Data Act: Informationspflichten vor Vertragsschluss

Was ist das Ziel der neuen Informationspflichten?

Der Data Act soll den Zugang zu und die Nutzung von Daten fairer gestalten. Die zentralen Vorgaben gelten seit dem 12. September 2025 in weiten Teilen unmittelbar. Für Unternehmen ist das Thema daher keine Zukunftsfrage mehr, sondern eine konkrete Umsetzungsaufgabe.

Dahinter steht ein einfaches, aber für viele Geschäftsmodelle sehr relevantes Problem: Nutzer, die ein vernetztes Produkt kaufen, mieten oder leasen oder einen damit verbundenen digitalen Dienst nutzen, wissen häufig nicht genau, welche Daten entstehen, wo sie gespeichert werden, wer darauf zugreifen kann und wie sie später genutzt oder weitergegeben werden können.

Diese Informationsasymmetrie soll der Data Act reduzieren. Nutzerinnen und Nutzer sollen bereits vor Vertragsschluss darüber informiert werden, welche datenbezogenen Folgen ihre Entscheidung hat. Es geht also nicht erst um Rechte, die irgendwann nach dem Kauf oder während der Nutzung relevant werden. Die Transparenz soll schon in dem Moment bestehen, in dem sich jemand für oder gegen ein Produkt, einen Dienst oder einen Anbieter entscheidet.

Für Unternehmen bedeutet das: Datenbezogene Informationen gehören jetzt nicht mehr nur in technische Dokumentationen, Datenschutztexte oder interne Produktunterlagen. Sie müssen so aufbereitet werden, dass sie vor Abschluss des Vertrags klar, verständlich und praktisch nutzbar sind.

Wen betreffen die vorvertraglichen Informationspflichten?

Die Pflichten betreffen vor allem Unternehmen, die vernetzte Produkte, verbundene Dienste oder Datenverarbeitungsdienste anbieten. Je nach Konstellation können unterschiedliche Akteure verpflichtet sein.

Bei vernetzten Produkten kommen insbesondere in Betracht:

• Verkäufer,
• Vermieter,
• Leasinggeber.

Bei verbundenen Diensten ist der jeweilige Diensteanbieter adressiert. Gemeint sind digitale Dienste, die funktional mit einem vernetzten Produkt verbunden sind und ohne die bestimmte Produktfunktionen häufig gar nicht oder nur eingeschränkt nutzbar wären.

Bei Datenverarbeitungsdiensten treffen Transparenzpflichten vor allem Anbieter solcher Dienste. Hier geht es insbesondere um Informationen zum Anbieterwechsel, zu Wechselverfahren, zu möglichen Kosten und zu bestimmten Rahmenbedingungen der Datenverarbeitung.

Praktisch wichtig ist: Der Data Act ist nicht nur ein Thema für klassische Verbraucherprodukte. Auch B2B-Konstellationen, Industrieprodukte, Plattformen, cloudbasierte Dienste und komplexe technische Ökosysteme können betroffen sein. Entscheidend ist, ob Daten im Zusammenhang mit einem vernetzten Produkt, einem verbundenen Dienst oder einem Datenverarbeitungsdienst entstehen, genutzt oder zugänglich gemacht werden.

Maßgeblich ist dabei nicht allein, wo ein Anbieter sitzt. Entscheidend kann vielmehr sein, ob ein relevanter Bezug zum EU-Markt besteht, insbesondere über Nutzerinnen und Nutzer oder Datenempfänger in der Union.

Welche Informationen müssen bei vernetzten Produkten bereitgestellt werden?

Bei vernetzten Produkten verlangt der Data Act vor Vertragsschluss Informationen, die Nutzerinnen und Nutzern ein realistisches Bild der entstehenden Daten geben. Es reicht nicht, allgemein darauf hinzuweisen, dass „Daten verarbeitet“ werden. Die Information muss deutlich machen, welche Datenkategorien betroffen sind und wie mit ihnen umgegangen wird.

Wichtig ist zugleich: Die Informationen nach dem Data Act ersetzen keine Datenschutzhinweise nach der DSGVO. Sobald personenbezogene Daten betroffen sind, müssen beide Regelungsbereiche zusammengedacht werden.

Typischerweise gehören dazu Angaben zu:

• Art der Daten: Welche Daten kann das Produkt erzeugen?
• Format der Daten: In welcher Form liegen die Daten vor?
• Umfang oder Volumen: Welche Datenmengen sind ungefähr zu erwarten?
• Erzeugungsart: Werden Daten kontinuierlich, ereignisbasiert oder in Echtzeit generiert?
• Speicherort: Werden Daten lokal auf dem Gerät oder remote gespeichert?
• Speicherdauer: Wie lange bleiben die Daten gespeichert?
• Zugriff, Abruf und Löschung: Über welche technischen Mittel können Nutzerinnen und Nutzer auf Daten zugreifen, sie abrufen oder löschen?
• Nutzungsbedingungen und Dienstqualität: Unter welchen Bedingungen steht der Datenzugang praktisch zur Verfügung?

Beispiele für relevante Datenkategorien können Nutzungsdaten, Status- und Betriebsdaten, Diagnose- und Fehlerdaten, Konfigurationsdaten, Leistungs- und Telemetriedaten oder Standort- und Umfelddaten sein.

Die Herausforderung liegt dabei in der richtigen Detailtiefe. Eine Liste einzelner technischer Rohdatenpunkte kann für viele Nutzerinnen und Nutzer zu unverständlich sein. Eine sehr grobe Angabe wie „Nutzungsdaten und Gerätedaten“ kann dagegen zu wenig Aussagekraft haben. Sinnvoll ist meist eine mittlere Granularität: konkret genug, um Datenflüsse nachvollziehbar zu machen, aber nicht so technisch, dass die Information ihren praktischen Nutzen verliert.

Welche Informationen müssen bei verbundenen Diensten hinzukommen?

Bei verbundenen Diensten gehen die Informationspflichten über die reine Produktperspektive hinaus. Denn hier entstehen nicht nur Produktdaten, sondern regelmäßig auch Daten, die durch die Nutzung des Dienstes selbst generiert werden.

Nutzerinnen und Nutzer müssen vor Vertragsschluss insbesondere verstehen können:

• welche Produktdaten der Dienst erhebt,
• in welchem Umfang und wie häufig diese Daten erhoben werden,
• welche Dienstdaten zusätzlich entstehen,
• wie auf diese Daten zugegriffen werden kann,
• ob und zu welchen Zwecken der potenzielle Dateninhaber die Daten selbst nutzen will,
• ob Daten an Dritte weitergegeben werden,
• wie eine Weitergabe an Dritte beantragt oder beendet werden kann,
• wer potenzieller Dateninhaber ist,
• über welche Kommunikationsmittel eine schnelle Kontaktaufnahme möglich ist,
• ob Daten Geschäftsgeheimnisse enthalten können,
• welche Vertragslaufzeit und Kündigungsmodalitäten gelten,
• welche Beschwerdemöglichkeiten bestehen.

Damit verschiebt sich der Fokus: Es geht nicht nur darum, welche Daten technisch entstehen. Es geht auch darum, welche Rolle Diensteanbieter und potenzielle Dateninhaber in Bezug auf diese Daten einnehmen und welche Handlungsmöglichkeiten Nutzerinnen und Nutzer später haben.

Gerade in digitalen Ökosystemen ist diese Transparenz entscheidend. Ein vernetztes Produkt kann für sich genommen relativ überschaubare Daten erzeugen. In Kombination mit App, Cloud-Dienst, Analysefunktion, Fernwartung oder Plattformintegration kann daraus jedoch ein deutlich komplexerer Datenfluss entstehen.

Was gilt für Datenverarbeitungsdienste und Anbieterwechsel?

Neben vernetzten Produkten und verbundenen Diensten enthält der Data Act auch Transparenzpflichten im Bereich der Datenverarbeitungsdienste. Hier steht vor allem der Anbieterwechsel im Mittelpunkt. Ziel ist es, Lock-in-Effekte zu verringern und Nutzerinnen und Nutzern eine realistische Einschätzung zu ermöglichen, wie aufwendig ein späterer Wechsel wäre.

Relevante Informationen können insbesondere betreffen:

• Wechselverfahren,
• Wechselmethoden,
• Wechsel- und Exportformate,
• Online-Register mit exportierbaren Daten,
• Interoperabilitätsnormen,
• Kosten bei Wechsel oder vorzeitiger Kündigung,
• mögliche Wechselhindernisse,
• Gerichtsbarkeit der eingesetzten IKT-Infrastruktur,
• Schutzmaßnahmen gegen internationalen Datenzugriff,
• Besonderheiten bei Testversionen oder individuell entwickelten Diensten.

In der Praxis sind diese Informationen nicht nur juristisch relevant. Sie können auch kaufentscheidend sein. Wer etwa einen Cloud-, Plattform- oder Datenverarbeitungsdienst auswählt, will wissen, ob ein späterer Wechsel realistisch möglich ist, welche Daten exportiert werden können und ob zusätzliche Kosten oder technische Hürden drohen.

Deshalb sollten Anbieter diese Informationen nicht als formale Randnotiz behandeln. Sie gehören in eine gut auffindbare, verständliche und vertriebsnahe Informationsarchitektur.

Wie müssen die Informationen bereitgestellt werden?

Der Data Act schreibt kein starres Standardformat vor. Entscheidend ist, dass die Informationen rechtzeitig, klar und verständlich bereitgestellt werden. „Rechtzeitig“ bedeutet dabei: vor Vertragsschluss. Nutzerinnen und Nutzer sollen die Informationen also nicht erst erhalten, wenn der Vertrag bereits abgeschlossen ist oder das Produkt schon genutzt wird.

Mögliche Umsetzungsformen sind zum Beispiel:

• ein Informationsblatt oder Data Sheet,
• eine produktspezifische Website,
• ein Vertragsanhang,
• ein Hinweis im Angebotsprozess,
• eine Suchfunktion nach Produktnummer oder Modell,
• eine mehrstufige Informationsarchitektur.

Für Unternehmen mit wenigen standardisierten Produkten kann ein gut strukturiertes Datenblatt ausreichen. Bei großen Produktportfolios kann eine Suchlösung sinnvoll sein, bei der Nutzerinnen und Nutzer über Produktname, Artikelnummer, Identifikationsnummer oder Modellbezeichnung zur passenden Information gelangen.

Bei individualisierten B2B-Produkten kann eine vertragsnahe Lösung naheliegen, etwa über Angebotsunterlagen, projektspezifische Anhänge oder produktbezogene Vertragsdokumente. Wichtig bleibt aber auch hier: Die Information muss vor Vertragsschluss verfügbar sein und darf nicht in schwer auffindbaren Unterlagen verschwinden.

Warum ist ein mehrstufiger Ansatz oft besonders sinnvoll?

Ein praktisches Problem der Umsetzung besteht darin, zwei Ziele miteinander zu verbinden: Die Information muss vollständig genug sein, um den gesetzlichen Anforderungen gerecht zu werden. Gleichzeitig muss sie so verständlich sein, dass Nutzerinnen und Nutzer sie tatsächlich erfassen können.

Ein mehrstufiger Ansatz kann diese Spannung auflösen. Dabei werden Informationen nicht in einem einzigen, überladenen Dokument gebündelt, sondern sinnvoll geschichtet.

Ein mögliches Modell:

1. Kurze Einstiegsebene

Eine leicht verständliche Zusammenfassung erklärt, welche Daten grundsätzlich entstehen und warum diese Information wichtig ist.

2. Produkt- oder dienstspezifische Detailinformationen

Tabellen oder strukturierte Abschnitte zeigen Datenkategorien, Beispiele, Speicherorte, Speicherfristen, Zugriffsmöglichkeiten und Erzeugungsfrequenzen.

3. Technische Vertiefung

Für fachkundige Nutzerinnen und Nutzer können ergänzende technische Informationen, Datenformate, Schnittstellen oder Register bereitgestellt werden.

4. Vertragsnahe Verknüpfung

Angebote, Bestellstrecken und Vertragsunterlagen verweisen klar auf die einschlägigen Informationen und stellen sicher, dass sie vor Vertragsschluss erreichbar sind.

Ein solcher Layered Approach hat mehrere Vorteile: Er ist nutzerfreundlich, skalierbar und besser an unterschiedliche Zielgruppen anpassbar. Unternehmen können damit sowohl Verbraucherinnen und Verbraucher als auch professionelle B2B-Kunden erreichen, ohne die einen zu überfordern oder den anderen zu wenig Detailtiefe zu bieten.

Welche Fehler sollten Unternehmen vermeiden?

Die neuen Informationspflichten wirken auf den ersten Blick wie ein Dokumentationsthema. Tatsächlich betreffen sie aber Produktmanagement, Vertrieb, Legal, IT, Datenschutz, Compliance und Kundenkommunikation zugleich. Gerade deshalb entstehen in der Praxis typische Fehler.

Zu vermeiden sind insbesondere:

• zu allgemeine Angaben: Begriffe wie „Gerätedaten“ oder „Nutzungsdaten“ helfen nur begrenzt, wenn nicht klar wird, was konkret gemeint ist.
• zu technische Rohinformationen: Interne Datenbankfelder, Sensornamen oder Event-Codes sind für die meisten Nutzerinnen und Nutzer nicht verständlich.
• fehlende Produktspezifik: Rahmeninformationen können hilfreich sein, ersetzen aber nicht die Zuordnung zum konkreten Produkt oder Dienst.
• späte Bereitstellung: Informationen, die erst nach Vertragsschluss oder nach Aktivierung des Dienstes zugänglich werden, erfüllen den Zweck der Vorabtransparenz nicht.
• versteckte Verweise: Informationen müssen leicht auffindbar sein. Ein schwer auffindbarer Link tief in allgemeinen Bedingungen ist riskant.
• fehlende Abstimmung mit dem Vertrieb: Wenn Angebotsunterlagen, Produktseiten und Vertragsdokumente nicht zusammenpassen, entstehen Inkonsistenzen.
• statische Dokumente ohne Pflegeprozess: Produktdaten, Funktionen, Speicherorte und Dienste können sich ändern. Die Informationsarchitektur braucht daher klare Verantwortlichkeiten und Aktualisierungsprozesse.

Besonders wichtig ist die richtige Balance zwischen juristischer Absicherung und praktischer Verständlichkeit. Eine Information, die formal vollständig wirkt, aber faktisch kaum lesbar ist, verfehlt den Zweck der Regelung.

Welche rechtlichen Risiken drohen bei unzureichender Umsetzung?

Fehlerhafte oder fehlende Informationen können verschiedene rechtliche Risiken auslösen. Im Vordergrund stehen aufsichtsrechtliche, lauterkeitsrechtliche und privatrechtliche Folgen.

Aufsichtsrechtlich ist zu unterscheiden: Der Data Act sieht zwar vor, dass Verstöße wirksam, verhältnismäßig und abschreckend sanktioniert werden müssen. Nicht jede Informationspflicht ist in der deutschen Durchführungssystematik aber gleich ausgestaltet. Für bestimmte Pflichten im Bereich der Datenverarbeitungsdienste, insbesondere im Zusammenhang mit Art. 26 Data Act, sieht die beschlossene Fassung des deutschen Durchführungsgesetzes ausdrücklich Bußgeldtatbestände vor. Bei den Informationspflichten aus Art. 3 Abs. 2 und 3 Data Act sollte dagegen nicht vorschnell von einer ausdrücklichen Bußgeldbewehrung ausgegangen werden. Unabhängig davon bleiben aufsichtsrechtliche Beschwerden, lauterkeitsrechtliche Risiken und privatrechtliche Folgen relevant.

Daneben können lauterkeitsrechtliche Risiken entstehen. Wenn wesentliche Informationen vorenthalten werden, kann dies insbesondere im Wettbewerb relevant werden. Denn Informationen, die aufgrund unionsrechtlicher Vorgaben bereitzustellen sind, können für geschäftliche Entscheidungen wesentlich sein.

Auch privatrechtlich ist das Thema nicht erledigt. Ein Vertrag bleibt zwar grundsätzlich wirksam, wenn Informationspflichten verletzt werden. Dennoch können unzureichende oder unzutreffende Pflichtinformationen Folgen haben, etwa im Zusammenhang mit vorvertraglicher Haftung oder der Frage, ob bestimmte Angaben als Beschaffenheitsvereinbarung verstanden werden können. Weichen Produkt oder Dienst später von den vorab kommunizierten Informationen ab, kann dies rechtlich relevant werden.

Kurz gesagt: Die Informationspflichten sind nicht bloß „Compliance-Text“. Sie können Erwartungen prägen, Vertragsinhalte beeinflussen und spätere Streitigkeiten auslösen.

Wie sollten Unternehmen jetzt vorgehen?

Für Unternehmen empfiehlt sich ein strukturierter Umsetzungsprozess. Der erste Schritt ist nicht das Schreiben eines neuen Textes, sondern die Bestandsaufnahme: Welche Produkte, Dienste und Datenverarbeitungsangebote fallen überhaupt in den Anwendungsbereich? Welche Daten entstehen? Wer kennt diese Informationen im Unternehmen? Und wo werden sie bislang dokumentiert?

Ein praxistauglicher Fahrplan kann so aussehen:

1. Anwendungsbereich prüfen

Welche vernetzten Produkte, verbundenen Dienste oder Datenverarbeitungsdienste sind betroffen?

2. Datenlandkarte erstellen

Welche Datenkategorien entstehen, in welchem Format, in welcher Frequenz und mit welchem Speicherort?

3. Verantwortlichkeiten klären

Legal, Produkt, IT, Vertrieb, Datenschutz und Compliance sollten gemeinsam arbeiten.

4. Informationsmodell auswählen

Je nach Geschäftsmodell kommen Datenblatt, Website, Suchlösung, Vertragsanhang oder Layered Approach in Betracht.

5. Vertragsschluss-Prozess prüfen

Die Informationen müssen an der richtigen Stelle im Kauf-, Miet-, Leasing- oder Angebotsprozess verfügbar sein.

6. Verständlichkeit testen

Die Informationen sollten nicht nur fachlich korrekt, sondern auch für die jeweilige Zielgruppe lesbar sein.

7. Pflegeprozess etablieren

Änderungen an Produktfunktionen, Datenflüssen oder Speicherorten müssen zeitnah in die Informationen einfließen.

Wer frühzeitig eine saubere Struktur aufsetzt, reduziert nicht nur rechtliche Risiken. Er schafft auch Vertrauen. Denn transparente Datenkommunikation kann im Markt ein Wettbewerbsvorteil sein – gerade dort, wo Kundinnen und Kunden sensible, komplexe oder geschäftskritische Datenökosysteme bewerten müssen.

Fazit: Was ist jetzt die wichtigste Erkenntnis?

Der Data Act macht vorvertragliche Datentransparenz zu einem zentralen Bestandteil des Vertriebs und der Vertragsgestaltung. Das Hauptproblem liegt darin, komplexe technische Datenflüsse so zu erklären, dass Nutzerinnen und Nutzer vor Vertragsschluss eine informierte Entscheidung treffen können.

Die wichtigste Erkenntnis lautet: Es gibt nicht den einen richtigen Standard für alle Unternehmen. Entscheidend ist eine Lösung, die vorvertraglich verfügbar, ausreichend konkret, leicht auffindbar und verständlich ist. In vielen Fällen wird ein mehrstufiger Ansatz am überzeugendsten sein – mit kurzer Einstiegsebene, produktspezifischen Details und technischer Vertiefung.

Unternehmen sollten die neuen Informationspflichten daher nicht als nachgelagertes Legal-Dokument behandeln. Sinnvoll ist ein gemeinsamer Umsetzungsprozess von Recht, Produkt, IT und Vertrieb. Wer jetzt klare Datenstrukturen, Zuständigkeiten und Informationswege schafft, ist nicht nur rechtlich besser aufgestellt, sondern kommuniziert auch transparenter gegenüber Kunden und Geschäftspartnern.