Navigation und Service

Springe direkt zu:

Weitere Fragen und Antworten

Weitere Fragen und Antworten

Welche Rolle spielt der Grad der Aufbereitung von Daten?

Rohdaten, vorverarbeitete Daten und Metadaten sind vom Data Act umfasst. Rohdaten werden ohne eine Form der Weiterverarbeitung automatisch generiert. Vorverarbeitete Daten werden vor der Auswertung aufbereitet, um sie verständlich und nutzbar zu machen. Dies kann beispielsweise die Umrechnung in verständlichere Größeneinheiten oder Plausibilisierungen einschließen. Metadaten beschreiben generierte Daten und machen diese verständlicher, indem diese mit Zusatzinformationen angereichert werden (beispielsweise Angabe der Einheit oder Zeitstempel).

Vom Data Act umfasst sind beispielsweise Daten, die von einem einzelnen Sensor oder einer Gruppe von Sensoren gesammelt werden wie Temperatur, Druck, Durchflussrate, Audio, pH-Wert, Flüssigkeitsstand, Position, Beschleunigung oder Geschwindigkeit.

Nicht vom Data Act eingeschlossen sind abgeleitete Daten. Dies sind hochgradig angereicherte Daten, die eine Herleitung/Ableitung von Informationen ermöglichen, die das Ergebnis zusätzlicher Investitionen des Dateninhabers sind, insbesondere durch die Anwendung komplexer Algorithmen, die möglicherweise auch Rechten des geistigen Eigentums unterliegen können. Diese Daten müssen nicht herausgegeben werden.

Was sind technische und organisatorische Maßnahmen (TOMs)?

Ziel des Data Acts ist es, den Zugang zu Daten zu erleichtern und Innovationen zu fördern, ohne dabei die Sicherheit und Vertraulichkeit von Daten zu gefährden. Um dies sicherzustellen, sollen Dateninhaber und Nutzer bzw. Dritte angemessene technische und organisatorische Maßnahmen (TOMs) bezüglich der Verarbeitung und Weitergabe von Daten vereinbaren.

TOMs sollen insbesondere unbefugte Zugriffe, die Manipulation und Verluste von Daten verhindern. Allgemein können TOMs unterschiedlich ausgestaltet werden:

  • Technische Maßnahmen sind physische und IT-basierte Vorkehrungen wie beispielsweise die Nutzung von Verschlüsselungstechnologien bei der Übertragung und Speicherung von Daten, die Umsetzung von Passwortrichtlinien, die Anwendung von Firewalls und Virenschutz, die Etablierung von Zutrittskontrollen zu Serverräumen oder die Nutzung intelligenter Verträge.
  • Organisatorische Maßnahmen sind Verfahren und Anweisungen, die ein Unternehmen trifft, um die Datenverarbeitung zu steuern und zu kontrollieren. Hierzu zählen beispielsweise Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, Richtlinien für die Datenverarbeitung, Berechtigungskonzepte oder Mitarbeiterschulungen für den Umgang mit Daten sowie Notfallpläne bei Sicherheitsvorfällen.

Vereinbarte TOMs sind durch alle Akteure zwingend aufrechtzuerhalten, d.h. Nutzer und Dritte dürfen TOMs nur mit Zustimmung des Dateninhabers verändern oder aufheben. Zudem gilt bezüglich der Einrichtung von TOMs der Grundsatz der Nichtdiskriminierung. Entsprechend dürfen Nutzer und Dritte nicht unterschiedlich behandelt werden.

Müssen Geschäftsgeheimnisse herausgegeben werden?

Geschäftsgeheimnisse werden vom Data Act geschützt. Auch wenn von der Datenbereitstellungspflicht des Data Act grundsätzlich auch Geschäftsgeheimnisse erfasst sind, wird deren Schutz nicht aufgehoben. Die im Data Act verankerte „Handbremse für Geschäftsgeheimnisse“ ist ein Mechanismus zum Schutz von Geschäftsgeheimnissen und gibt Bedingungen vor, unter denen ein Dateninhaber in Ausnahmefällen Geschäftsgeheimnisse zurückhalten, aussetzen oder ihre Weitergabe verweigern kann.

An den bestehenden gesetzlichen Bestimmungen zum Schutz von Geschäftsgeheimnissen ändert sich durch den Data Act nichts. Es gilt weiterhin uneingeschränkt die Richtlinie (EU) 2016/943 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen, die in Deutschland durch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) umgesetzt wurde. Danach ist ein Geschäftsgeheimnis eine Information, die

  • weder allgemein bekannt, noch ohne Weiteres zugänglich ist und daher einen wirtschaftlichem Wert besitzt,
  • durch angemessene Geheimhaltungsmaßnahmen durch den Inhaber geschützt wird, und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Mit der Handbremse für Geschäftsgeheimnisse gehen verschiedene Rechte und Pflichten einher, insbesondere:

  • Dateninhaber müssen Geschäftsgeheimnisse bereits vorvertraglich identifizieren und benennen. Eine nachträgliche Einstufung von Daten als Geschäftsgeheimnis ist generell nicht vorgesehen.
  • Ein Dateninhaber hat das Recht, vor der Offenlegung seiner Daten von Nutzern und Dritten zu verlangen, dass sie die Vertraulichkeit von Geschäftsgeheimnissen wahren, indem sie erforderlichen technischen und organisatorischen Maßnahmen (TOMs) zustimmen und diese umsetzen. Als Maßnahmen können sich beispielsweise Mustervertragsklauseln, Vertraulichkeitsvereinbarungen, strenge Zugangsprotokolle, technische Normen oder Verhaltenskodizes eignen. Eine Weigerung der Datenbereitstellung ist nur im Ausnahmefall möglich, beispielsweise wenn keine Vereinbarung getroffen wird oder Nutzer/Dritte die vereinbarten TOMs nicht umsetzen. Die Mechanismen zum Schutz von Geschäftsgeheimnissen dürfen nicht missbräuchlich genutzt werden, um den Datenzugang unverhältnismäßig einzuschränken.
  • Der Dateninhaber kann die Herausgabe beziehungsweise Weitergabe von Geschäftsgeheimnissen auch verweigern, wenn ein objektiver Nachweis dafür erbracht wird, dass die Offenlegung seiner Geschäftsgeheimnisse mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden zur Folge hätte. Demnach müsste für den Dateninhaber ein schwerer und nicht wiedergutzumachender wirtschaftlicher Verlust entstehen.

Sofern Daten zurückgehalten, ausgesetzt oder die Weitergabe verweigert wird, muss die Entscheidung des Dateninhabers einerseits gegenüber Nutzern/Dritten begründet werden und andererseits die zuständige Behörde hierüber benachrichtigt werden. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, ist die Bundesnetzagentur als zuständige Behörde benannt.

Umgang mit Geschäftsgeheimnissen

Dateninhaber schaffen Transparenz über das Vorliegen von Geschäftsgeheimnissen
(Vorvertragliche Informationen nach Artikel 3)

Müssen Geschäftsgeheimnisse bereitgestellt werden? Grundsätzlich ja
  • Dateninhaber müssen Nutzern (Artikel 4 Absatz 6) bzw. Dritten (Artikel 5 Absatz 9) grundsätzlich auch Geschäftsgeheimnisse bereitstellen
  • Aber: Dateninhaber und Nutzer bzw. Dritte vereinbaren angemessene technische und organisatorische Schutzmaßnahmen (TOM)
Gibt es Ausnahmen? Ja

Handbremse: TOMs

  • Wenn keine Einigung mit Nutzern (Artikel 4 Absatz 7) bzw. Dritten (Artikel 5 Absatz 10) über TOMs erzielt werden kann oder die TOMs nicht umgesetzt werden, kann die Datenweitergabe verweigert oder ausgesetzt werden (Begründung erforderlich)

Handbremse: Schwerer wirtschaftlicher Schaden

  • Wenn der Dateninhaber nachweisen kann, dass dieser trotz der vereinbarten TOMs mit dem Nutzer (Artikel 4 Absatz 8) bzw. Dritten (Artikel 5 Absatz 11) mit hoher Wahrscheinlichkeit einen schweren, nicht wiedergutzumachenden wirtschaftlichen Schaden durch die Offenlegung von Geschäftsgeheimnissen erleiden würde (Begründung erforderlich)

Müssen sicherheitsrelevante Daten herausgegeben werden?

Der Data Act sieht unter bestimmten Voraussetzungen vor, dass sicherheitsrelevante Daten vom Dateninhaber zurückgehalten werden können. Die „Sicherheits-Handbremse“ gibt vor, dass Nutzer und Dateninhaber vereinbaren können, die Weitergabe von Daten einzuschränken oder zu verweigern, wenn die Gefahr besteht, dass die Sicherheitsanforderungen des vernetzten Produkts beeinträchtigt werden, was zu schwerwiegenden nachteiligen Auswirkungen auf die Gesundheit oder die Sicherheit von natürlichen Personen führen könnte.

Die entsprechenden Sicherheitsanforderungen müssen im EU-Recht oder im nationalen Recht verankert sein. Sektorale Fachbehörden können den Nutzern und Dateninhabern technisches Fachwissen zur Verfügung stellen, um bewerten zu können, ob Beschränkungen notwendig oder gerechtfertigt sind. Beabsichtigt der Dateninhaber die „Sicherheits-Handbremse“ zu nutzen, muss er dies der zuständigen Behörde mitteilen. Für Dateninhaber, die ihre Hauptniederlassung in Deutschland haben, ist die Bundesnetzagentur als zuständige Behörde benannt.

Müssen personenbezogene Daten herausgegeben werden?

Die Datenzugangsansprüche des Data Act gelten gleichermaßen für nicht-personenbezogene Daten und für personenbezogene Daten. Die Verarbeitung personenbezogener Daten unterliegt dabei den bekannten Vorschriften der Datenschutz-Grundverordnung. Sofern personenbezogene Daten betroffen sind, muss also beispielsweise im Zuge eines Herausgabeverlangens eine gültige Rechtsgrundlage gemäß Artikel 6 DSGVO für die Verarbeitung personenbezogener Daten vorliegen. Eine solche liegt jedenfalls vor, wenn der die Bereitstellung verlangende Nutzer und die datenschutzrechtlich betroffene Person identisch sind. Handelt es sich bei dem Nutzer nicht um die betroffene Person, so bietet der Data Act keine Rechtsgrundlage für die Gewährung des Zugangs zu personenbezogenen Daten oder für deren Bereitstellung an Dritte.

Beispiel Automobilsektor

Am 12.09.2025 hat die Europäische Kommission einen Leitfaden zum Umgang mit Fahrzeugdaten im Rahmen des Data Act veröffentlicht („Guidance on vehicle data“).

Der Leitfaden zu Fahrzeugdaten bietet Akteuren der Automobilbranche vor allem Hinweise zur Umsetzung von Kapitel II des Data Act, indem die wichtigsten Verpflichtungen in Bezug auf Fahrzeugdaten und die geltenden Zugangsregeln erläutert werden. Zu beachten ist, dass die Leitlinien nur den Automobilsektor betreffen, d.h. die Inhalte können nicht automatisch auf andere Wirtschaftsbereiche übertragen werden.

Der Leitfaden „Guidance on vehicle data“ der Europäischen Kommission kann hier abgerufen werden (aktuell nur in englischer Sprache verfügbar).

Interessante Links

Pfeil nach links
Pfeil nach rechts
Mastodon