Leitlinien oder durch die Gerichte geklärt sind, müssen Anbieter weiterhin eine Selbsteinschätzung anhand eines ungewissen Maßstabs vornehmen, und die neuen Ausnahmeregelungen würden sie nicht von dieser Belastung befreien. Auch damit zusammenhängende operative Fragen bleiben offen, darunter, welche Wechselentgelte noch erhoben werden dürfen, sobald das Entgeltverbot am 12. Januar 2027 vollständig in Kraft tritt, und wann die Maßnahmen eines Anbieters ausreichen, um die vom Data Act geforderte „Funktionsäquivalenz“ zu gewährleisten.

    Klarheit zu Sanktionen bei vorzeitiger Kündigung

    Der geänderte Text führt eine ausdrückliche Bestimmung ein, die es allen Anbietern von Datenverarbeitungsdiensten erlaubt, verhältnismäßige Sanktionen bei vorzeitiger Kündigung in befristete Verträge aufzunehmen. Zwar wurde dies in Erwägungsgrund 89 des aktuellen Data Acts bereits am Rande anerkannt, doch könnte die Aufnahme dieses Grundsatzes in den operativen Text der Verordnung eine wesentlich solidere Grundlage für die Durchsetzung bieten und verbleibende Zweifel hinsichtlich der Vereinbarkeit mit dem übergeordneten Rechtsrahmen für Cloud-Switching beseitigen. Die wesentliche Einschränkung bliebe die Verhältnismäßigkeit, und Anbieter sollten sicherstellen, dass ihre Allgemeinen Geschäftsbedingungen entsprechend formuliert sind. Die Änderung geht jedoch nicht darauf ein, wie solche Sanktionen mit der ansonsten geschuldeten Vergütung zusammenwirken, wenn ein Anbieterwechsel selbst zur Beendigung des Vertrags führt – ein Punkt, zu dem sich die Verordnung nicht äußert.

    Stärkere Verteidigungsmöglichkeiten zum Schutz von Geschäftsgeheimnissen

    Nach dem derzeit geltenden Data Act darf ein Dateninhaber Anträge von Nutzern auf Datenzugang oder Datenweitergabe nur unter außergewöhnlichen Umständen ablehnen und nur dann, wenn er nachweisen kann, dass die Offenlegung mit hoher Wahrscheinlichkeit einen schwerwiegenden wirtschaftlichen Schaden verursachen würde.

    Der vorgeschlagene Entwurf würde die Schwelle für die Ablehnung von Anträgen auf Datenzugang aus Gründen des Geschäftsgeheimnisses erheblich senken. Die Änderungen streichen die Einschränkung „außergewöhnliche Umstände“ vollständig, wodurch die Ablehnung eher zu einem leicht zugänglichen Instrument als zu einem letzten Mittel wird. Der Wahrscheinlichkeitsmaßstab wird zudem von „mit hoher Wahrscheinlichkeit“ auf „wahrscheinlich“ herabgesetzt, und die Faktoren, anhand derer ein schwerwiegender wirtschaftlicher Schaden nachgewiesen werden muss, werden als illustrative Beispiele statt als verbindliche Kriterien neu formuliert.

    Darüber hinaus führt der Vorschlag einen neuen Ablehnungsgrund ein, wenn die Offenlegung ein hohes Risiko birgt, dass Geschäftsgeheimnisse von Unternehmen aus Drittländern (oder in der EU ansässigen Unternehmen unter der Kontrolle von Drittländern) in Rechtsordnungen unrechtmäßig erlangt, genutzt oder offengelegt werden, die keinen dem EU-Recht gleichwertigen Schutz bieten. Zusammengenommen würden diese Änderungen den Dateninhabern eine wesentlich stärkere und flexiblere Grundlage bieten, um Zugangsanträge abzulehnen, insbesondere von Vertragspartnern mit Verbindungen zu Rechtsordnungen mit höherem Risiko. Umgekehrt müssen Unternehmen, die auf den Datenzugriff angewiesen sind, mit größerem Widerstand gegen Anfragen rechnen, die einen grenzüberschreitenden Bezug aufweisen. Die Kommission ist beauftragt, Leitlinien zur praktischen Anwendung dieser Bestimmungen zu erlassen; bis zur Veröffentlichung dieser Leitlinien müssten Unternehmen nach eigenem Ermessen entscheiden.

    Was wurde nicht geändert?

    Die den „Dateninhabern“ durch den Data Act auferlegten Verpflichtungen zur Datenweitergabe können für europäische Gerätehersteller und -betreiber nach wie vor eine Belastung darstellen. Sie benötigen weiterhin eine Datenlizenz vom Nutzer, und jede Nutzung der vom vernetzten Produkt generierten Daten ohne diese Lizenz wäre rechtswidrig. Der Nutzer darf die Daten zu jedem Zweck an beliebige Dritte weitergeben, Hersteller und andere Dateninhaber dürfen sie jedoch nur zur „Erfüllung ihres Vertrags mit dem Nutzer“ an Dritte weitergeben. Zudem haben weder die Kommission noch der Rat die Gelegenheit genutzt, die kritisierte „zirkuläre“ Definition des Begriffs „Dateninhaber“ (der nach wie vor als die Person definiert ist, die „das Recht oder die Pflicht (…) hat, Daten zu nutzen und bereitzustellen“) zu ändern und zu präzisieren. Allgemeiner betrachtet bleiben mehrere seit Inkrafttreten des Data Acts festgestellte Unklarheiten in Bezug auf Definitionen und Formulierungen im Digital-Omnibus-Paket unberücksichtigt, darunter auch die hier behandelten.

    Eine engere Regelung für den Zugang öffentlicher Stellen

    Der Entwurf ersetzt das bestehende zweigleisige System in Kapitel V, das Datenanfragen sowohl in echten Notfällen als auch in Fällen erlaubte, in denen eine öffentliche Stelle eine „außergewöhnliche Notwendigkeit“ für eine bestimmte gesetzliche Aufgabe nachweisen konnte, durch eine Regelung, die fast ausschließlich an echte öffentliche Notstände wie Krisen im Bereich der öffentlichen Gesundheit, Naturkatastrophen und schwerwiegende Cybersicherheitsvorfälle gebunden ist. Dies umfasst auch den Bedarf an Daten zur Unterstützung der Bewältigung eines öffentlichen Notstands (post-emergency recovery). Die bisherige Grundlage der „außergewöhnlichen Notwendigkeit“ für allgemeine Aufgaben im öffentlichen Interesse, einschließlich der routinemäßigen Erstellung von Statistiken, wird vollständig gestrichen.

    Personenbezogene Daten dürfen nur in pseudonymisierter Form und nur dann angefordert werden, wenn nicht-personenbezogene Daten nicht ausreichen. Kleinst- und Kleinunternehmen sind vollständig von der Verpflichtung zur Bereitstellung von Daten für Zwecke der Wiederherstellung nach einem öffentlichen Notstand ausgenommen und erhalten ein ausdrückliches Recht auf Entschädigung im Rahmen der Notfallmaßnahmen – ein Recht, das ihnen zuvor verwehrt war. Die bisher fragmentierten Beschwerdemechanismen werden zu einem einzigen Verfahrensweg vor der zuständigen nationalen Behörde zusammengefasst.

    Einbeziehung von Elementen des Data Governance Acts

    In den Kapiteln VIIa bis VIIc werden Bestimmungen, die eng mit denen des Data Governance Act (Verordnung (EU) 2022/868) zusammenhängen, in den Data Act aufgenommen, wodurch ein konsolidierterer Rechtsrahmen geschaffen wird. Dazu gehören ein freiwilliges Registrierungssystem für Datenvermittlungsdienste und Datenaltruismus-Organisationen, gestützt durch ein öffentliches Register und ein gemeinsames EU-Label; ein generelles Verbot von Datenlokalisierungsanforderungen für nicht personenbezogene Daten innerhalb der EU; sowie eine umfassende Regelung zur Weiterverwendung von Daten und Dokumenten, die sich im Besitz von Stellen des öffentlichen Sektors befinden – darunter frei zugängliche Daten des öffentlichen Sektors, hochwertige Datensätze, Forschungsdaten und bestimmte Kategorien geschützter Daten. Unternehmen und öffentliche Stellen, die in diesen Bereichen tätig sind, sollten die Auswirkungen dieser Konsolidierung auf ihre bestehenden Compliance-Rahmenbedingungen prüfen.

    Die neue Rolle von BEREC

    Das Gremium der europäischen Regulierungsbehörden für elektronische Kommunikation (BEREC) würde eine formelle, koordinierende Rolle bei der Durchsetzung der Bestimmungen zum Cloud-Switching übernehmen, den Austausch zwischen den zuständigen nationalen Behörden erleichtern und Best Practices verbreiten. Dies signalisiert eine engere Abstimmung zwischen der Cloud-Regulierung und dem Regulierungsrahmen für die Telekommunikation.

    Nächste Schritte

    Die oben beschriebenen Änderungen stellen den aktuellen Kompromissvorschlag des Rates dar und sind noch nicht endgültig – weitere Änderungen sind im weiteren Verlauf des Gesetzgebungsverfahrens weiterhin möglich. Dennoch ist die Richtung klar, und Unternehmen sollten sich bereits jetzt darauf vorbereiten.

    • Dateninhaber sollten erwägen, ihre Dokumentation zu Geschäftsgeheimnissen und ihre Klassifizierungsprozesse zu überprüfen und zu stärken (da die neuen Ablehnungsrechte nur so stark wären wie die ihnen zugrunde liegende Beweislage) und zu prüfen, ob bestehende Datenzugangsvereinbarungen das Risiko einer Weitergabe an Unternehmen in Drittländern angemessen berücksichtigen.
    • Anbieter von Datenverarbeitungsdiensten sollten erwägen, angemessene Klauseln über Sanktionen bei vorzeitiger Kündigung in ihre befristeten Verträge aufzunehmen. Anbieter von Infrastruktur-Datenverarbeitungsdiensten, insbesondere KMU und kleine Mid-Caps, sollten prüfen, ob ihre Dienstleistungen unter Art. 30 Abs. 1 des Data Acts fallen, da dies unter der neu vorgeschlagenen Regelung noch größere Bedeutung haben würde.
    • Unternehmen, die auf den Datenzugang angewiesen sind, müssen sich auf ein schwierigeres Umfeld einstellen, insbesondere wenn grenzüberschreitende Aspekte eine Rolle spielen, und sollten ihre Datenzugangsbedingungen überprüfen sowie geeignete Notfallmaßnahmen in ihre Dienstleistungsmodelle integrieren.
    • Öffentliche Stellen sollten erwägen, ihre Strategien zur Datenerhebung angesichts der eingeschränkten Regelungen zum öffentlichen Zugang neu zu bewerten und alternative Rechtsgrundlagen oder freiwillige Vereinbarungen für Aufgaben zu ermitteln, die nicht mehr unter diese Regelungen fallen.