Insights und Analysen

EU Data Act: Missbräuchliche Vertragsklauseln

26 Juni 2025

Nach Maßgabe von Art. 13 der Verordnung (EU) 2023/2854 ("Data Act") unterliegen zukünftig bestimmte Vertragsklauseln in Verträgen, welche Rechte und Pflichten in Bezug auf Daten von vernetzten Produkten (z. B. smarte Wärmepumpen, vernetzte Fahrzeuge oder Wallboxen, Smartwatches etc.) oder damit verbundenen Diensten (z. B. Apps) regeln, einer Inhaltskontrolle.

1. Für welche Verträge gilt die Inhaltskontrolle?

Allgemeines

Die Inhaltskontrolle des Art. 13 Data Act gilt für Verträge, die (1) zwischen Unternehmen, d. h. (vereinfacht gesagt) gewerblich handelnden natürlichen oder juristischen Personen, freiwillig oder verpflichtend (dazu sogleich) abgeschlossen werden und (2) datenbezogene Rechte und Pflichten regeln. Sie ist nicht auf bestimmte Vertragstypen beschränkt, sodass sie auch für Kauf- und ietverträge zwischen Unternehmen gilt, wenn diese datenbezogene Rechte und Pflichten enthalten.

Die Inhaltskontrolle gilt für alle Verträge, die nach dem 12. September 2025 abgeschlossen werden (Art. 50 Abs. 5 Data Act). Verträge, die vorher abgeschlossen wurden, unterliegen ab dem 12. September 2027 der Inhaltskontrolle nur, wenn sie unbefristet sind oder ihre Vertragslaufzeit frühestens 10 Jahre nach dem 11. Januar 2024 endet Art. 50 Abs. 6 Data Act).

Die Inhaltskontrolle gilt hingegen nicht für Verträge zwischen Unternehmen ohne Datenbezug oder Verträge mit Datenbezug, die ausschließlich zwischen Verbrauchern oder zwischen einem Unternehmen und einem Verbraucher abgeschlossen werden.

Freiwillige Verträge

Die Inhaltskontrolle gilt allgemein für Verträge mit Datenbezug, die Unternehmen freiwillig miteinander abschließen. Ein Beispiel hierfür wäre ein Vertrag, der regelt, dass z. B. ein Autohersteller oder ein Hersteller von Smart-Home-Produkten einem anderen Unternehmen anonymisierte Nutzungsdaten eines vernetzten Produkts zu Forschungs- und Entwicklungszwecken oder zur Datenanalyse zur Verfügung stellt.

Verpflichtende Verträge

Die Inhaltskontrolle gilt über Art. 8 Abs. 2 Data Act aber auch für Verträge, die Unternehmen verpflichtend miteinander abschließen müssen, weil ein Unternehmen als Dateninhaber (zum Begriff: Art. 2 Nr. 13 Data Act) einem anderen Unternehmen als Datenempfänger (zum Begriff: Art. 2 Nr. 14 Data Act) die Daten aufgrund einer gesetzlichen Pflicht bereitstellen muss.

Eine solche Pflicht kann sich gemäß Art. 8 Abs. 1 Data Act zunächst daraus ergeben, dass der Nutzer eines vernetzten Produkts (z. B. der Käufer oder Mieter) von dem Dateninhaber (z. B. dem Hersteller des vernetzten Produkts) eine entsprechende Bereitstellung der generierten Daten an den Datenempfänger verlangt (Art. 5 Data Act). Beispiele hierfür wären:

  • Ein Vertrag zwischen einem Wärmepumpenhersteller und einem Instandhaltungsservice über die Weitergabe instandhaltungsrelevanter Daten.
  • Ein Vertrag zwischen einem Hersteller einer Fitnessuhr und einem Unternehmen, das personalisierte Gesundheitsdienste ermöglicht, über die Weitergabe gesammelter Fitnessdaten.
  • Ein Vertrag zwischen einem Autohersteller und einem Versicherungsunternehmen, damit der Nutzer eines vernetzten Fahrzeugs auf Basis der gesammelten Fahrzeugdaten (z. B. Wartungsinformationen, Laufleistung) maßgeschneiderte Versicherungsleistungen erhalten kann.

Eine Pflicht zur Datenbereitstellung kann sich gemäß Art. 8 Abs. 1 Data Act aber auch aus sonstigem Unionsrecht oder nationalem Recht ergeben. Voraussetzung ist in diesem Fall – jedenfalls nach unserer Auffassung – allerdings, dass der entsprechende Rechtsakt nach dem 12. September 2025 in Kraft tritt. Daher fallen Verträge, bei denen sich die Datenbereitstellungspflicht aus Unionsrecht oder nationalem Recht ergibt, das vor Anwendbarkeit des Data Acts in Kraft getreten ist, nicht in den Anwendungsbereich von Art. 8 Data Act. Ein Beispiel hierfür wären Art. 61 ff. der EU-Typgenehmigungsverordnung (Verordnung (EU) 2018/858), wonach Autohersteller unabhängigen Wirtschaftsakteuren (z. B. Reparaturwerkstätten oder dem Autoteilehandel) Reparatur- und Wartungsinformationen zur Verfügung stellen müssen. Verträge über die Bereitstellung dieser Daten wären demnach nicht erfasst.

2. Welche Vertragsklauseln unterliegen der Inhaltskontrolle?

Der Inhaltskontrolle unterliegen alle Vertragsklauseln über den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten (Art. 13 Abs. 1 Data Act).

Vertragsklauseln, die andere Rechte oder Pflichten betreffen und nicht datenbezogen sind, unterliegen nicht der Inhaltskontrolle des Art. 13 Data Act. Diese nicht-datenbezogenen Vertragsklauseln unterliegen allerdings der (zusätzlichen) allgemeinen Inhaltskontrolle nach nationalem Recht, in Deutschland z. B. nach Maßgabe von §§ 307 ff. BGB. Dies kann zu einer gespaltenen Inhaltskontrolle führen, bei der zwischen datenbezogenen und nicht-datenbezogenen Regelungen unterschieden werden muss.

Weitere Voraussetzung ist, dass die (datenbezogenen) Vertragsklauseln von einer Partei der anderen Partei einseitig auferlegt worden sind. Dies ist der Fall, wenn sie von einer Partei eingebracht werden und die andere Partei ihren Inhalt trotz des Versuchs, hierüber zu verhandeln, nicht beeinflussen kann (Art. 13 Abs. 6 S. 1 Data Act). Werden die entsprechenden Regelungen individuell verhandelt, findet daher keine Inhaltskontrolle statt.

In Bezug auf Vertragsklauseln, die den Hauptgegenstand des Vertrags oder die Angemessenheit des Preises betreffen, findet hingegen grundsätzlich keine Inhaltskontrolle unter dem Data Act statt (Art. 13  Abs. 8 Data Act).

Aber Vorsicht: Handelt es sich um einen Vertrag, der verpflichtend zwischen einem Dateninhaber und einem Datenempfänger gemäß Art. 8 Abs. 1 Data Act abgeschlossen werden muss, muss der vom Datenempfänger an den Dateninhaber für die Datenbereitstellung zu zahlende Preis den Anforderungen von Art. 9  Data Act entsprechen. Der Preis muss in diesem Fall diskriminierungsfrei und angemessen sein (Art. 9 Abs. 1 Data Act) und unterliegt damit im Endeffekt gleichwohl einer Inhaltskontrolle.

3. Welche Vertragsklauseln sind missbräuchlich?

Die Inhaltskontrolle des Art. 13 Data Act folgt einem dreistufigen Ansatz:

  • Generalklausel: Art. 13 Abs. 3 Data Act enthält zunächst eine Generalklausel. Demnach sind Vertragsklauseln missbräuchlich, wenn sie grob von der guten Geschäftspraxis bei Datennutzung und Datenzugang abweichen oder gegen das Gebot von Treu und Glauben verstoßen. Dies ist der Fall, wenn die Klausel die datenbezogenen Interessen der anderen Partei (objektiv) beeinträchtigt, ohne dass hierfür im Einzelfall eine sachliche Rechtfertigung seitens des Klauselverwenders besteht. Es ist zu erwarten, dass diese Generalklausel im Laufe der Zeit vor allem durch die Rechtsprechung konkretisiert wird.
  • Black List: Art. 13 Abs. 4 Data Act konkretisiert die Generalklausel und enthält eine sogenannte "Black List" an Vertragsklauseln, die in jedem Fall (unwiderleglich) als missbräuchlich gelten. Hierzu zählt z. B. eine Vertragsklausel, welche die Haftung des Klauselverwenders für (datenbezogene) Pflichtverstöße bei Vorsatz oder grober Fahrlässigkeit ausschließt oder beschränkt.
  • Grey List: Art. 13 Abs. 5 Data Act konkretisiert ebenfalls die Generalklausel und enthält eine sogenannte "Grey List" an Vertragsklauseln, bei denen die Missbräuchlichkeit jedenfalls vermutet wird. Hierzu zählen z. B. einseitige (kurzfristige) Kündigungsmöglichkeiten oder Preisanpassungsrechte des Klauselverwenders. Die Vermutung kann allerdings widerlegt werden, wenn der Klauselverwender nachweisen kann, dass die entsprechende Klausel aufgrund besonderer Umstände im konkreten Einzelfall nicht missbräuchlich ist.

Die Prüfung, ob Vertragsklauseln missbräuchlich sind, sollte daher zunächst anhand der "Black List", dann anhand der "Grey List" und schließlich anhand der Generalklausel erfolgen.

4. Was sind die Rechtsfolgen von missbräuchlichen Vertragsklauseln?

Sofern Unternehmen missbräuchliche Klauseln in ihren Verträgen verwenden, sind die betroffenen Klauseln unwirksam (Art. 13 Abs. 1 Data Act). Der restliche Vertrag bleibt jedoch zwischen den Parteien wirksam (Art. 13 Abs. 7 Data Act).

Weitere Rechtsfolgen können insbesondere sein:

  • Wettbewerber oder Verbände könnten den Klauselverwender abmahnen und auf Unterlassung in Anspruch nehmen, da es sich bei den Regelungen des Data Acts um Marktverhaltensregeln im Sinne des § 3a UWG handeln dürfte.
  • Vertragspartner des Klauselverwenders könnten theoretisch Schadensersatz geltend machen, wenn ihnen durch die Verwendung missbräuchlicher Vertragsklauseln tatsächlich ein Schaden entstanden ist.

Verstößt das Unternehmen durch die Verwendung missbräuchlicher Vertragsklauseln zugleich gegen Art. 8 bis 12 Data Act (z. B. durch Vereinbarung einer diskriminierenden Preisvereinbarung), können im schlimmsten Fall sogar Bußgelder drohen (Art. 40 Abs. 4 Data Act). Diese Bußgelder können bis zu 20.000.000 Euro bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens betragen, je nachdem, welcher der Beträge höher ist.

Zudem ist in Zukunft mit weiteren Sanktionen bei Verstößen zu rechnen. Die EU-Mitgliedsstaaten müssen bis zum 12. September 2025 entsprechende Vorschriften erlassen, die wirksame, verhältnismäßige und abschreckende Sanktionen ermöglichen. Bei der Verhängung von Sanktionen können neben Art und Ausmaß des Verstoßes auch frühere Verstöße, finanzielle Vorteile sowie der Jahresumsatz der verstoßenden Partei im vorangegangenen Geschäftsjahr in der EU berücksichtigt werden (Art. 40 Abs. 1 bis 3 Data Act).

5. Handlungsempfehlung

Unternehmen sollten prüfen, ob ihre Vertragstemplates ggf. missbräuchliche Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung oder die Haftung und Rechtsbehelfe bei Verletzung oder Beendigung datenbezogener Pflichten enthalten und die Klauseln entsprechend den Vorgaben des Data Acts anpassen.

Die EU Kommission wird in diesem Zusammenhang zwar vor dem 12. September 2025 auch Mustervertragsklauseln empfehlen (Art. 41 Data Act), die ggf. genutzt werden können. Ein Entwurf dieser Mustervertragsklauseln findet sich im Abschlussbericht einer Expertengruppe der EU Kommission zu B2B-Datenaustausch und Cloud-Computing-Verträgen (abrufbar unter: Register of Commission expert groups and other similar entities, Seite 16-118 (zuletzt abgerufen am 1. Juli 2025)). Diese Mustervertragsklauseln sollten in Verträge, die deutschem Recht unterliegen, allerdings nicht ungeprüft übernommen werden, da auch die Mustervertragsklauseln der EU Kommission die allgemeinen AGB-rechtlichen Anforderungen erfüllen müssen. Ein ähnliches Problem zeigte sich bereits bei den "No-Russia-Klauseln" der EU Kommission, die ebenfalls nicht vollends den AGB-rechtlichen Anforderungen entsprechen und für den deutschen Markt stellenweise angepasst werden müssen.

Wir unterstützen Sie gerne bei der Prüfung und etwaigen Anpassung Ihrer Vertragstemplates.

 

 

Verfasst von Golo Edel, Susanne Schuster und Niklas Knop.

Kontakt

bio-image

Golo Edel

Counsel

location Düsseldorf

bio-image

Susanne Schuster

Counsel

location München

bio-image

Niklas Knop

Associate

location München

View more

Themen

Länder

Stichworte

related_tags_load_more

Suchen

arrow
arrow

Jetzt registrieren und personalisierte Inhalte erhalten!

Registrieren
close
See benefits
Registrieren