Mit der Verabschiedung des EU Data Act (Verordnung (EU) 2023/2854) am 22. Dezember 2023 verfolgt die Europäische Union das Ziel, einen einheitlichen und innovationsfreundlichen Rechtsrahmen für die Nutzung und Weitergabe von Daten zu schaffen. Die Verordnung ist am 11. Januar 2024 in Kraft getreten und wird ab dem 12. September 2025 in weiten Teilen anwendbar. Auch Schweizer Unternehmen können vom Data Act betroffen sein – sei es als Hersteller digital vernetzter Produkte, als Anbieter verbundener Dienste, als Dateninhaber oder -empfänger, als Cloud-Dienstleister oder als Teilnehmer an datenbasierten Geschäftsmodellen im europäischen Raum.
Der Data Act stellt einen Paradigmenwechsel im europäischen Datenrecht dar. Die Verordnung bringt nicht nur neue Rechte für Nutzer, sondern erhebliche Pflichten für Unternehmen, insbesondere in Bezug auf technische Umsetzungsanforderungen, Informationspflichten und Vertragsgestaltung. Nachfolgend finden Sie eine erste Übersicht.
Anwendungsbereich: Die extraterritoriale Wirkung der Verordnung führt dazu, dass auch Unternehmen ohne Sitz in der EU in den Anwendungsbereich fallen können. Schweizer Unternehmen können betroffen sein, wenn sie vernetzte Produkte in der EU in Verkehr bringen, verbundene digitale Dienste für Endnutzer in der EU bereitstellen oder anderweitig mit in der Union erzeugten Daten interagieren. Unternehmen die als Dateninhaber oder - empfänger agieren, Cloud-Dienste EU-Kunden anbieten oder Teil eines gemeinsamen europäischen Datenraums sind, müssen achtsam sein. Auch Entwickler oder Anbieter von Smart Contracts, die im Rahmen automatisierter Datenweitergaben eingesetzt werden, sind vom Anwendungsbereich umfasst.
Zugriffsrechte und Pflichten rund um Nutzerdaten: Der Data Act soll verschiedene Marktteilnehmer schützen und/oder verpflichten. Ein zentrales Element des Data Act ist dabei die Pflicht für Dateninhaber zur Zugänglichmachung von Daten an die Nutzer sowie die Möglichkeit, diese Daten an Dritte weiterzuleiten. Produkt- und Dienstdaten müssen dem Nutzer einfach, sicher, unentgeltlich und in einem strukturierten, maschinenlesbaren Format zur Verfügung gestellt werden – idealerweise in Echtzeit. Diese Pflicht umfasst nicht nur Rohdaten, sondern auch Metadaten, die für die Interpretation notwendig sind. Das heisst, die Produkte und Dienste müssen technisch so gestaltet sein, dass die Zugänglichmachung stets gewährleistet werden kann.
Bereits vor Vertragsschluss müssen die Unternehmen den Nutzer umfassend über den Umgang mit den erhobenen Daten informieren – insbesondere über Art, Umfang, Zwecke der Nutzung und die Speichermodalitäten. Auf Verlangen eines Nutzers muss der angefragte Dateninhaber die "ohne Weiteres verfügbaren Daten" bereitstellen. Daten also, die ein Dateninhaber ohne unverhältnismässigen Aufwand zugänglich machen kann: unverzüglich, unentgeltlich und ohne Qualitätsverlust.
Schutz von Geschäftsgeheimnissen: Gleichzeitig schützt die Verordnung Geschäftsgeheimnisse: Dateninhaber dürfen angemessene technische oder organisatorische Schutzmassnahmen vom Nutzer verlangen oder die Weitergabe im Ausnahmefall verweigern, wenn ein schwerwiegender wirtschaftlicher Schaden droht.
Nutzungseinschränkungen und Schutz vor Missbrauch: Der Data Act erkennt auch das Investitionsinteresse der Dateninhaber an: Nutzer und empfangende Dritte dürfen erhaltene Daten nicht beliebig verwenden. Insbesondere ist in der Regel die Nutzung zur Entwicklung konkurrierender Produkte, zur Analyse der wirtschaftlichen Lage des Herstellers oder die Verwendung zu Profiling-Zwecken untersagt. Diese Bestimmungen sollen insbesondere kleine und mittlere Anbieter vor dem Missbrauch ihrer Daten durch marktmächtige Konkurrenten schützen.
Verbot missbräuchlicher Vertragsklauseln: Der Data Act enthält ferner Regelungen zum Schutz vor unfairen Vertragsbedingungen zwischen Unternehmen. Dies betrifft insbesondere Bedingungen zum Datenzugang und zur Datennutzung.
Datenbereitstellung für öffentliche Stellen bei Notlagen: Bei aussergewöhnlicher Notwendigkeit – etwa in Fällen von Naturkatastrophen, Gesundheitskrisen oder massiven Cybervorfällen – können Behörden, die EUKommission oder andere Unionsorgane den Zugriff auf bestimmte Daten verlangen. Das hat für Unternehmen zur Folge, dass sie in solchen Fällen die angeforderten Informationen bereitstellen müssen. Je nach Fall können hier Kompensationsansprüche entstehen.
Wechsel zwischen Datenverarbeitungsdiensten und Anschlussfähigkeit: Um Abhängigkeiten von einzelnen Cloud-Anbietern zu reduzieren, schreibt der Data Act vor, dass Anbieter von Datenverarbeitungsdiensten (z. B. IaaS, PaaS) ihren Kunden den (unentgeltlichen) Wechsel zu anderen Anbietern oder zur eigenen Infrastruktur erleichtern müssen. Es dürfen keine vertraglichen, technischen oder organisatorischen Wechselhindernisse bestehen. Vertragsklauseln müssen klare Regelungen zur Kündigung und zum Übergang beinhalten. Anbieter müssen zudem die Anschlussfähigkeit ihrer Systeme gewährleisten, etwa durch offene Schnittstellen oder die Umsetzung gemeinsamer technischer Standards.
Schutz nicht-personenbezogener Daten im internationalen Kontext: Der Data Act stärkt auch die Datensouveränität gegenüber Drittstaaten. Anbieter von Datenverarbeitungsdiensten, d.h. von digitalen Diensten, die einen allgegenwärtigen Netzzugang auf Abruf ermöglichen, wie Netzwerke, Server oder andere virtuelle oder physische Infrastrukturen und Software, sind verpflichtet, alle notwendigen Massnahmen zu ergreifen, um unrechtmässige Zugriffe von Behörden ausserhalb der EU auf in der Union gespeicherte nicht-personenbezogene Daten, wie z.B. Rohdaten einer Belüftungsanlage, zu verhindern. Eine Herausgabe ist nur dann zulässig, wenn ein völkerrechtliches Abkommen besteht oder strenge Bedingungen eingehalten werden – insbesondere in Bezug auf Verhältnismässigkeit, Transparenz und gerichtliche Überprüfbarkeit.
Smart Contracts: Schliesslich formuliert die Verordnung Anforderungen an den Einsatz von Smart Contracts. Smart Contracts sind digitale Verträge, welche sich automatisch abwickeln, überwachen oder verifizieren.
Umsetzungsfristen: Der Data Act ist ab dem 12. September 2025 anwendbar. Einzelne Pflichten greifen jedoch erst gestaffelt: Die Pflicht zur Zugänglichmachung zum Beispiel gilt nur für Produkte und Dienste, die ab dem 12. September 2026 auf den Markt kommen.
Ausnahmen: Für viele der Pflichten sieht der Data Act gerade für KMU aber auch Ausnahmen oder Übergangsfirsten vor. So gilt beispielsweise die Pflicht zur Zugänglichmachung von Daten nicht, wenn das vernetzte Produkt oder der verbundene Dienst von einem KMU konzipiert oder hergestellt wurde – Ausnahmen bestätigen hier die Regel.
Fazit und Empfehlungen: Auch für Schweizer Unternehmen, die auf dem EU-Markt tätig sind oder mit EU-Daten umgehen, ist eine eingehende Prüfung der eigenen Rolle und Geschäftsprozesse unumgänglich. Frühzeitige Compliance-Massnahmen sind angesichts der komplexen Anforderungen und Übergangsfristen ratsam, um Risiken zu minimieren und Chancen datengetriebener Innovationen gezielt zu nutzen.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
