In Zusammenarbeit mit Kanzlei Föhlisch

EU Data Act: Neue Informationspflichten für Händler

Seit dem 12.9.2025 gilt der europäische Data Act. Mit ihm hat die EU im Jahr 2023 einen weiteren zentralen Baustein ihrer Datenstrategie verabschiedet. Die Verordnung enthält zwar überwiegend Pflichten für die Hersteller vernetzter Produkte, führt aber auch für Händler umfangreiche Informationspflichten ein.

Hintergrund

Der Data Act  (VO [EU] 2023/2854, nachfolgend: DA) ist Teil der europäischen Datenstrategie von 2020, mit der die EU-Kommission ein „Binnenmarkt für Daten“ schaffen möchte. Der Data Act gilt für Nutzer, Anbieter und Hersteller von vernetzten Produkten und damit verbundenen Diensten – also etwa im IoT-Bereich (Smart Home, vernetzte Fahrzeuge, Industrie 4.0). Er soll verhindern, dass wertvolle Nutzungsdaten ausschließlich in den Händen weniger Hersteller verbleiben. Der Verordnungsgeber verfolgt mehrere Ziele. Neben dem Abbau von Datenmonopolen und der Schaffung eines Sekundärmarktes für Daten soll auch die Nutzerautonomie gestärkt werden.

Im Wesentlichen regelt der Data Act Folgendes:

Datenzugang: Hersteller müssen sicherstellen, dass Nutzer die von vernetzten Produkten erzeugten Daten unmittelbar und kostenlos abrufen oder an Dritte weitergeben können.

Informationspflicht: Verkäufer, Vermieter und Leasinggeber müssen vor Vertragsabschluss klar offenlegen, welche Daten entstehen und wie sie nutzbar sind.

Vertragsgestaltung: Im B2B-Bereich sind missbräuchliche Vertragsklauseln zum Datenzugang oder zur Datennutzung unwirksam.

Öffentliche Stellen: Dateninhaber müssen Daten in Ausnahmefällen (z. B. Notlagen, öffentliche Sicherheit) an Behörden bereitstellen.

Cloud-Portabilität: Anbieter von Datenverarbeitungsdiensten müssen einfache, kostengünstige und schnelle Wechselmöglichkeiten zu anderen Anbietern sicherstellen.

Wer ist betroffen?

Art. 1 Abs. 3 DA bestimmt, wer von den neuen Vorschriften erfasst wird. Betroffen sind nämlich auch die Anbieter vernetzter Produkte und Anbieter verbundener Dienste.

(3) Diese Verordnung gilt für

a) Hersteller vernetzter Produkte, die in der Union in Verkehr gebracht werden, und Anbieter verbundener Dienste, unabhängig vom Ort der Niederlassung dieser Hersteller oder Anbieter;
b) die Nutzer der unter Buchstabe a genannten vernetzten Produkte oder verbundenen Dienste in der Union;
c) Dateninhaber, unabhängig vom Ort ihrer Niederlassung, die Datenempfängern in der Union Daten bereitstellen;
d) Datenempfänger in der Union, denen Daten bereitgestellt werden;
e) öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union, die von Dateninhabern verlangen, Daten bereitzustellen, soweit eine außergewöhnliche Notwendigkeit der Nutzung dieser Daten zur Wahrnehmung einer speziellen Aufgabe im öffentlichen Interesse besteht, sowie die Dateninhaber, die solche Daten auf ein solches Verlangen hin bereitstellen;
f) Anbieter von Datenverarbeitungsdiensten, unabhängig vom Ort ihrer Niederlassung, die Kunden in der Union solche Dienste anbieten;
g) Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge verwenden, und Personen, deren gewerbliche, geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für andere im Zusammenhang mit der Durchführung einer Vereinbarung umfasst.

Welche Produkte sind betroffen?

Insbesondere werden durch den Data Act „vernetzte Produkte“ und „verbundene Dienste“ erfasst.

Für die Zwecke dieser Verordnung bezeichnet der Ausdruck

[…]

5. „vernetztes Produkt“ einen Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist;
6. „verbundener Dienst“ einen digitalen Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen; […]

Zu den vernetzten Geräten gehören etwa vernetzte Fahrzeuge, Industrie- und Landmaschinen, Haushaltsgeräte, Wearables und Smart-Home-Technologien. Verbundene Dienste sind etwa Cloud-Dienste und App-basierte Steuerungssysteme.

Informationspflichten der Händler

Vernetzte Produkte

Art. 3 Abs. 2 DA enthält bestimmte Pflichten, die Verkäufer von vernetzten Produkten erfüllen müssen. Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt müssen dem Nutzer vom Verkäufer, Vermieter oder Leasinggeber – wobei es sich auch um den Hersteller handeln kann – mindestens folgende Informationen in klarer und verständlicher Art und Weise bereitgestellt:

  • die Art, das Format und der geschätzte Umfang der Produktdaten, die das vernetzte Produkt generieren kann;
  • die Angabe, ob das vernetzte Produkt in der Lage ist, Daten kontinuierlich und in Echtzeit zu generieren;
  • die Angabe, ob das vernetzte Produkt in der Lage ist, Daten auf einem Gerät oder einem entfernten Server zu speichern, gegebenenfalls einschließlich der vorgesehenen Speicherungsdauer;
  • die Angabe, wie der Nutzer auf die Daten zugreifen, sie abrufen oder gegebenenfalls löschen kann, einschließlich der technischen Mittel hierfür sowie die betreffenden Nutzungsbedingungen und die betreffende Dienstqualität.

Verbundene Dienste

Für die Anbieter verbundener Dienste enthält Art. 3 Abs. 3 DA bestimmte Informationspflichten, die vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes in klarer und verständlicher Art und Weise bereitgestellt werden müssen:

  • die Art, der geschätzte Umfang und die Häufigkeit der Erhebung der Produktdaten, die der potenzielle Dateninhaber voraussichtlich erhalten wird, und gegebenenfalls die Modalitäten, nach denen der Nutzer auf diese Daten zugreifen oder sie abrufen kann, einschließlich der Modalitäten des künftigen Dateninhabers in Bezug auf die Speicherung und der Dauer der Aufbewahrung von Daten;
  • die Art und der geschätzte Umfang der zu generierenden verbundenen Dienstdaten sowie die Modalitäten, nach denen der Nutzer auf diese Daten zugreifen oder sie abrufen kann, einschließlich der Modalitäten des künftigen Dateninhabers in Bezug auf die Speicherung und der Dauer der Aufbewahrung von Daten;
  • die Angabe, ob der potenzielle Dateninhaber erwartet, ohne Weiteres verfügbare Daten selbst zu verwenden, und die Zwecke, zu denen diese Daten verwendet werden sollen, und ob er beabsichtigt, einem oder mehreren Dritten zu gestatten, die Daten zu mit dem Nutzer vereinbarten Zwecken zu verwenden;
  • die Identität des potenziellen Dateninhabers, z. B. sein Handelsname und die Anschrift des Ortes, an dem er niedergelassen ist, sowie gegebenenfalls anderer Datenverarbeitungsparteien;
  • die Kommunikationsmittel, über die der potenzielle Dateninhaber schnell kontaktiert und effizient mit ihm kommuniziert werden kann;
  • die Angabe, wie der Nutzer darum ersuchen kann, dass die Daten an einen Dritten weitergegeben werden, und wie er die Datenweitergabe gegebenenfalls beenden kann;
  • das Recht des Nutzers, bei der in Artikel 37 genannten zuständigen Behörde Beschwerde wegen eines Verstoßes gegen eine der Bestimmungen dieses Kapitels einzulegen;
  • die Angabe, ob ein potenzieller Dateninhaber Inhaber von Geschäftsgeheimnissen ist, die in den Daten enthalten sind, die über das vernetzte Produkt zugänglich sind oder die bei der Erbringung eines verbundenen Dienstes generiert werden, und, wenn der potenzielle Dateninhaber nicht Inhaber von Geschäftsgeheimnissen ist, die Identität des Inhabers des Geschäftsgeheimnisses;
  • die Dauer des Vertrags zwischen dem Nutzer und dem potenziellen Dateninhaber sowie die Ausgestaltung für die vorzeitige Beendigung eines solchen Vertrags.

Wie müssen die Informationen bereitgestellt werden?

Sowohl beim Verkauf vernetzter Produkte als auch beim Angebot verbundener Dienste müssen die Informationen „in klarer und verständlicher Art und Weise“ vor Vertragsschluss bereitgestellt werden. Eine entsprechende Beilage bei der Lieferung wäre damit nicht ausreichend. Die Informationen sollten daher auf der Produktseite erfolgen und entsprechend bezeichnet sein, z.B. „Hinweise zum vernetzten Produkt und der Datennutzung“.

Rechtsfolgen bei Verstößen

Der Data Act findet als Verordnung in jedem Mitgliedstaat unmittelbar Anwendung. Der Vollzug liegt jedoch bei den Mitgliedstaaten. Diese müssen Vorschriften über Sanktionen, die bei Verstößen gegen diese Verordnung zu verhängen sind, erlassen und treffen alle für die Anwendung der Sanktionen erforderlichen Maßnahmen. Die vorgesehenen Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein, Art. 39 DA. Zudem müssen die Mitgliedstaaten die Behörde, die für die Anwendung und die Durchsetzung des Data Acts zuständig ist, benennen, Art. 37 DA.

Ein entsprechendes Durchführungsgesetz wurde in Deutschland bisher noch nicht verabschiedet. Das Bundesministerium für Wirtschaft und Energie hat allerdings einen Referentenentwurf zur Durchführung der Verordnung (EU) 2023/2854 (Data Act-Durchführungsgesetz – DA-DG) veröffentlicht. Darin wird die Bundesnetzagentur als zuständige Behörde vorgesehen, § 2 Abs 1 DA-DG-E. Zudem sieht der Entwurf vor, dass es sich bei Verstößen gegen Art. 3 Abs. 2 oder Abs. 3 DA um Ordnungswidrigkeiten handeln soll, die mit einem Bußgeld von bis zu 50.000 € geahndet werden können, § 18 Abs. 3 Nr. 1, Abs. 5 Nr. 3 DA-DG-E.

Zudem steht natürlichen du juristischen Personen bei Verstößen gegen den Data Act ein Beschwerderecht bei der zuständigen Behörde zu, Art. 38 DA.

Bei den vorvertraglichen informationspflichten wird es sich auch um Marktverhaltensregelungen handeln, weshalb Verstöße hiergegen von Mitbewerbern und Verbänden abgemahnt werden können.

Für unsere Kunden

Wir unterstützen unsere Kundinnen und Kunden im Rahmen unserer Legal Pakete bei der Umsetzung des Data Acts
01.10.25

Weitere relevante Artikel

Nicht vergessen: Ende der OS-Plattform zum 20.7.2025 – Anpassungen notwendig

Widerrufsbutton und neue Informationspflichten – Referentenentwurf veröffentlicht

Das Digitale-Dienste-Gesetz (DDG) zur Umsetzung des DSA

© 2025 Trusted Shops SE Impressum Datenschutz Cookies