Mit dem Data Act schafft die EU erstmals verbindliche Regeln für den Zugang zu und die Nutzung von Daten, die durch vernetzte Produkte und zugehörige Dienste erzeugt werden. Ab dem 15. September 2025 haben Nutzerinnen und Nutzer einen Anspruch auf Zugang zu diesen Daten und können deren Weitergabe an Dritte verlangen. Hersteller und Anbieter entsprechender Produkte sind verpflichtet, diesen Zugang fair, diskriminierungsfrei und technisch zugänglich zu ermöglichen. Zur Unterstützung der Umsetzung dieser Vorgaben hat eine von der EU-Kommission eingesetzte Expertengruppe nun einen umfassenden Bericht mit konkreten Vertragsmustern veröffentlicht.
Rechtsgrundlage: Artikel 41 Data Act
Artikel 41 des Data Act verpflichtet die EU-Kommission, freiwillige Standardvertragsbedingungen für die gemeinsame Nutzung von Daten sowie für Cloud-Dienste zu entwickeln. Die im Abschlussbericht veröffentlichten Modellvertragsklauseln (MCTs) und Standardvertragsklauseln (SCCs) sind die erste konkrete Umsetzung dieses Mandats. Sie sollen Unternehmen dabei helfen, rechtssichere, transparente und praktikable Verträge zu gestalten.
Vier Szenarien aus der Praxis
Die MCTs orientieren sich an vier zentralen Vertragssituationen, die für den Data Act nach Auffassung der Expertengruppe besonders relevant sind:
- Vertag zwischen Nutzer und Dateninhaber über die Bereitstellung von Nutzungsdaten durch den Dateninhaber an den Nutzer (Data Holder to User)
- Vertrag zwischen Nutzer und Datenempfänger über die Weitergabe von Nutzungsdaten durch den Dateninhaber an den Datenempfänger auf Anforderung des Nutzers.
- Vertrag zwischen Dateninhaber und Datenempfänger über die Weitergabe der Daten durch den Dateninhaber an den Datenempfänger auf Anforderung des Nutzers
- Vertag über die (freiwillige) Bereitstellung von Daten zwischen einem Datenlieferanten und dem Datenempfänger.
Diese Szenarien spiegeln typische Konstellationen bei Vertrieb und Verwendung vernetzter Produkte wider, etwa im Bereich Maschinenbau, Smart Home oder Mobilität.
Was regeln die Modellvertragsklauseln (MCTs) konkret?
Die MCTs enthalten detaillierte Regelungen zur Beschreibung des Datenumfangs, zur Bereitstellung in maschinenlesbarer Form, zur technischen Schnittstellenbeschreibung (z. B. API-Dokumentation) sowie zu Anforderungen an Vertraulichkeit, Sicherheit und Transparenz.
Zudem werden Optionen zur Vergütung der Datenbereitstellung erläutert, etwa nach Art der Daten oder Nutzergruppe. Wichtige Klauseln betreffen auch die Pflicht zur Nichtverwendung der Daten zur Profilbildung, die Verantwortung für DSGVO-Konformität und den Umgang mit Geschäftsgeheimnissen.
Standardvertragsklauseln (SSCs) für Cloud-Dienste
Ergänzend zu den MCTs enthält der Bericht auch SCCs für Cloud- und Plattformverträge. Diese zielen insbesondere darauf ab, einen Anbieterwechsel oder die Rückführung von Daten am Ende eines Vertrags technisch und organisatorisch zu erleichtern. Sie regeln unter anderem Exit-Pläne, Migrationsfristen, Zugriff auf Self-Service-Tools, die Fortführung kritischer Dienste sowie Schutzmechanismen gegen Lock-in-Effekte. Damit sprechen sie gezielt auch Betreiber hybrider oder cloudbasierter Produktinfrastrukturen an.
Flexibilität durch Modularität
Die Vorlagen sind modular aufgebaut und zur Anpassung gedacht. Verwender können Klauseln kombinieren, kürzen oder ergänzen. Der Bericht enthält aber auch Hinweise darauf, welche Änderungen rechtliche Auswirkungen haben können – insbesondere bei der Datenverwendung durch Dritte, bei Datenschutzverpflichtungen oder bei der Abgrenzung von Verantwortlichkeiten. Unternehmen sollten die Muster gezielt an ihren Anwendungsfall anpassen.
Anwendbarkeit im Verbraucherverhältnis nur eingeschränkt möglich
Die MCTs sind auf B2B-Verträge ausgerichtet. Für eine Nutzung im B2C-Kontext sind sie nicht unmittelbar geeignet, da verbraucherschutzrechtliche Elemente wie Widerrufsrechte, Transparenzvorgaben und Informationspflichten nicht standardmäßig enthalten sind. Wer die Muster auch gegenüber Endkunden einsetzen möchte, muss zusätzliche Prüfungen und Anpassungen vornehmen.
Empfehlung: Jetzt prüfen, strukturieren und vorbereiten
Die Kommission wird den Bericht voraussichtlich in eine offizielle Empfehlung überführen. Schon jetzt aber empfiehlt es sich für Unternehmen, die Inhalte zu prüfen und in die eigene Vertragsarchitektur zu integrieren. Anbieter vernetzter Produkte sollten insbesondere analysieren, wie sie den Datenzugang technisch und organisatorisch sicherstellen können, welche Klauseln verpflichtend umzusetzen sind und wie bestehende Verträge angepasst werden müssen. Gerne unterstützen wir Sie bei der rechtssicheren Vertragsgestaltung auf Basis des Data Act.