Direkt zum Inhalt wechseln
Beitrag

Data Act: Die EU-Standards für B2B-Datenverträge (MTC) und Cloud-Services (SCC)

Datenschutzrecht Beschäftigtendatenschutz Data-Compliance

Mit der Veröffentlichung standardisierter Vertragsklauseln für B2B-Datenzugang und Cloud-Computing setzt die EU-Kommission einen konkreten Impuls für mehr Rechtsklarheit in datenbasierten Vertragsverhältnissen. Was die neuen MCTs und SCCs leisten, wie sie in der Praxis eingesetzt werden und warum Unternehmen sie nicht ignorieren sollten, erfahren Sie hier.

Einleitung: Ein neuer Rechtsrahmen in greifbarer Nähe

Vernetzte Produkte, Cloud-Infrastrukturen und datengetriebene Geschäftsmodelle sind längst Realität. Damit steigt der Bedarf an rechtlicher Orientierung und vertraglicher Fairness. Die Europäische Kommission hat mit dem „Final Report of the Expert Group on B2B data sharing and cloud computing contracts“ vom 2. April 2025 einen wichtigen Meilenstein gesetzt: ein umfassendes Set freiwilliger, aber detaillierter Mustervertragsklauseln, das zentrale Vorgaben des Data Act konkretisiert und die Vertragslandschaft im digitalen Binnenmarkt nachhaltig prägt.

 

Rechtsgrundlage: Was verlangt der Data Act?

Die Verordnung (EU) 2023/2854 (Data Act) ist ein zentrales Element der digitalen Transformationsagenda der Europäischen Union. Ihr Ziel ist es, den Zugang zu industriellen und nutzergenerierten Daten fair, transparent und diskriminierungsfrei zu gestalten. Die Verordnung tritt am 12. September 2025 in Kraft und entfaltet unmittelbare Wirkung in allen Mitgliedstaaten.

Im Mittelpunkt des Data Act stehen vernetzte Produkte und die damit verbundenen Dienste. Der Gesetzgeber verfolgt einen mehrdimensionalen Ansatz: Datenmonopole sollen aufgebrochen, innovative Datentreuhandmodelle gefördert und die wirtschaftliche Nutzung von Daten durch klare, faire Rahmenbedingungen erleichtert werden. Die Verordnung schafft hierfür umfangreiche Regelungen zur Datenverfügbarkeit, zu technischen Schnittstellen, zur Interoperabilität sowie zu vertraglichen Standards zwischen Unternehmen.

Besonders relevant ist der Data Act für Hersteller, Dateninhaber, Datennutzer und Anbieter datengetriebener Dienste. Er adressiert Pflichten zur Bereitstellung von Daten an berechtigte Dritte, legt Bedingungen für den Zugang zu Daten im B2B- und B2C-Kontext fest und enthält Vorschriften zur Entgeltgestaltung, zur Vermeidung missbräuchlicher Vertragsklauseln sowie zum Schutz von Geschäftsgeheimnissen.

Der Artikel 41 des Data Act enthält eine spezifische Ermächtigung der Europäischen Kommission zur Entwicklung und Veröffentlichung freiwilliger Standardvertragsklauseln. Diese sollen insbesondere für Datenzugangsverhältnisse (Model Contractual Terms, MCTs) sowie für Cloud-Computing-Verträge (Standard Contractual Clauses, SCCs) Anwendung finden. Die nun vorliegenden Muster sind Ergebnis dieser Regelung und zielen darauf ab, praktische Orientierung zu bieten, Vertrauen in datengestützte Geschäftsbeziehungen zu fördern und einen harmonisierten Vertragsrahmen im digitalen Binnenmarkt zu etablieren.

 

Erarbeitungsprozess: Struktur, Partizipation und Methodik

Die Vertragsmuster wurden von einer Expertengruppe unter Beteiligung von Rechtswissenschaft, Industrie und Verwaltung erarbeitet. Neben 19 offiziellen Sitzungen gab es eine intensive Konsultation mit Stakeholdern sowie öffentliche Webinare mit mehreren hundert Teilnehmenden. In einem Testlauf im Sommer 2024 brachten 12 Unternehmen Feedback zu den MCTs und 14 zu den SCCs ein. Die Kommission veranstaltete zusätzlich sechs öffentliche Webinare zur Diskussion der Entwürfe.

Ziel war es, die Balance zwischen Vertragsfreiheit und regulatorischer Orientierung zu finden. Entsprechend betonen die Muster die Freiwilligkeit, bieten aber gleichzeitig abgestufte Regelungen, Konfigurationsspielräume und umfassende Erläuterungen für die Praxis.

 

 

MCTs: Vertragsmodelle für den Datenzugang

Die MCTs adressieren vier typische Szenarien:

  1. Verträge zwischen Dateninhaber und Nutzer (Annex I)
  2. Verträge zwischen Nutzer und benanntem Datenempfänger (Annex II)
  3. Verträge zwischen Dateninhaber und Datenempfänger auf Anweisung des Nutzers (Annex III)
  4. Freiwilliger Datenaustausch zwischen Unternehmen (Annex IV)

Die Vertragsmuster beinhalten detaillierte Regelungen zu: Identifikation der Parteien, Beschreibung der Daten, Nutzungsrechte, Schutzmassnahmen (u. a. für Geschäftsgeheimnisse), Umgang mit personenbezogenen Daten, Haftung, Laufzeit, Kündigung und Streitbeilegung.

Ein besonderes Augenmerk liegt auf dem Schutz von Trade Secrets. Die Vertragsmuster sehen ein abgestuftes Schutzsystem vor, das sowohl technische als auch organisatorische Massnahmen umfasst, etwa Audit-Rechte, Schutzpflichten, Sanktionen bei Missbrauch und differenzierte Rückzugsrechte. Eine vertragliche Differenzierung erlaubt es, einzelne Geheimnisse zeitweise zurückzuhalten, wenn deren Offenlegung mit unverhältnismässigem Risiko verbunden wäre.

Darüber hinaus enthalten die MCTs Konstellationen für Mehrfachnutzer, Rechteübertragungen und rollenbasierte Zugriffsmodelle. Auch Spezialfragen wie Feedbackschleifen, Beendigungswirkungen oder Drittzugriff auf Daten sind geregelt. Die Vertragsteile können modular kombiniert und durch optionale Anhänge individualisiert werden.

 

SCCs: Vertragsbausteine für Cloud-Verträge

Im Unterschied zu den MCTs, die vollständige Vertragsmodelle darstellen, bestehen die SCCs aus modularen Bausteinen, die in Cloud-Computing-Verträge eingebunden werden können. Sie behandeln folgende Schlüsselthemen:

  • General Clauses
  • Anbieterwechsel & Exit-Strategien
  • Vertragsbeendigung
  • Sicherheit & Business Continuity
  • Datenlokalisierung (Non-Dispersion)
  • Haftung
  • Änderungssperren (Non-Amendment)

Die SCCs enthalten neben den juristischen Kernklauseln auch sogenannte „Info Points“ und Anwendungshinweise mit Praxisbeispielen. Dadurch wird eine flexible, aber zugleich rechtssichere Integration in bestehende Vertragswerke ermöglicht.

 

Einige besonders praxisrelevante Features:

  • Exit-Plan als Annex (inkl. Tooling, Datenformate, Zeitrahmen)
  • Optionale Self-Service-Wechseltools
  • Vorgaben zur Weiterverwendung und Löschung von Daten
  • Verpflichtungen zur Wiederherstellbarkeit und Integrität der Daten

Rechtsrahmen und faktische Wirkung

Obwohl nicht verpflichtend, haben MCTs und SCCs normative Wirkung. Sie dienen Gerichten, Aufsichtsbehörden und Marktteilnehmern als Referenzrahmen für Fairness und Auslegung. Unternehmen, die abweichen, müssen dies gut begründen und mit höherem Aufwand bei Verhandlungen rechnen. Dies gilt insbesondere bei internationalen Datentransfers, der Durchsetzung von Audit-Rechten oder in sektorspezifisch regulierten Bereichen.

 

DSGVO und Mixed Datasets

Ein besonderer Fokus liegt auf der Handhabung sogenannter „mixed datasets“. Die Leitlinie COM/2019/250 stellt klar: Sind personenbezogene Anteile untrennbar mit nicht-personenbezogenen Daten verbunden, gelten die Regelungen der DSGVO für den gesamten Datensatz. Dies betrifft insbesondere Rechtsgrundlagen (Art. 6 DSGVO), Zweckbindung, Informationspflichten und technische Sicherungspflichten.

 

Praktische Implikationen für Unternehmen

Unternehmen sollten sich vorbereiten, indem sie:

  • Bestehende Datenverträge analysieren und mit MCTs/SCCs abgleichen
  • Neue Vertragsvorlagen entwickeln oder vorhandene ergänzen
  • Technische Voraussetzungen für Datenzugang, Interoperabilität und Exit-Readiness schaffen
  • Datenschutzkonzepte überarbeiten, insbesondere für gemischte Datensätze
  • Mitarbeitende und Partner schulen

Wichtig: Die Modelle sind nicht statisch. Sie können durch nationale Gesetzgebung, sektorspezifische Anforderungen oder individuelle Branchenstandards ergänzt werden. Gleichzeitig bieten sie ein solides Fundament, das unnötige Komplexität und Transaktionskosten reduziert.

 

Fazit: Neue Standards für das europäische Datenvertragsrecht

Die Vertragsmuster der Kommission sind mehr als nur Empfehlungen: Sie bilden eine Art „Referenzkodex“ für moderne Datenverhältnisse. Ihre Anwendung fördert nicht nur Rechtssicherheit, sondern auch Transparenz, Interoperabilität und Vertrauen. Gerade in einer datengetriebenen Ökonomie schaffen MCTs und SCCs Voraussetzungen für Innovation, Marktüberwindung und Compliance.

Für Legal Counsel, CDOs und Technologieverantwortliche ist jetzt der Zeitpunkt, sich mit den Modellen vertraut zu machen und sie strategisch zu nutzen. Wer früh handelt, kann nicht nur regulatorische Anforderungen souverän erfüllen, sondern auch im Markt Vertrauen aufbauen und eigene Standards setzen.

 

Quellen