IT-Recht & Datenschutz

EU Data Act: Europäische Kommission veröffentlicht Empfehlung für MCTs und SCCs

Veröffentlicht am 26th Januar 2026

Erster Praxischeck und was für Unternehmen jetzt relevant ist

Abstract image - energy efficiency dashboard

Nach einem ersten Entwurf der von der Europäischen Kommission eingesetzten Expertengruppe und einem umfangreichen Konsultationsverfahren hat die Kommission am 19. November 2025 nunmehr ihre Empfehlung für Mustervertragsklauseln („Model Contractual Terms“, MCTs) für den Datenzugang und die Datennutzung sowie Standardvertragsklauseln („Standard Contractual Clauses“, SCCs) für Verträge über das Cloud-Computing nach dem EU Data Act veröffentlicht.

Der folgende Beitrag gibt einen Überblick zu der jetzigen Fassung der MCTs und SCCs und zeigt auf, was für betroffene Unternehmen künftig relevant ist.

Hintergrund: Wofür werden MCTs und SCCs nach dem EU Data Act benötigt?

Seit dem 12. September 2025 gelten in weiten Teilen die Regelungen des EU Data Acts. Betroffene Unternehmen, insbesondere Dateninhaber und Anbieter von Datenverarbeitungsdiensten, müssen daher unter anderem die Regeln zum Datenzugang, zur Datennutzung und zum Cloud-Switching nach den Kapiteln II – IV sowie nach Kapitel VI des EU Data Acts beachten.

Art. 4 ff. EU Data Act enthalten Vorgaben für Verträge zur Bereitstellung, Nutzung und Weitergabe von Daten

Kapitel II und III des EU Data Acts enthalten eine Vielzahl von Rechten und Pflichten für die Nutzung, Bereitstellung und Weitergabe von Daten, die bei der Nutzung von vernetzten Produkten und damit verbundenen Diensten generiert wurden (zusammenfassend „Produktdaten“). Diese Rechte und Pflichten sind zum Teil durch vertragliche Vereinbarungen näher auszugestalten.

Hinsichtlich der Datennutzung im Verhältnis zwischen Dateninhaber und Nutzer sieht Art. 4 (13) EU Data Act etwa vor, dass Dateninhaber solche Produktdaten nur auf Grundlage eines Vertrags mit dem Nutzer nutzen dürfen. Nutzer und Dateninhaber können außerdem den Zugang zu sowie die Nutzung und Weitergabe von Produktdaten durch den Nutzer bei bestimmten Gefahren für die Sicherheit oder Gesundheit vertraglich beschränken (Art. 4 (2) EU Data Act). Wenn der Dateninhaber die Produktdaten dem Dateninhaber zugänglich machen muss, können außerdem angemessene technische und organisatorische Maßnahmen zum Schutz von Geschäftsgeheimnissen vereinbart werden (Art. 4 (6) EU Data Act).

Zudem schlägt das Gesetzt einen Vertrag zwischen Dateninhaber und etwaigen Dritten vor, um die erneute Weitergabe zu verbieten (Art. 4 (14) EU Data Act).

Auch die rechtliche Beziehung zwischen einem Nutzer und einem vom Nutzer ausgewählten Datenempfänger soll in einem Vertrag geregelt werden, insbesondere die Zwecke und Bedingungen für die Nutzung der Produktdaten durch den Datenempfänger (Art. 6 (1) EU Data Act).

Im Verhältnis von Dateninhaber zu Datenempfänger ist die Bereitstellung von Produktdaten ebenso vertraglich auszugestalten (Art. 8 (1) EU Data Act). Der Schutz von Geschäftsgeheimnissen bei der Bereitstellung von Produktdaten kann hier genauso vertraglich vereinbart werden (Art. 5 (9) EU Data Act) wie eine entsprechende finanzielle Gegenleistung für die Bereitstellung (Art. 9 (1) EU Data Act).

Der EU Data Act enthält aber keine weiteren Vorgaben dazu, wie diese verschiedenen Verträge konkret auszugestalten sind. Nur Art. 13 EU Data Act enthält Vorgaben zu missbräuchlichen und damit nicht durchsetzbaren Vertragsklauseln.

Art. 25 EU Data Act benennt Anforderungen für Cloud-Verträge

Kapitel VI des EU Data Acts enthält grundsätzliche Vorgaben in Bezug auf einen Wechsel zwischen Datenverarbeitungsdiensten und ähnlich gelagerten Konstellationen. Für Verträge über diese Datenverarbeitungsdienste enthält Art. 25 EU Data Act, vor allem mit Blick auf einen möglichen Anbieterwechsel (Cloud-Switching), umfangreiche Vorgaben für die Ausgestaltung von Vertragsklauseln. Die konkrete Umsetzung der gesetzlichen Vorgaben in den entsprechenden Verträgen obliegt aber auch hier den Vertragsparteien.

MCTs und SCCs sollen als freiwillige Mustervorlagen bei der Erstellung von Verträgen unterstützen

Art. 41 DS-GVO sieht daher vor, dass die Kommission MCTs und SCCs erstellen soll, um die Parteien bei der Ausarbeitung und Aushandlung von Verträgen mit fairen, angemessenen und nichtdiskriminierenden Rechten und Pflichten zu unterstützen.

Die MCTs und SCCs sind als Verträge ausgestaltet und können sowohl zwischen Unternehmen als auch zwischen Unternehmen und Verbrauchern verwendet werden. In letzterem Falle weist die Kommission aber darauf hin, dass insoweit entsprechende verbraucherschutzrechtliche Ergänzungen erforderlich sind.

Sowohl die MCTs als auch die SCCs sind unverbindlich und können freiwillig verwendet werden. Den Vertragsparteien steht es zudem offen, die Muster an ihre konkrete vertragliche Situation und spezifischen Bedürfnisse anzupassen. Die MCTs und SCCs stellen daher letztlich einen „Modellbaukasten“ dar.

MCTs

Zusammenfassung der wesentlichen Inhalte für Datenzugangs- und Datennutzungsverträge

Die jetzige Empfehlung für MCTs wurde für drei Szenarien im Zusammenhang mit den obligatorischen Datenzugangs- und Datennutzungsrechten nach den Art. 4 ff. EU Data Act entwickelt:

  1. Dateninhaber – Nutzer (Annex II)
  2. Nutzer – Datenempfänger (Annex III)
  3. Dateninhaber – Datenempfänger (Annex IV)

Annex II enthält insbesondere Klauseln zur zulässigen Datennutzung durch den Dateninhaber und zur Datenteilung mit Dritten sowie Klauseln zu den Rechten und Pflichten im Falle von Datenzugangsverlangen des Nutzers.

Annex III greift die Regelungen zu Art. 5 EU Data Act auf und beinhaltet Vertragsklauseln zu den Bedingungen der Datennutzung und -teilung durch den Datenempfänger.

Annex IV enthält unter anderem Klauseln zu den zulässigen Nutzungszwecken des Datenempfängers und zur finanziellen Gegenleistung für die Datenzugänglichmachung zugunsten des Dateninhabers.

Ein weiterer Annex V enthält zusätzliche MCTs für den Fall, dass ein Datenteiler (neuer Begriff, nicht definiert im EU Data Act) mit einem Datenempfänger auf freiwilliger Basis Daten teilt, wenn also gerade keine gesetzliche Pflicht zur Datenbereitstellung besteht. Nach Ansicht der MCTs soll ein Vertrag für diese Konstellation auch den Anforderungen des Art. 13 EU Data Act unterliegen und diese MCTs in Annex V sollen hierfür als Benchmark behilflich sein.

Praxischeck und Relevanz für Unternehmen

Inhaltlich weist die jetzt veröffentlichte Empfehlung keine grundlegenden Neuerungen oder Abweichungen zur vorherigen Entwurfsfassung auf.

Einbindung der MCTs in bestehende Verträge als Herausforderung

Auffallend an den MCTs ist weiterhin, dass sie in ihrer Grundkonzeption als eigenständige Verträge ausgestaltet und inhaltlich sehr umfangreich sind. In der Umsetzung für Unternehmen erschwert dies die Einbindung in bestehende Verträge, etwa in Allgemeine Geschäfts- oder Lieferbedingungen.

Die Herausforderung in der Verwendung der MCTs wird künftig vor allem darin liegen, zunächst die Klauseln zu identifizieren, die im konkreten Fall für die Parteien tatsächlich relevant sind und auf Grundlage der MCTs gegebenenfalls eine schlankere Lösung für die konkret benötigten Vertragsklauseln zu entwickeln.

Mehrstufige Lieferketten und Verkaufsszenarien werden nicht erfasst

Ferner erfassen die MCTs eine Vielzahl von bedeutsamen Verkaufs- oder Lieferszenarien nicht, etwa Fälle, bei denen keine direkte Vertragsbeziehung zwischen dem Dateninhaber und Nutzern besteht, sondern die Vertriebs- und Lieferkette mehrstufig ausgestaltet ist. Insbesondere für derartige Szenarien bieten die MCTs derzeit keine Vorlage und die Vertragsparteien sind hier aufgefordert entsprechende Vertragsklauseln zu entwerfen, um eine Wahrnehmung der Rechte und Pflichten sicherzustellen.

Sektorspezifische Relevanz von Klauseln zu Geschäftsgeheimnisschutz

Insbesondere in Sektoren, bei denen Produktdaten häufig Geschäftsgeheimnisse enthalten, sind die betreffenden Vertragsklauseln der MCTs eine wichtige Handreichung. In anderen Bereichen, in denen keine oder eine geringere Gefahr der Preisgabe von Geschäftsgeheimnissen besteht, ist anzunehmen, dass die MCTs lediglich in reduzierter Form zur Anwendung kommen werden.

Finanzielle Gegenleistung: wenig konkrete Hilfestellung

Die MCTs bieten nur wenig Hilfestellung zur Berechnung und Höhe die Gegenleistung, die Dateninhaber für die Bereitstellung von Daten mit Datenempfängern vereinbaren können. Art. 9 (1) EU Data Act sieht vor, dass die Gegenleistung diskriminierungsfrei und angemessen sein muss und grundsätzlich eine Marge enthalten darf. Nach Art. 9 (2) und (3) EU Data Act sind die Kosten für die Bereitstellung, Formatierung, Verbreitung und Speicherung der Daten sowie der Umfang, das Format und die Art der Daten bei der Bemessung zu beachten.

Die MCTs verweisen weitgehend auf die Anforderungen des EU Data Acts und enthalten lediglich die Aussage, dass sich die Parteien auf die Höhe der Gegenleistung, die Währung, den Fälligkeitszeitpunkt und die Zahlungsmodalitäten einigen sollten (vgl. S. 78 der MCTs). Zur konkreten Höhe der Gegenleistung äußern sich die MCTs nicht.

Nach Art. 9 (5) EU Data Act soll die Kommission allerdings Leitlinien für die Berechnung einer angemessenen Gegenleistung erlassen und hierbei den Rat des Europäischen Dateninnovationsrates (EDIB) berücksichtigen.

Da Art. 41 EU Data Act vorsieht, dass die MCTs lediglich die Bedingungen für eine angemessene Gegenleistung abdecken sollen, ist wohl zu erwarten, dass es hinsichtlich der Berechnung einer angemessenen Gegenleistung weitere Leitlinien der Kommission geben wird. Mit Blick auf die enorme Praxisrelevanz ist dies wünschenswert. Zurzeit können für die Praxis lediglich die Vorgaben des EU Data Acts und der MCTs zur Berechnung der Gegenleistung herangezogen werden.

Konformität mit Kapitel IV (Art. 13) EU Data Act

Ein Vorteil ist für Unternehmen allerdings, dass die MCTs in ihrer Konzeption den Anforderungen aus Art. 13 EU Data Act (Kapitel IV) entsprechen und daher kein Risiko bestehen sollte, dass die jeweiligen Vertragsklauseln als missbräuchlich und nicht-bindend eingestuft werden.

Die Kommission scheint wegen der MCTs in Annex V der Auffassung zu sein, dass Art. 13 EU Data Act auch für Datennutzungsverträge gelten soll, die unabhängig von einer Datenbereitstellungspflicht nach dem EU Data Act geschlossen werden.

SCCs

Vertragsbausteine für Cloud-Verträge

Die SCCs sollen für die Parteien Hilfestellungen bei Verträgen im Rahmen des Cloud-Computing, insbesondere beim Wechsel von Anbietern (Cloud Switching), nach Kapitel VI des EU Data Acts bieten.

Ausweislich der jetzt veröffentlichten Empfehlung sind die SCCs modular aufgebaut und stellen keinen vollständigen Vertrag für die Parteien dar. Vielmehr können die Vertragsbausteine unabhängig voneinander benutzt werden.

Die Empfehlung für SCCs enthält insbesondere Vertragsbausteine im Falle eines Wechsels von Diensten samt entsprechender Exit-Strategien und Exit-Pläne (Annex VI samt Appendix 1 und 2), Klauseln hinsichtlich der Kündigung des Vertrags (Annex VII) sowie zur Sicherstellung der Sicherheit und Aufrechterhaltung der Kontinuität des Geschäftsbetriebs im Zuge des Anbieterwechsels (Annex VIII). In Annex X finden sich Bausteine für Haftungsklauseln. Klauseln zu generellen Regelungen wie Änderungen, Kollisionsregeln und Definitionen sind in Annex XI und XII enthalten.

SCCs in der Praxis: Künftige Herausforderungen für Unternehmen

Die SCCs stellen nach Mitteilung der Kommission eine Umsetzung von Kapitel VI des EU Data Acts als „gebrauchsfertige Vertragsklauseln“ dar. Sie sollen auf alle Datenverarbeitungsdienste Anwendung finden, die unter Kapitel VI des EU Data Acts fallen.

Zweifellos setzen die SCCs diese Anforderungen auch um, für die Praxis beantworten sie allerdings wenig Fragen und erscheinen für den Einsatz in den meisten Vertragswerken übermäßig kompliziert.

Unklare Reichweite der Definition des „Datenverarbeitungsdienstes“

Die SCCs enthalten keine weitere Konkretisierung oder Erläuterung der Merkmale des Datenverarbeitungsdienstes. Daher bleibt es weiterhin den Betroffenen überlassen, wie der Begriff auszulegen ist. Betroffene Unternehmen werden sich insoweit bei der Prüfung, ob das Kapitel VI des EU Data Acts auf ihren Dienst Anwendung findet, maßgeblich auf die Ausführungen der Kommission in den FAQs zum EU Data Act (Ziff. 58a) stützen müssen.

Maßstab für Haftungsklauseln nach den SCCs weiter uneindeutig

Nach Mitteilung der Kommission sollen Annex IX bis XI der SCCs die Wahrung der Rechte und Pflichten der Parteien aus Kapitel VI EU Data Act fördern, insbesondere die Sicherstellung der wesentlichen Merkmale fairer, angemessener und nicht-diskriminierender Vertragsbedingungen zwischen den Parteien. Ob die konkreten Vorgaben aus Art. 13 EU Data Act einer zulässigen Haftungsbeschränkung auch auf Cloud-Verträge Anwendung finden soll, lassen die SCCs aber offen.

Diese Frage ist insbesondere dann relevant, wenn der Vertrag zur Erbringung des Datenverarbeitungsdienstes nicht-EU-Recht unterliegt und deshalb umfassendere Haftungsausschlüsse nach diesem Recht möglich wären, die aber nach Art. 13 EU Data Act missbräuchlich wären. Die SCCs verweisen in ihren Erläuterungen lediglich darauf, dass sie insoweit den Geist des EU Data Acts widerspiegeln („reflect the spirit“ in der englischen Originalversion (Seite 154). Die jetzige Empfehlung bleibt daher weiterhin insoweit uneindeutig.

To-dos für betroffene Unternehmen

Die jetzige Empfehlung betont, dass die SCCs keineswegs sämtliche Regelungen beinhalten, die in Cloud-Verträge zwischen Diensten und Kunden aufgenommen werden müssen. Selbst wenn Unternehmen also die SCCs für die Umsetzung von Kapitel VI des EU Data Acts nutzen möchten, muss zusätzlich geprüft werden:

  • welche der Bausteine der SCCs konkret für ihre jeweilige vertragliche Beziehung relevant sind,
  • ob die Vertragsbausteine der SCCs letztlich nur auf die Rechte und Pflichten des EU Data Acts (vor allem nach Art. 25 EU Data Act) Bezug nehmen und daher einer Anpassung überhaupt zugänglich sind (hierzu bereits der folgende OC Insight zum Cloud Switching), und
  • wie eine praxisgerechte Einbindung der SCCs in bestehende Verträge möglich ist. Hierbei wird nicht nur eine zusätzliche Aufnahme der SCCs, sondern auch eine Anpassung bestehender Vertragsklauseln erforderlich sein.

Kapitel VI des EU Data Acts wirkt sich auf viele verschiedene Bereiche eines Cloud-Vertrages aus – von Laufzeit und Kündigung, über Vergütungsregelungen, bis hin zum Exit-Management.

Die SCCs greifen in all diese Bereiche ein, orientieren sich dabei aber eng am Wortlaut des Gesetzes. In vielen Fällen wird es daher erforderlich sein, die SCCs schon begrifflich an die jeweiligen Cloud-Verträge anzupassen, um Unklarheiten und Widersprüche zu vermeiden. Insofern ist es in keinem Fall damit getan, die SCCs pauschal bestehenden Verträgen beizufügen.

Anders als im Datenschutzrecht können, dürfen und sollten die SCCs also für den jeweiligen Fall und Vertrag angepasst werden.

Ausblick: Weitere Guidance und nächste Schritte

Die MCTs und SCCs sind eine wichtige Handreichung für Unternehmen bei dem Entwurf und der Überarbeitung von Datennutzungs- und Cloud-Verträgen.

Da sowohl die MCTs und SCCs aber auf Grund ihrer Länge und Komplexität nur schwerlich 1:1 übernommen werden können, stehen Unternehmen vor der Herausforderung, die eigenen vertraglichen Beziehungen und Datenverarbeitungs- sowie Datenweitergabeszenarien sorgfältig zu analysieren und aus den MCTs und SCCs ein individuelles Vertragswerk zu gestalten.

Dies wird oftmals auch Fragen der praktischen Durchführbarkeit und Umsetzbarkeit, etwa bezüglich der Ausgestaltung der IoT-Geräte oder der Unterstützungsleistungen beim Anbieterwechsel, betreffen. Zudem werden neue Prozesse und ggf. auch digitale Lösungsansätze erforderlich sein, um diese Vertragswerke mit den betroffenen Parteien zu vereinbaren.

Bislang stehen die MCTs und SCCs nur in englischer Sprache zur Verfügung. Eine Übersetzung in andere EU-Sprachen soll laut Mitteilung der EU Kommission voraussichtlich in den nächsten drei bis vier Monaten folgen.

Weitere Informationen zu einzelnen Themen des EU Data Acts finden Sie in unserer Osborne Clarke Reihe zum EU Data Act hier.

Related articles
Datenschutz bei klinischen Studien: Handlungsbedarf für Sponsoren, Auftragsforschungsinstitute und Prüfzentren infolge der neuen „Standardvertragsklauseln zur Durchführung klinischer Prüfungen“
14/01/2026 7 mins
Der Data Act wird scharfgestellt: Bundeskabinett bringt Durchführungsgesetz auf den Weg
19/12/2025 8 mins
Data Act 360°: Ihre Roadmap zur Compliance
12/09/2025 3 mins
Datenschutzkonforme Kommunikation bei Mitarbeiterfluktuation: Was Unternehmen beachten müssen
09/09/2025 4 mins
Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

* Dieser Artikel entspricht dem aktuellen Stand zum Zeitpunkt seiner Veröffentlichung und spiegelt nicht notwendigerweise den aktuellen Stand des Gesetzes / der Regulatorik wider.

Sprechen Sie uns an

Wollen Sie häufiger von uns hören?

Wir informieren Sie über Insights, News und Events zu Ihren relevanten Themen.

Jetzt anmelden

Anstehende Events