Data Act Update: EU-Expertenbericht liefert Mustervorlagen für Daten- und Cloud-Verträge als Orientierungshilfe

Die Europäische Kommission hat am 2. April 2025 den Abschlussbericht der Expertengruppe für B2B Datenaustausch und Cloud-Computing-Verträge veröffentlicht (abrufbar über: Register of Commission expert groups and other similar entities).

Der Bericht befasst sich mit den von der Expertengruppe erstellten Mustervertragsklauseln (Model Contractual Terms - MCTs) für Datenzugang- und -nutzung sowie Standardvertragsklauseln (SCCs) für Cloud-Computing-Verträge. Diese sollen die praktische Umsetzung des EU Data Acts (siehe auch: https://www.ypog.law/insight/countdown-data-act), dessen weitreichende neue Regeln zum Zugang und zur Nutzung von Daten (insbesondere aus vernetzten Produkten - IoT) sowie zu Cloud-Verträgen in weiten Teilen bereits ab dem 12. September 2025 anzuwenden sind, erleichtern. 

Der Bericht bietet ein wichtiges und insbesondere praxisnahes Instrument für alle Unternehmen, die Daten aus vernetzten Produkten nutzen, Daten teilen oder Cloud-Dienste in Anspruch nehmen. 

Wer hat den Bericht erstellt und warum ist er relevant? 

Die Expertengruppe wurde 2022 von der EU-Kommission eingesetzt, um gemäß Artikel 41 des Data Acts unverbindliche MCTs und SCCs zu entwickeln. Die Gruppe besteht aus 17 unabhängigen Fachleuten (insbesondere Juristen, aber auch Praktiker und Akademiker), deren Entwürfe intensiv im Rahmen von (zum Teil öffentlichen) Konsultationen und Webinaren diskutiert und überarbeitet wurden. 

Ziel der Klauseln ist es, die Verhandlungen und den Abschluss fairer, angemessener, nicht-diskriminierender und ausgewogener Verträge zu unterstützen – insbesondere für kleine und mittlere Unternehmen (KMU), die möglicherweise nicht über die Ressourcen verfügen, eigene Vertragswerke zu entwickeln. 

Obwohl die Klauseln freiwillig und nicht bindend sind, bieten sie eine wertvolle Orientierungshilfe, um die komplexen Anforderungen des Data Acts zu erfüllen. Sie sind hauptsächlich für B2B-Beziehungen konzipiert, können aber mit zusätzlichen Bestimmungen auch im B2C-Bereich verwendet werden. 

An wen richtet sich die Leitlinie besonders? 

Die Leitlinie (und der zugrundeliegende Bericht) richtet sich an eine breite Zielgruppe, insbesondere: 

• Hersteller von IoT-Geräten: Da sie den Zugang zu den von ihren Geräten generierten Daten regeln müssen. 
• Cloud-Service-Provider: Um ihre Verträge an die Anforderungen des Data Act anzupassen.
• Unternehmen, die Daten nutzen: Um faire und rechtssichere Vereinbarungen über die Datennutzung zu treffen (z.B. im Kontext von Industrie 4.0 oder Smart Home).
• Rechtsabteilungen: Die mit der Gestaltung und Prüfung von Daten- und Cloud-Verträgen befasst sind. 

Die Auseinandersetzung mit den Mustern ist für diese Zielgruppen unerlässlich, um Compliance-Risiken zu minimieren und faire Geschäftsbeziehungen zu gestalten. 

Überblick über die Mustervertragsklauseln (MCTs) für den Datenaustausch 

Die MCTs sollen helfen, die Regeln des Data Acts zum Datenzugang und zur Datennutzung (Kapitel II-IV) vertraglich umzusetzen. Sie sind als vollständige Vertragsmuster für spezifische Datenaustausch-Szenarien konzipiert. 

• Zweck und Natur: Die MCTs sind freiwillige, nicht bindende Vorlagen. Sie sollen faire, angemessene und nicht-diskriminierende Rechte und Pflichten gewährleisten, einschließlich Regelungen zur Vergütung und zum Schutz von Geschäftsgeheimnissen. Unternehmen können sie als Leitfaden nutzen und an ihre spezifischen Bedürfnisse anpassen – so signalisieren etwa grau hinterlegte Felder in den Annexen Individualisierungsbedarf, wobei graue Kästen zusätzliche Informationen und Definitionen aus dem Data Act enthalten.
• Verschiedene MCT-Sets für typische Szenarien: Der Bericht enthält vier verschiedene Sets von MCTs, die unterschiedliche Konstellationen abdecken:  

• Annex I: Verträge zwischen Dateninhabern (z.B. Hersteller) und Nutzern vernetzter Produkte/verbundener Dienste. Regelt u.a. die Nutzung von Daten durch den Dateninhaber und den Datenzugang für den Nutzer auf Anfrage (gemäß Art. 4 Data Act).
• Annex II: Verträge zwischen Nutzern und Datenempfängern (Dritten), wenn der Nutzer den Dateninhaber auffordert, Daten an den Dritten weiterzugeben (gemäß Art. 5 Data Act).
• Annex III: Verträge zwischen Dateninhabern und Datenempfängern, wenn der Dateninhaber auf Anfrage des Nutzers Daten an den Dritten bereitstellen muss (gemäß Art. 5 Data Act).
• Annex IV: Verträge für die freiwillige Datenweitergabe zwischen einem Datenbereitsteller („Data Sharer“) und einem Datenempfänger, unabhängig von einer Nutzeranfrage. 

• Kerninhalte (Beispiele): Die MCTs decken typischerweise folgende Aspekte ab (variiert je nach Annex):  

• Definition der Parteien (Hersteller/Dateninhaber, Nutzer, Datenempfänger) und ihrer Rollen/Pflichten sowie der betroffenen Produkte/Dienste.
• Spezifikation der betroffenen Daten.
• Regelungen zur Datennutzung und -weitergabe durch den Dateninhaber und den Nutzer/Datenempfänger.
• Bedingungen für den Datenzugang auf Anfrage (Qualität, Format, Metadaten, Zeitrahmen).
• Schutz von Geschäftsgeheimnissen (Identifizierung, Schutzmaßnahmen, Verweigerungsrechte unter strengen Voraussetzungen).
• Allgemeine Bestimmungen wie (1) Regelungen zur (angemessenen) Vergütung; (2) Haftung und Rechtsbehelfe bei Vertragsverletzungen sowie (3) Laufzeit und Kündigung. 

• Bezug zum Data Act: Die MCTs sind darauf ausgelegt, die Umsetzung der Anforderungen aus den Kapiteln II-IV des Data Acts zu erleichtern und die Einhaltung der dort festgelegten Rechte und Pflichten zu unterstützen. 

Überblick über die Standardvertragsklauseln (SCCs) für Datenverarbeitungsdienste und Cloud Computing 

Die SCCs zielen darauf ab, faire, angemessene und nicht-diskriminierende Bedingungen in Cloud-Verträgen zu fördern und insbesondere den Anbieterwechsel („Switching“) zu erleichtern, wie in den Kapiteln VI und VIII des Data Acts vorgesehen. Anders als die MCTs sind die SCCs als einzelne, modulare Klauseln konzipiert, die in bestehende oder neue Datenverarbeitungsverträge (z.B. Cloud Service Agreements) eingefügt werden können.  

• Zweck und Natur: Auch die SCCs sind freiwillig und nicht bindend. Sie sollen als Best-Practice-Leitfaden für Kunden und Anbieter dienen. Detaillierte Erläuterungen sind sowohl in den Einleitungen als auch in den abschließenden „Informationsboxen“ der jeweiligen SCCs enthalten.
• SCC-Module: Der Bericht schlägt Klauseln für folgende Bereiche vor:  

• General: Enthält allgemeine Bestimmungen und Definitionen, die für alle SCCs relevant sind.
• Switching & Exit: Regelt detailliert den Prozess des Wechsels zu einem anderen Anbieter oder zu einer On-Premise-Infrastruktur, einschließlich Zeitplänen (max. 30 Tage Übergangsfrist), Unterstützungspflichten des Anbieters und Regelungen zu Exportdaten. Enthält Optionen für einen detaillierten Switching-Plan oder die Nutzung automatisierter Tools.
• Security & Business Continuity: Fokussiert auf die Aufrechterhaltung eines hohen Sicherheitsniveaus und der Geschäftskontinuität während des Wechsels.
• Non-Dispersion: Zielt auf Transparenz und leichten Zugang zu allen relevanten Vertragsdokumenten und Informationen ab, um Informationsasymmetrien zu verringern.
• Kündigung: Behandelt die Kündigung des Vertrags im Zusammenhang mit dem Switching-Prozess.
• Haftung: Bietet Bausteine für ausgewogene Haftungsregelungen.
• Vertragsanpassung: Regelt die Bedingungen, unter denen einseitige Vertragsänderungen (ausnahmsweise) zulässig sind, um Rechtssicherheit zu gewährleisten.

• Praktische Bedeutung: Diese Klauseln adressieren zentrale Herausforderungen in Cloud-Verträgen. Sie stärken die Position der Kunden, insbesondere beim Anbieterwechsel (ein Kernrecht im Data Act), fördern faire Vertragsbedingungen und erhöhen die Transparenz. Sie sollen somit auch zur Rechtssicherheit bei Cloud-Computing-Verträgen beitragen.
• Bezug zum Data Act: Die SCCs helfen bei der Umsetzung der Anforderungen aus den Kapiteln VI (insb. Switching) und VIII (Interoperabilität von Datenverarbeitungsdiensten) des Data Acts. 

Praktische Bedeutung – Ihre nächsten Schritte 

Der Data Act wird die Art und Weise, wie Unternehmen auf Daten zugreifen, sie nutzen und teilen, sowie wie sie Cloud-Dienste beziehen, grundlegend verändern. Der Anwendungsbeginn am 12. September 2025 rückt näher. Unternehmen sollten daher jetzt handeln: 

1. Verträge prüfen und anpassen: Bestehende Verträge (Lieferverträge für vernetzte Produkte, Serviceverträge in Bezug auf verbundene Dienste, IoT-Verträge, Cloud-Verträge, Datennutzungsvereinbarungen) müssen auf Konformität mit dem Data Act überprüft und ggf. angepasst werden. Die MCTs und SCCs bieten hierfür wertvolle Anhaltspunkte.
2. Neue Verträge gestalten: Bei Neuabschlüssen sollten die Anforderungen des Data Acts von Anfang an berücksichtigt werden. Die Musterklauseln können als Verhandlungsgrundlage und Formulierungshilfe dienen.
3. Interne Prozesse anpassen: Unternehmen müssen sicherstellen, dass sie Anfragen auf Datenzugang (von Nutzern oder Dritten im Auftrag von Nutzern) gemäß den Vorgaben des Data Acts bearbeiten können.
4. Chancen erkennen: Der Data Act eröffnet auch neue Möglichkeiten, Daten zu nutzen und innovative, datengetriebene Dienstleistungen zu entwickeln. Faire Vertragsbedingungen, wie sie die MCTs/SCCs fördern, sind hierfür eine wichtige Grundlage. 

Die nun vorgelegten MCTs und SCCs sind Empfehlungen der Expertengruppe an die Kommission. Die finale Empfehlung der EU-Kommission soll gemäß Artikel 41 Data Act bis zum 12. September 2025 vorliegen, sie wird aber bereits zum Sommer 2025 erwartet. Bis dahin bietet der Bericht der Expertengruppe eine ausführliche Orientierungshilfe bei der Überarbeitung und Erstellung von Verträgen. Es sollte jedoch berücksichtigt werden, dass die Klauseln dem jeweiligen Produkt, dem Nutzungsverhalten und den Interessen der Parteien angepasst werden müssen – Ziel der Expertengruppe war es, einen weiten Orientierungsrahmen zu schaffen, keine Einzelfallregelungen. Ihr praktischer Erfolg wird davon abhängen, inwieweit sie vom Markt angenommen werden und ob sie sich zu einem De-facto-Standard entwickeln, oder ob große Anbieter weiterhin auf eigene angepasste Bedingungen zurückgreifen werden. 

Ihre nächsten Schritte 

Die Umsetzung des Data Acts und die Nutzung der neuen Musterklauseln werfen komplexe rechtliche Fragen im Softwarerecht, IP-Recht und Vertragsrecht auf. Wir unterstützen Sie gern auf dem Weg zur Data Act-Compliance und der Nutzung der sich ergebenden Chancen für Ihr Unternehmen: 

• Analyse Ihrer bestehenden Verträge im Hinblick auf den Data Act.
• Anpassung und Gestaltung Data-Act-konformer Verträge unter Berücksichtigung der MCTs und SCCs.
• Beratung zu Datenlizenzierung und Schutz von Geschäftsgeheimnissen im Kontext des Data Acts.
• Unterstützung bei Verhandlungen mit Geschäftspartnern und Lieferanten. 
  
  

Kontaktieren Sie uns gern für ein unverbindliches Erstgespräch!

Download YPOG Briefing: Data Act Update: EU-Expertenbericht liefert Mustervorlagen für Daten- und Cloud-Verträge als Orientierungshilfe