Die Verordnung (EU) 2023/2854, bekannt als Data Act, ist ein zentraler EU-Rechtsakt zum Zugang zu Daten und zu deren Nutzung. Als Verordnung gilt sie in den Mitgliedstaaten grundsätzlich unmittelbar und bedarf daher nicht erst einer allgemeinen innerstaatlichen Umsetzung wie eine Richtlinie. Für Österreich ist sie vor allem im digitalen Wirtschaftsrecht, im Vertragsrecht rund um vernetzte Produkte und im Verhältnis zwischen Unternehmen, Nutzern und öffentlichen Stellen von großer Bedeutung.
Was regelt Verordnung (EU) 2023/2854?
Der Data Act schafft unionsweit Regeln dafür, wer Daten aus vernetzten Produkten und damit verbundenen digitalen Diensten nutzen darf und unter welchen Bedingungen diese Daten zugänglich gemacht werden müssen. Gemeint sind vor allem Daten, die bei der Verwendung von Geräten, Maschinen, Fahrzeugen oder anderen internetfähigen Produkten entstehen. Beispiele sind Industrieanlagen, Smart-Home-Geräte, vernetzte Fahrzeuge, landwirtschaftliche Maschinen oder Gesundheits- und Fitnessgeräte, soweit der konkrete Anwendungsbereich eröffnet ist.
Im Kern verfolgt die Verordnung das Ziel, den bisher oft einseitigen Datenzugang zu öffnen. Nutzerinnen und Nutzer solcher Produkte sollen leichter auf Daten zugreifen können, die bei ihrer Nutzung entstehen, und sie an Dritte weitergeben dürfen. Hersteller und Anbieter verbundener Dienste müssen diese Daten grundsätzlich so bereitstellen, dass sie für die Berechtigten zugänglich und nutzbar sind. Dadurch sollen Abhängigkeiten von einzelnen Herstellern verringert und datengetriebene Anschlussmärkte gefördert werden.
Die Verordnung regelt außerdem Datenzugänge zwischen Unternehmen. In bestimmten Fällen können Dateninhaber verpflichtet sein, Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitzustellen. Zugleich enthält der Data Act Schutzmechanismen, etwa für Geschäftsgeheimnisse, für Sicherheitserfordernisse und für den Schutz personenbezogener Daten. Soweit personenbezogene Daten betroffen sind, bleibt insbesondere die Datenschutz-Grundverordnung maßgeblich. Der Data Act ergänzt das Datenschutzrecht, ersetzt es aber nicht.
Ein weiterer Regelungsbereich betrifft den Wechsel zwischen Datenverarbeitungsdiensten, insbesondere Cloud- und Edge-Diensten. Kundinnen und Kunden sollen Anbieter leichter wechseln können. Vertragsklauseln, technische Hindernisse oder unangemessene Entgelte, die den Wechsel erschweren, sollen zurückgedrängt werden. Auch dies dient der Wettbewerbsförderung und der Vermeidung von Lock-in-Effekten.
Darüber hinaus sieht der Data Act Regeln für den Datenzugang öffentlicher Stellen vor, wenn ein außergewöhnlicher Bedarf besteht. Das kann etwa bei öffentlichen Notlagen oder vergleichbaren Ausnahmefällen relevant sein. In solchen Situationen können öffentliche Stellen unter bestimmten Voraussetzungen Daten von privaten Dateninhabern anfordern.
Warum ist der Rechtsakt wichtig?
Der Data Act ist ein Schlüsselbaustein der europäischen Datenstrategie. Wirtschaftlich wertvolle Daten entstehen häufig nicht nur bei Plattformen, sondern direkt in Geräten, Maschinen und digitalen Infrastrukturen. Ohne klare Zugangsregeln verbleiben diese Daten oft ausschließlich bei Herstellern oder Dienstanbietern. Das kann Innovationen hemmen, Reparatur- und Wartungsmärkte einschränken und den Wettbewerb verzerren.
Die Verordnung versucht, diese Ungleichgewichte zu korrigieren. Unternehmen sollen neue datenbasierte Geschäftsmodelle entwickeln können, ohne vollständig von den ursprünglichen Geräteherstellern abhängig zu sein. Nutzerinnen und Nutzer erhalten mehr Kontrolle über die von ihnen erzeugten oder mitverursachten Daten. Das ist besonders wichtig in Branchen mit stark vernetzten Produkten, etwa Industrie, Mobilität, Landwirtschaft, Energie und Gesundheit.
Rechtspolitisch ist der Data Act auch deshalb bedeutsam, weil er einen Mittelweg sucht: Einerseits soll Datennutzung erleichtert werden, andererseits sollen Investitionen, Geschäftsgeheimnisse, Cybersicherheit und Datenschutz gewahrt bleiben. Die Verordnung ist daher kein allgemeines Freigabegesetz für alle Daten, sondern ein detailliertes Regelwerk mit Abwägungen und Grenzen.
Bedeutung für Österreich
Für Österreich ist der Data Act in mehrfacher Hinsicht relevant. Als EU-Verordnung gilt er grundsätzlich unmittelbar. Österreich muss also nicht erst ein allgemeines Umsetzungsgesetz schaffen, damit die materiellen Regeln anwendbar sind. In der Praxis können aber nationale Begleitregelungen erforderlich sein, etwa für behördliche Zuständigkeiten, Aufsicht, Sanktionen oder Verfahrensfragen, soweit die Verordnung dafür Spielräume oder organisatorische Anforderungen vorsieht.
Besonders betroffen sind österreichische Unternehmen, die vernetzte Produkte herstellen, importieren, vertreiben oder datenbasierte Dienste anbieten. Das betrifft große Industriebetriebe ebenso wie kleine und mittlere Unternehmen. Gerade in Österreich mit seiner starken Industrie, dem Maschinenbau, der Mobilitätswirtschaft und spezialisierten Technologieanbietern kann der Datenzugang wirtschaftlich erhebliche Bedeutung haben. Auch für Start-ups und innovative Dienstleister kann der Data Act neue Marktchancen eröffnen, weil Datenzugänge zu Anschlussleistungen wie Wartung, Analyse, Optimierung oder Interoperabilitätslösungen erleichtert werden.
Für österreichische Nutzerinnen und Nutzer, darunter Unternehmen, Landwirte, Gemeinden und Verbraucher, kann die Verordnung mehr Verhandlungsmacht schaffen. Wer ein vernetztes Produkt nutzt, soll nicht darauf beschränkt bleiben, nur die vom Hersteller vorgesehenen Services in Anspruch zu nehmen. Das kann etwa bei Reparatur, Predictive Maintenance, Flottenmanagement oder Energieoptimierung praktisch relevant sein.
Im österreichischen Rechtsrahmen ist außerdem wichtig, dass der Data Act nicht isoliert betrachtet werden darf. Er steht neben der DSGVO, dem Wettbewerbsrecht, dem Verbraucherschutzrecht, dem Vertragsrecht, dem Schutz von Geschäftsgeheimnissen und spezialgesetzlichen Regelungen. Unternehmen in Österreich müssen daher ihre Vertragsgestaltung, Produktentwicklung, Schnittstellen, Dokumentation und Compliance-Prozesse an mehreren Rechtsquellen ausrichten.
Wer ist davon betroffen?
- Hersteller vernetzter Produkte und Anbieter verbundener digitaler Dienste, die Daten erzeugen oder kontrollieren.
- Nutzerinnen und Nutzer solcher Produkte, also Unternehmen, Verbraucher, öffentliche Stellen oder sonstige Anwender, die Zugang zu Nutzungsdaten erhalten oder deren Weitergabe verlangen können.
- Dritte, die auf Wunsch der Nutzer Daten erhalten sollen, etwa Reparaturbetriebe, Wartungsdienstleister, Datenanalysedienste, Cloud-Anbieter oder innovative Softwareunternehmen.
Praktische Bedeutung
Praktisch zwingt der Data Act viele Unternehmen dazu, ihre Datenarchitektur und ihre Verträge neu zu prüfen. Wer Produkte entwickelt, muss frühzeitig bedenken, welche Daten bei der Nutzung entstehen, wem sie zugeordnet werden, wie sie zugänglich gemacht werden können und welche technischen sowie organisatorischen Schutzmaßnahmen notwendig sind. Der Rechtsakt fördert damit ein „Access by Design“-Denken im Produkt- und Servicedesign.
Für Vertragsbeziehungen im B2B-Bereich ist die Verordnung ebenfalls bedeutsam. Sie enthält Vorgaben gegen missbräuchliche Vertragsklauseln, wenn eine Partei ein deutliches Übergewicht hat. Vor allem kleinere Unternehmen können dadurch besser vor einseitigen Bedingungen geschützt werden, die den Datenzugang oder die Datennutzung unangemessen beschränken. In Österreich kann dies die Vertragsgestaltung in Lieferketten, bei Plattformmodellen und in Serviceverträgen spürbar verändern.
Bei Cloud- und anderen Datenverarbeitungsdiensten ist der Wechsel des Anbieters ein zentrales Thema. Viele Unternehmen kennen das Problem hoher Wechselkosten, technischer Inkompatibilitäten oder vertraglicher Bindungen. Der Data Act will solche Hürden abbauen. Für österreichische Unternehmen kann das bei Ausschreibungen, IT-Strategien und langfristigen Digitalisierungsprojekten erhebliche wirtschaftliche Vorteile bringen.
Gleichzeitig entstehen neue Compliance-Pflichten. Unternehmen müssen beurteilen, ob sie Dateninhaber im Sinn der Verordnung sind, ob Drittempfänger berechtigt sind, wie Geschäftsgeheimnisse geschützt werden, welche Daten personenbezogen sind und wie sich Zugangsansprüche mit der DSGVO vereinbaren lassen. Gerade im österreichischen Mittelstand wird dafür oft eine enge Zusammenarbeit zwischen Rechtsabteilung, IT, Produktmanagement und Datenschutzorganisation nötig sein.
Zu beachten ist auch der zeitliche Aspekt. Obwohl die Verordnung 2023 erlassen wurde, gelten ihre wesentlichen Bestimmungen nicht zwingend sofort in vollem Umfang. Unternehmen sollten daher stets den konkreten Anwendungsbeginn einzelner Regelungen prüfen und ihre Vorbereitungen rechtzeitig abschließen.
Abgrenzung zu anderen Regelungen
Der Data Act ist nicht mit der Datenschutz-Grundverordnung gleichzusetzen. Die DSGVO schützt personenbezogene Daten und regelt deren Verarbeitung. Der Data Act betrifft demgegenüber den Zugang zu und die Nutzung von Daten generell, also auch nicht-personenbezogene Daten. Sobald personenbezogene Daten im Spiel sind, ist die DSGVO weiterhin voll zu beachten. Ein Datenzugangsanspruch nach dem Data Act hebt datenschutzrechtliche Anforderungen daher nicht auf.
Abzugrenzen ist der Data Act auch vom Data Governance Act. Während der Data Governance Act vor allem Strukturen für Datenmittlungsdienste, Datenaltruismus und die Weiterverwendung bestimmter geschützter öffentlicher Daten schaffen soll, regelt der Data Act stärker die praktische Verfügbarkeit und Weitergabe von industriellen und nutzungsbezogenen Daten zwischen privaten Akteuren sowie in bestimmten Fällen gegenüber öffentlichen Stellen.
Zum Digital Markets Act besteht ebenfalls ein Unterschied. Der Digital Markets Act richtet sich vor allem an große digitale Torwächter und soll faire Wettbewerbsbedingungen auf digitalen Plattformmärkten sichern. Der Data Act ist breiter angelegt und betrifft datenbezogene Zugangsfragen auch außerhalb klassischer Plattformmärkte, insbesondere bei vernetzten Produkten und Cloud-Diensten.
Schließlich ist der Data Act nicht bloß Verbraucherschutzrecht und auch nicht nur Wettbewerbsrecht. Er verbindet Elemente des Binnenmarktrechts, des Vertragsrechts, des Regulierungsrechts und des digitalen Wirtschaftsrechts. Für Österreich bedeutet das, dass die Verordnung in vielen praktischen Konstellationen nur zusammen mit nationalem Zivilrecht, Lauterkeitsrecht, Kartellrecht und branchenspezifischen Vorschriften richtig verstanden werden kann.
Quellen
- Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (Data Act)
- EUR-Lex
- Relevante österreichische Begleitregelungen und Materialien, soweit für Zuständigkeiten, Aufsicht und Sanktionen erforderlich
