EU Data Act: Neue Informationspflichten für Händler vernetzter Produkte

Der Data Act betrifft im Wesentlichen zwar Hersteller von vernetzten Produkten und Anbieter verbundener Dienste. Doch auch Händler sind betroffen. Sie müssen umfangreiche Informationspflichten beachten.
Inhaltsverzeichnis
- Was ist der Data Act?
- Welche wesentlichen Regelungen enthält der Data Act?
- Wen betrifft der Data Act?
- Welche Produkte sind betroffen?
- Welchen vorvertraglichen Informationspflichten unterliegen Händler nach dem Data Act?
- Woher können Händler die Informationen bekommen?
- Wie können Händler die Informationspflichten in der Praxis umsetzen?
- Müssen die Rechtstexte des Online-Shops auf den Data Act angepasst werden?
- Welche Übergangsfristen gelten?
- Welche Folgen drohen bei Nichtbeachtung des Data Act?
Was ist der Data Act?
Als sog. Data Act wird die Verordnung (EU) 2023/2854 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung bezeichnet, die am 11. Januar 2024 in Kraft getreten ist und seit dem 12. September 2025 in der gesamten EU unmittelbar gilt, ohne dass es hierfür noch eines Umsetzungsgesetzes bedarf. Der Data Act ist ein zentrales Element der Datenstrategie der EU.
Ein wesentliches Ziel des Data Act ist es Nutzern und Unternehmen Zugang zu Daten zu ermöglichen, die durch Nutzer erzeugt und bei den jeweiligen Herstellern bzw. Anbietern von vernetzten Produkten und Diensten gespeichert werden. Auf diese Weise soll insbesondere auch den Nutzern Zugang und eine faire Nutzung "ihrer" Daten ermöglicht werden.
Durch die Möglichkeit von anderen Unternehmen auf die bei einem Unternehmen gespeicherten Daten zuzugreifen, soll die Datenökonomie in der EU gefördert werden. Die Unternehmen sollen durch den gegenseitigen Datenaustausch in die Lage versetzt werden, ihrerseits neue Produkte und Dienste zu entwickeln. Zugleich soll der Wettbewerb gestärkt und die Bildung von Datenmonopolen verhindert werden.
Welche wesentlichen Regelungen enthält der Data Act?
Der Data Act beinhaltet im Wesentlichen die folgenden Elemente:
- Zugriffsrechte auf Daten: Nutzer von vernetzten Produkten und verbundenen Diensten haben das Recht, die von ihnen im Rahmen der Nutzung erzeugten Daten einzusehen und weiterzugeben. Der Zugang zu den Daten muss leicht, sicher und standardisiert erfolgen.
- Datenweitergabe an Dritte: Unternehmen, die Daten gespeichert haben, müssen die Daten in einem bestimmten Rahmen und unter Wahrung von Geschäftsgeheimnissen fair und diskriminierungsfrei an andere Unternehmen weitergeben.
- Datenweitergabe an öffentliche Stellen: Öffentliche Stellen und Einrichtungen können bei Krisen und Notsituationen unter bestimmten Voraussetzungen auf Daten bei privaten Unternehmen zugreifen.
- Interoperabilität von Cloud-Diensten und Daten: Der Wechsel zwischen verschiedenen Cloud- bzw. Datenanbietern, das sog. Cloud Switching, wird erleichtert, indem die Anbieter zur Beseitigung von technischen Hindernissen und sonstigen Lock-in-Effekten verpflichtet werden.
- Bewahrung vor unfairen Vertragsklauseln: Kleinere und mittlere Unternehmen (KMU) sollen vor unfairen Vertragsbedingungen im Zusammenhang mit der Datennutzung geschützt werden.
Wen betrifft der Data Act?
Sämtliche Akteure im Dunstkreis vernetzter Produkte und verbundener Dienste sind vom Data Act betroffen. Neben den Nutzern der Produkte und Dienste werden vorrangig auch die Hersteller der Produkte und die Anbieter der Dienste adressiert, die den Zugriff und Austausch von Daten ermöglichen müssen, insbesondere auch in technischer Hinsicht:
- Anbieter können insbesondere Betreiber von Cloud- oder sonstigen Daten-Diensten sein, die insoweit besonderen Pflichten unterliegen, etwa im Hinblick auf die Interoperabilität der Dienste.
- Nutzer können dabei Verbraucher sein, die z.B. in ihrem Zuhause Smart Home-Produkte (z.B. Roboterstaubsauger oder Sprachassistenten) einsetzen, oder auch Unternehmen, die in Ihrem Geschäftsbetrieb auf Internet-of-Things (IoT)-Produkte setzen.
Auf der Gegenseite sind auch die anderen Unternehmen betroffen, die für ihre eigenen Geschäftszwecke Zugang zu den Daten erhalten möchten, sowie die Behörden und sonstige öffentlichen Stellen, die in Krisen- und Notsituationen unter bestimmten Umständen Zugriff auf Daten bekommen können.
Schließlich sind aber auch Händler der vernetzten Produkte und verbundenen Dienste betroffen, auch wenn sie nicht deren Hersteller bzw. Anbieter sind. Um die Pflichten von Händlern soll es in diesem Beitrag im Wesentlichen gehen.
Welche Produkte sind betroffen?
Der Data Act gilt insbesondere für vernetzte Produkte und verbundene Dienste.
Ein vernetztes Produkt ist nach Art. 2 Nr. 5 des Data Act ein Gegenstand, der
- Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt,
- über einen elektronischen Kommunikationsdienst (z.B. Bluetooth, WLAN oder Internet), eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und
- dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.
- Wearables & Gesundheitstechnik wie Smartwatches, Fitnesstracker, medizinische Geräte mit Vernetzung.
- Smarte Haushaltsgeräte wie Smart-TV, vernetzter Kühlschrank oder der Staubsaugerroboter.
- Smart Home-Geräte wie Sprachassistenten, Thermostate und Sicherheitskameras.
- Fahrzeuge wie vernetzte Autos mit Telematik, E-Scooter und E-Bikes.
- Maschinen und Industrieanlagen im Bereich des Smart Manufacturing, vernetzte Landwirtschaftsmaschinen oder vernetzte Geräte aus der Robotik.
Betroffen sind nicht nur die vernetzten Produkte, sondern auch die mit diesen Produkten verbundenen Dienste, also insbesondere die Apps, mit denen die vernetzten Produkte bedient, überwacht oder gesteuert werden können. Ein verbundener Dienst ist nach Art. 2 Nr. 5 des Data Act ein digitaler Dienst,
- bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –,
- der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte, oder
- der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.
- Telematik-Dienste für Fahrzeuge direkt im Fahrzeug oder in einer Handy-App.
- Handy- oder Tablet-Apps für Smart Home-Steuerung.
- Wartungs- und Monitoring-Dienste für etwa die vernetzten Landwirtschaftsmaschinen.
- Cloud-Dienste, die die Daten der Geräte sammeln, speichern oder auswerten.
Welchen vorvertraglichen Informationspflichten unterliegen Händler nach dem Data Act?
Die - vergleichsweise detaillierten und umfangreichen - vorvertraglichen Informationspflichten für Verkäufer, Vermieter und Leasinggeber von vernetzten Produkten ergeben sich aus Art. 3 Abs. 2 des Data Act.
Informationspflichten vor Abschluss von Kauf-, Miet- oder Leasingverträgen für vernetzte Produkte
Vor Abschluss eines Kauf-, Miet- oder Leasingvertrags für ein vernetztes Produkt müssen Verkäufer, Vermieter oder Leasinggeber – wobei es sich auch um den Hersteller handeln kann – dem Nutzer mindestens folgende Informationen in klarer und verständlicher Art und Weise bereitgestellt:
- Art, Format und Umfang der Daten: die Art, das Format und der geschätzte Umfang der Produktdaten, die das vernetzte Produkt generieren kann.
- Stetigkeit der Datengenerierung: die Angabe, ob das vernetzte Produkt in der Lage ist, Daten kontinuierlich und in Echtzeit zu generieren.
- Externe Datenspeicherung: die Angabe, ob das vernetzte Produkt in der Lage ist, Daten auf einem Gerät oder einem entfernten Server zu speichern, gegebenenfalls einschließlich der vorgesehenen Speicherdauer.
- Nutzerrechte hinsichtlich Daten: die Angabe, wie der Nutzer auf die Daten zugreifen, sie abrufen oder gegebenenfalls löschen kann, einschließlich der technischen Mittel hierfür sowie die betreffenden Nutzungsbedingungen und die betreffende Dienstqualität.
Für Anbieter von verbundenen Diensten folgen die vorvertraglichen Informationspflichten aus Art. 3 Abs. 3 des Data Act.
Informationspflichten vor Abschluss eines Vertrags über die Erbringung von verbundenen Diensten
Vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes muss der Anbieter eines solchen verbundenen Dienstes dem Nutzer mindestens folgende Informationen in einer klaren und verständlichen Art und Weise bereitstellen:
- Art, Umfang und Frequenz der Datenerhebung: die Art, der geschätzte Umfang und die Häufigkeit der Erhebung der Produktdaten, die der potenzielle Dateninhaber voraussichtlich erhalten wird, und gegebenenfalls die Modalitäten, nach denen der Nutzer auf diese Daten zugreifen oder sie abrufen kann, einschließlich der Modalitäten des künftigen Dateninhabers in Bezug auf die Speicherung und der Dauer der Aufbewahrung von Daten.
- Nutzerrechte hinsichtlich Daten: die Art und der geschätzte Umfang der zu generierenden verbundenen Dienstdaten sowie die Modalitäten, nach denen der Nutzer auf diese Daten zugreifen oder sie abrufen kann, einschließlich der Modalitäten des künftigen Dateninhabers in Bezug auf die Speicherung und der Dauer der Aufbewahrung von Daten.
- Datenweitergabe: die Angabe, ob der potenzielle Dateninhaber erwartet, ohne Weiteres verfügbare Daten selbst zu verwenden, und die Zwecke, zu denen diese Daten verwendet werden sollen, und ob er beabsichtigt, einem oder mehreren Dritten zu gestatten, die Daten zu mit dem Nutzer vereinbarten Zwecken zu verwenden.
- Identität des Dateninhabers: die Identität des potenziellen Dateninhabers, z.B. sein Handelsname und die Anschrift des Ortes, an dem er niedergelassen ist, sowie gegebenenfalls anderer Datenverarbeitungsparteien.
- Kontaktdaten des Dateninhabers: die Kommunikationsmittel, über die der potenzielle Dateninhaber schnell kontaktiert und effizient mit ihm kommuniziert werden kann.
- Unterbindung der Datenweitergabe an Dritte: die Angabe, wie der Nutzer darum ersuchen kann, dass die Daten an einen Dritten weitergegeben werden, und wie er die Datenweitergabe gegebenenfalls beenden kann.
- Beschwerderecht: das Recht des Nutzers, bei der zuständigen Behörde Beschwerde wegen eines Verstoßes gegen eine der Bestimmungen dieses Kapitels einzulegen.
- Geschäftsgeheimnisse: die Angabe, ob ein potenzieller Dateninhaber Inhaber von Geschäftsgeheimnissen ist, die in den Daten enthalten sind, die über das vernetzte Produkt zugänglich sind oder die bei der Erbringung eines verbundenen Dienstes generiert werden, und, wenn der potenzielle Dateninhaber nicht Inhaber von Geschäftsgeheimnissen ist, die Identität des Inhabers des Geschäftsgeheimnisses.
- Vertragslaufzeit und Kündigungsrechte: die Dauer des Vertrags zwischen dem Nutzer und dem potenziellen Dateninhaber sowie die Ausgestaltung für die vorzeitige Beendigung eines solchen Vertrags.
Woher können Händler die Informationen bekommen?
Selbstverständlich können Händler vernetzter Produkte und Anbieter von verbundenen Diensten diese Informationspflichten nicht alleine erfüllen, d.h. nicht eigenständig aus sich heraus wissen und dann bekannt geben.
Vielmehr benötigen Händler die Informationen vom Hersteller bzw. Anbieter der Produkte und Dienste, die ihnen diese Informationen in einem geeigneten Format bereitstellen müssen. Ansonsten kann ein Händler seinen vorvertraglichen Informationspflichten in der Praxis kaum nachkommen.
Wie können Händler die Informationspflichten in der Praxis umsetzen?
Für betroffene Händler, die vernetzte Produkte und verbundene Dienste in ihrem Shop anbieten, ist die Umsetzung der vorvertraglichen Informationspflichten in ihrem Shop mit nicht nur geringem Aufwand verbunden. Voraussetzung für die Umsetzung ist zunächst, dass die Informationen vom Lieferanten bzw. vom Hersteller der vernetzten Produkte und dem Anbieter der verbundenen Dienste in geeigneter Weise bereitgestellt werden.
Es bieten sich insbesondere zwei Varianten zur Umsetzung der Informationspflichten direkt im Shop an:
- Produktbeschreibung: Händler können die Informationspflichten als eigenen Abschnitt in die Produktbeschreibung auf der Produktseite bzw. Produktdetailseite aufnehmen. Der Abschnitt könnte mit der Überschrift "Vernetztes Produkt und Datennutzung" oder "Hinweise zum vernetzten Produkt und Daten" eingeleitet werden. Auf diese Weise würden die Kunden bzw. Nutzer die Pflichtinformationen direkt im Zusammenhang mit der sonstigen Beschreibung der Produkteigenschaften einsehen können.
- Tab-Lösung: Alternativ zur Aufnahme eines vollständigen eigenen Abschnitts in die Produktbeschreibung könnten Händler die Pflichtinformationen auch in einem gesonderten Bereich darstellen, der etwa erst durch Klicken auf den Reiter eines Tabs aufgeklappt wird. Der Reiter könnten mit dem Titel "Weitere Hinweise zum vernetzten Produkt und der Datennutzung" oder einer vergleichbaren schlichten und deutlichen Bezeichnung betitelt werden. Allerdings ist in diesem Fall zu empfehlen, zumindest erste wesentliche Informationen bereits direkt in die Produktbeschreibung aufzunehmen und die detaillierten Informationen dann unter dem Tab bzw. auf der gesonderten Seite zu hinterlegen.
Nicht hinreichend wäre die alleinige Umsetzung der Informationspflichten in einem Produktdatenblatt, das Kunden etwa als PDF-Datei herunterladen können.
Auch die Beilage eines Informationsblatts zur Lieferung wäre nicht ausreichend, da Information in diesem Fall erst nach Vertrag und somit zu spät erfolgen würde.
Müssen die Rechtstexte des Online-Shops auf den Data Act angepasst werden?
Nein, das Impressum, die Datenschutzerklärung, die AGB und die Widerrufsbelehrung samt Widerrufsformular müssen im Hinblick auf die Anforderungen des Data Act nicht angepasst werden.
Für Händler von vernetzten Produkten bzw. Anbieter von verbundenen Diensten gelten im Wesentlichen Informationspflichten, die direkt im Webshop bei den einzelnen Produktinformationen, d.h. in den Produktbeschreibungen umgesetzt werden müssen.
Welche Übergangsfristen gelten?
Die vorvertraglichen Informationspflichten sind seit 12. September 2025 im Handel umzusetzen.
Übergangsfristen gelten für die vorvertraglichen Informationspflichten nicht.
Welche Folgen drohen bei Nichtbeachtung des Data Act?
Im Wesentlichen sind die im Folgenden dargestellten Konsequenzen und Sanktionen möglich:
- Bei Verstößen gegen den Data Act oder dessen Nichtbeachtung sind behördliche Maßnahmen einschließlich Bußgelder in empfindlicher Höhe, vergleichbar denen bei Datenschutzverstößen gegen die Datenschutz-Grundverordnung (DSGVO), denkbar.
- Die vorvertraglichen Informationspflichten des Data Act dürften als Marktverhaltensregelungen i.S.d. § 3a des Gesetzes gegen den unlauteren Wettbewerb (UWG) einzustufen sein, mit der Folge, dass Verstöße hiergegen insbesondere von Mitbewerbern und Verbänden, wie etwa Branchen- oder Verbraucherschutzverbänden, abgemahnt werden können.
- Im Übrigen drohen Unternehmen bei Verstoßen auch Reputationsschäden.
Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
0 Kommentare