Am 8. Juli 2025 hat der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme zu den Modellvertragsklauseln (MCTs) vorgelegt, die im Mai von der Expertengruppe der EU-Kommission als Entwurf einer Empfehlung veröffentlicht wurden. Der EDPB begrüßt den Ansatz der Expertengruppe grundsätzlich, sieht aber Nachbesserungsbedarf.
Vertragsmuster noch nicht DSGVO-konform
Die MCTs wurden im Mai 2025 zunächst im Bericht der von der Kommission eingesetzten Expertengruppe vorgestellt und dienen der Kommission als Grundlage für die offizielle Empfehlung nach Artikel 41 Data Act. Sie sollen Unternehmen helfen, Verträge zum Datenzugang und zur Datennutzung rechtssicher und transparent zu gestalten. Eine Übersicht der MCTs und der vier zentralen Vertragsszenarien finden Sie hier: „EU-Expertengruppe veröffentlicht Vertragsmuster zum Data Act“
Der EDPB weist in seiner Stellungnahme darauf hin, dass die MCTs zwar viele praxisnahe Regelungen enthalten, jedoch noch nicht alle datenschutzrechtlichen Vorgaben berücksichtigen. Vor allem die Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten sei in den MCTs nicht konsequent umgesetzt. Außerdem sei noch unklar, wie die Muster in Fällen anzuwenden sind, in denen der „Nutzer“ im Sinne des Data Acts zugleich betroffene Person nach der DSGVO ist.
Auch die in den Mustern vorgesehenen Vergütungsregelungen für die Datenbereitstellung sollten nach Ansicht des EDPB ausdrücklich nur für nicht-personenbezogene Daten gelten. Der EDPB hebt außerdem hervor, dass die Verwendung der MCTs die Einhaltung der DSGVO nicht sicherstellen und ergänzende Regelungen wie Auftragsverarbeitungsverträge oder Standardvertragsklauseln notwendig bleiben.
Empfehlung für die Vertragsgestaltung zum Data Act
Für die Gestaltung von Klauseln zur Verwendung von Produkt- und Verbundene Dienstedaten im Sinne des Data Acts lassen sich aus der Stellungnahme die folgenden Leitlinien ableiten:
- Es muss für die Gestaltung stets geklärt werden, welche Datenkategorien betroffen sind, und es muss klar zwischen personenbezogenen und nicht-personenbezogenen Daten unterschieden werden.
- Neben einer Qualifizierung der Beteiligten nach den Rollen unter dem Data Act (z.B. Nutzer, Dateninhaber und Datenempfänger) muss parallel auch stets die Rolle der Vertragsparteien nach der DSGVO festgestellt werden (z.B. Verantwortlicher, Auftragsverarbeiter).
- Die MCTs müssen im Praxiseinsatz gegebenenfalls durch die datenschutzrechtlich notwendigen Vereinbarungen ergänzt werden, etwa durch eine AVV.
Den Vorgaben der DSGVO und anderen einschlägigen datenschutzrechtlichen Vorschriften muss stets Vorrang eingeräumt werden, vor einer vertraglichen Regelung zur Nutzung von Produkt- und Verbundenen Dienstedaten.
Praxistipp
Die MCTs sind ein hilfreicher Ausgangspunkt für vertragliche Abreden zur Nutzung der dem Data Act unterfallender Daten, aber nach Auffassung des ESDP kein fertiges Konzept für DSGVO-konforme Verträge. Insbesondere Dateninhaber müssen ihre Vertragsmuster kritisch anhand der Vorgaben des Data Acts und zusätzlich des Datenschutzrechts prüfen und an die rechtlichen Gegebenheiten der jeweiligen Vertragskonstellation anpassen.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
