Der Europäische Datenschutzausschuss (EDPB) hat am 8. Juli 2025 mit seinem Statement 4/2025 deutliche Kritik an den von der Europäischen Kommission vorgelegten Mustervertragsklauseln (Model Contractual Terms, MCTs) für Datensharing unter dem Data Act geübt. Die Stellungnahme zeigt vor allem auf, dass der Harmonisierungsprozess zwischen beiden Rechtsakten noch längst nicht abgeschlossen ist.

Unterschiedliche Nutzer

Das EDPB kritisiert, dass die vorgelegten MCTs offenbar primär für Geschäftsbeziehungen zwischen Unternehmen konzipiert wurden, ohne die komplexen datenschutzrechtlichen Implikationen bei Einbeziehung natürlicher Personen ausreichend zu berücksichtigen. Diese Kritik trifft den Kern der praktischen Anwendbarkeit der MCTs, denn der Begriff „User“ im Data Act umfasst sowohl juristische als auch natürliche Personen, wobei letztere nicht automatisch den Status einer „betroffenen Person“ im Sinne der DSGVO haben müssen.

Besonders problematisch wird dies bei der Betrachtung vernetzter Geräte im privaten Bereich. Das EDPB führt das Beispiel von Smart-Home-Geräten an, die von verschiedenen Familienmitgliedern genutzt werden. Hier kann der formale „Nutzer“ eine Person sein, während die tatsächlich betroffenen Personen andere Familienmitglieder sind. Die MCTs in ihrer aktuellen Form bieten keine differenzierten Lösungsansätze für solche Konstellationen und lassen die Vertragsparteien mit erheblicher Rechtsunsicherheit zurück.

Kompensationsmechanismen 

Ein weiterer Kritikpunkt des EDPB betrifft die in den Anhängen II und III enthaltenen Kompensationsregelungen. Diese sind derzeit so allgemein formuliert, dass sie theoretisch auch auf personenbezogene Daten angewandt werden könnten. Das EDPB fordert kategorisch, dass Kompensationsmechanismen ausschließlich auf nicht-personenbezogene Daten beschränkt werden müssen. Das EDPB lehnt die Ansicht, dass personenbezogene Daten als handelbare Ware betrachtet werden können, strikt ab. 

Diese Forderung hat weitreichende praktische Konsequenzen für Unternehmen, die Datensharing-Modelle entwickeln. Sie müssen bereits in der Konzeptionsphase strikt zwischen personenbezogenen und nicht-personenbezogenen Daten differenzieren und entsprechende technische und organisatorische Maßnahmen implementieren, um eine unzulässige Kommerzialisierung personenbezogener Daten zu verhindern. Dies erfordert nicht nur eine präzise Datenklassifizierung, sondern auch robuste Governance-Strukturen zur kontinuierlichen Überwachung der Datenverwendung. Das wird für die meisten Unternehmen eine Mammut-Aufgabe sein. 

Rechtshierarchie als Kompass für die Praxis

Das EDPB nutzt sein Statement auch dazu, die in Art. 1 Abs. 5 des Data Act normierte Vorrangregelung anzusprechen. Demnach lässt der Data Act das Datenschutzrecht unberührt, und bei Konflikten zwischen beiden Rechtsakten geht das Datenschutzrecht vor. Diese scheinbar klare Regel erweist sich in der praktischen Anwendung jedoch als hochkomplex, da sie eine detaillierte Einzelfallprüfung erforderlich macht, welche Bestimmungen als konfligierend zu betrachten sind.

Für Praktiker bedeutet dies, dass sie bei der Vertragsgestaltung nicht nur die MCTs, sondern parallel dazu die vollständigen DSGVO-Anforderungen berücksichtigen müssen. Das EDPB stellt unmissverständlich klar, dass die bloße Einhaltung der MCTs keine DSGVO-Compliance gewährleistet. Vielmehr müssen zusätzliche Maßnahmen implementiert werden, etwa bei der Begründung von Rechtsgrundlagen für die Datenverarbeitung, bei Drittlandtransfers oder bei der Gewährleistung von Betroffenenrechten.

Komplexitätszunahme als praktische Herausforderung

Die vom EDPB geforderten Differenzierungen werden die Komplexität von Datensharing-Vereinbarungen erheblich steigern. Unternehmen müssen künftig möglicherweise verschiedene MCT-Varianten je nach Nutzerstatus anwenden und dabei stets prüfen, ob zusätzliche datenschutzrechtliche Safeguards erforderlich sind. Dies betrifft insbesondere internationale Datenübermittlungen, bei denen neben den MCTs zusätzliche Standardvertragsklauseln (SCC) nach Artikel 46 DSGVO erforderlich werden können.

Besonders herausfordernd wird die Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten in der digitalen Praxis. Zum einen vertritt der EuGH ein sehr weites Verständnis vom Personenbezug. Zum anderen kann sich der datenschutzrechtliche Status der einzelnen Datenpunkte sehr schnell verändern. Ein ursprünglich anonymer Datensatz kann durch Verknüpfung mit anderen Datenquellen plötzlich personenbeziehbar werden, was eine kontinuierliche Neubewertung der anwendbaren rechtlichen Rahmenbedingungen erforderlich macht.

Handlungsempfehlungen für die Praxis

Angesichts der vom EDPB aufgezeigten Fragestellungen sollten Unternehmen zunächst mit der praktischen Anwendung der aktuellen MCT-Entwürfe zurückhaltend umgehen. Die Kritikpunkte könnten zu erheblichen Überarbeitungen der finalen Fassung führen.

Unternehmen sollten bereits jetzt robuste Prozesse zur Datenklassifizierung etablieren, die eine zuverlässige Unterscheidung zwischen personenbezogenen und nicht-personenbezogenen Daten ermöglichen. Zudem sollten Unternehmen eine eigene Datenstrategie entwickeln, in der sie festlegen, zu welchen Zwecken sie selbst Produktdaten oder verbundene Dienstdaten nutzen wollen. 

Zudem ist Unternehmen zu raten, einen „DSGVO-Layer“ bei allen Datensharing-Aktivitäten zu berücksichtigen. Dieser muss unabhängig von den MCTs alle datenschutzrechtlichen Anforderungen abdecken, insbesondere die Rechtmäßigkeit der Verarbeitung, die Einhaltung der Grundsätze nach Art. 5 DSGVO und die Gewährleistung von Betroffenenrechten. Besondere Aufmerksamkeit verdient dabei die Frage der Rechtsgrundlagen, da die MCTs deren Existenz nicht präsumieren dürfen.

Die kontinuierliche Beobachtung der weiteren Entwicklung ist ebenfalls essentiell. Das EDPB hat bereits angekündigt, dass weitere Stellungnahmen zum Zusammenspiel zwischen Data Act und Datenschutzrecht folgen werden. 

Ausblick: Harmonisierung als Dauerbaustelle

Für die Praxis bedeutet dies, dass Datensharing-Projekte auch künftig einer differenzierten rechtlichen Würdigung bedürfen werden. Die MCTs können dabei als wichtiger Baustein dienen, ersetzen aber nicht die umfassende datenschutzrechtliche Compliance-Prüfung. Unternehmen, die sich frühzeitig auf diese komplexe Rechtslage einstellen und entsprechende Governance-Strukturen etablieren, werden einen entscheidenden Wettbewerbsvorteil im entstehenden europäischen Datenraum haben.