Die neue „Produkt- und Service-Datenverordnung” 2023/2854 wird scharf geschaltet.
Ab 12. September 2025 beginnt die EU Verordnung 2023/2854 (EUDV) zu wirken. Ihr etwas vager Name „Datenverordnung“ kommt daher, dass sie als Querschnitt über alle andere Regelungen auf alle Produkte und Dienstleistungen die Datenfreiheit bewirken will und wirklich alle Daten meint, die damit verbunden sind.
Die Hauptstoßrichtung ist der Nutzer von „vernetzten Produkten“ nach Art. 2 Nr. 5 EUDV. Dieser soll zu allen seinen Daten (wie Produktdaten, Dienstdaten, Metadaten), die in seinen Geräten oder Anwendungen sind, möglichst einfachen und ungehinderten Zugang in Echtzeit haben und diese auf andere Geräte oder an andere Anbieter weitergeben können. Zu „seinen“ Daten zählen alle Daten, die von ihm, seinen Geräten oder Anwendungen stammen. Der Datenschutz spielt dabei erstmal keine Rolle, wird aber nicht angetastet.
Welche Pflichten haben die Anbieter?
Aus der Hauptpflicht der unmittelbaren Datenübertragbarkeit ergibt sich wie selbstverständlich, dass die Anbieter von Geräten und Dienstleistungen im Rahmen der Transparenzpflichten nach Art. 3 Abs. 2 darüber informieren müssen, wie das vonstatten geht, sowie welche Spezifikationen ihre Datenschnittstellen haben, damit ein neuer Anbieter die Daten bei sich einspielen kann. Dazu sollen auch Onlineregister entstehen.
Der typische EU-Formalismus schlägt auch hier wieder zu. Obwohl schon alles im Gesetz steht, müssen die in Art. 13 (Kapitel IV) genannten Vertragsklauseln künftig nochmal in die eigenen Verträge aufgenommen werden. Eigentlich soll es dafür nach Art. 41 EUDV bis 12.09.2025 Mustervertragsklauseln der EU-Kommission geben, aber die fehlen noch. Wegen der politischen Wechsel in Deutschland fehlt auch noch eine nationale Zuständigkeit. Derzeit ist dafür die Bundesnetzagentur vorgesehen.
Die meisten Pflichten sind auch in beiderseitigem Einverständnis nicht abbedingbar, gegenteilige Vertragsklauseln sind automatisch unwirksam.
Darüber hinaus regelt die EUDV noch den Notzugriff von Behörden auf die Daten, die Interoperationalität in europäischen Datenräumen und „intelligente Verträge“.
Welche Übergangsregeln gibt es?
Mit Gültigkeitsbeginn ab 12.09.2025 sind erst mal nur Neuverträge und neue Produkte betroffen.
Das Recht des Betroffenen auf direkten Datenzugriff nach Art. 3 Abs. 1 EUDV gilt erst ab 12.09.2026. Bis dahin darf der Dateninhaber nach Art. 4 noch umständlichere Wege nutzen, um sie ihm zukommen zu lassen.
Ab 12.09.2027 müssen die Pflichtklauseln für Verträge aus Art. 13 EUDV auch auf Altverträge angewandt werden, die mindestens bis zum 11. Januar 2034 gelten sollen (unbefristet oder mindestens 10 Jahre gültig).
Welche Grenzen gibt es?
Es klingt zwar trivial, aber die EUDV gilt nur für Produkte und Dienste, die in den Zuständigkeitsbereich der EU fallen, also nicht für die letzten verbliebenen nationalen Zuständigkeiten, hauptsächlich nationale Behörden.
Der Betroffene darf seine Daten zwar weitergeben an wen er will, aber an sogenannte Torwächter, große Plattformbetreiber wie Google und Microsoft, nur mit ausdrücklicher Zustimmung.
Die Grenzen des Datenschutzes und der Geschäftsgeheimnisse gelten weiterhin.
Werden die Daten von einem Anbieter zu einem neuen gewechselt, gibt es das Recht auf eine kostendeckende „Marge“. Das ist jedoch noch sehr vage, weil die Kommission die nötigen Leitlinien dazu noch nicht erlassen hat.
Es gibt Erleichterungen für Kleinst-, kleine und mittlere Unternehmen sowie die Forschung.
Natürlich haben Betroffene Beschwerderechte und Behörden können Bußgelder verhängen.
Empfohlene Maßnahmen für Unternehmen
Datenidentifikation: Ermitteln sie die Arten von Daten, die bei der Nutzung ihrer Produkte oder Dienstleistungen beim Nutzer anfallen.
Datenbereitstellung: Entwickeln sie Prozesse, um nutzergenerierte Daten in Echtzeit und maschinenlesbar bereitzustellen.
Vertragsgestaltung: Überarbeiten sie Verträge anhand der Pflichtinhalte und um gegebenenfalls Lizenzen zur Datennutzung einholen zu können. Vermeidung missbräuchlicher Klauseln: Stellen sie faire Bedingungen für die Datenweitergabe sicher.
Transparenz: Informieren sie Kunden in Marketing und Akquise (auch auf Webseiten) transparent über ihre Rechte nach der EUDV bei Datenzugang und -weitergabe.
Vergütungsmodelle: Setzen sie für angemessene Vergütungen für die Datenbereitstellung an Dritte, insbesondere bei kleinen Unternehmen, fest.
Datenschutzkonformität: Stellen sie sicher, dass personenbezogene Daten nur mit entsprechender Rechtsgrundlage weitergegeben werden.
Schutz von Geschäftsgeheimnissen: Implementieren sie technische und organisatorische Maßnahmen zum Schutz von Geschäftsgeheimnissen.
Vorbereitung auf behördliche Anforderungen: Bereiten sie sich auf mögliche behördliche Datenanforderungen vor und planen sie entsprechende Prozesse zur Anonymisierung oder Pseudonymisierung.
Das beste kommt zum Schluss?
Für die Datenübertragung und Anpassung bei Wechseln oder bei Datenanfragen der Behörden können zumindest kleine Marktteilnehmer grundsätzlich Kostenerstattung verlangen.
Bis zum 12. Januar 2027 dürfen Anbieter von Datenverarbeitungsdiensten für den Vollzug des Anbieterwechsels von ihren Kunden Wechselentgelte erheben.
Bewerten sie selbst, was das bedeuten soll: In Art. 29 Abs. 5 steht: „Gegebenenfalls stellen Anbieter von Datenverarbeitungsdiensten einem Kunden Informationen über Datenverarbeitungsdienste bereit, durch die der Wechsel sehr kompliziert oder kostspielig wird oder ohne nennenswerte Eingriffe in die Daten, digitalen Vermögenswerte oder die Dienstarchitektur unmöglich ist.“
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 26.06.2025
