Data Spaces und Datenpooling

Daten als strategischer Rohstoff: Ob in der Industrie 4.0, im Gesundheitswesen oder bei der Entwicklung von KI-Systemen – die Fähigkeit, Daten sicher, effizient und rechtlich einwandfrei zu teilen, entscheidet über Wettbewerbsfähigkeit und Innovationskraft. Zwei Konzepte stehen dabei im Fokus: Data Spaces und Datenpooling. Beide verfolgen das Ziel, Daten für mehrere Akteure nutzbar zu machen, tun dies jedoch auf grundlegend unterschiedliche Weise.

Während Data Spaces auf dezentrale, souveräne Datennutzung setzen, zielt Datenpooling auf die gemeinsame Bündelung von Daten in einem zentralen oder logisch einheitlichen Rahmen ab. Doch wie sind diese Modelle rechtlich einzuordnen? Welche Herausforderungen ergeben sich aus Datenschutz-, Wettbewerbs- und Vertragsrecht?

Data Spaces

Data Spaces sind virtuelle Räume, in denen Unternehmen und Organisationen Daten nach gemeinsamen technischen und rechtlichen Regeln teilen – ohne diese zentral zu speichern. Die Daten verbleiben beim ursprünglichen Inhaber, während Metadaten und Zugriffsregeln im Data Space verwaltet werden. Dieses Konzept ist ein zentraler Baustein der europäischen Datenstrategie, die auf Datensouveränität, Interoperabilität und faire Wettbewerbsbedingungen setzt.

Dezentrale Datensouveränität im europäischen Rechtsrahmen

Rechtlich fußt der Betrieb von Data Spaces auf einem Zusammenspiel mehrerer EU-Verordnungen. Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und setzt klare Grenzen für deren Verarbeitung, Weitergabe und Speicherung. Der Data Governance Act (DGA) schafft einen Rahmen für vertrauenswürdige Datenvermittler und fördert den freiwilligen Datenaustausch, etwa durch Datenaltruismus. Seit September 2025 ist zudem der Data Act in Kraft, der horizontale Regeln für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und Diensten vorgibt. Er verpflichtet Hersteller, Nutzern Zugang zu den von ihren Geräten generierten Daten zu gewähren, und setzt Standards für Interoperabilität und faire Vertragsgestaltung.

Ein zentrales Spannungsfeld entsteht dabei zwischen dem Anspruch auf Datensouveränität und den praktischen Anforderungen an Datenzugang. Der Data Act etwa ordnet bestimmte nicht-personenbezogene Daten dem Nutzer zu und verlangt, dass deren Verwendung vertraglich legitimiert wird. Dies stellt Unternehmen vor die Herausforderung, klare Lizenzmodelle zu entwickeln, die sowohl den Anforderungen des Data Act als auch denen der DSGVO gerecht werden. Gleichzeitig müssen sie sicherstellen, dass der Datenaustausch nicht gegen Wettbewerbsrecht verstößt – etwa durch diskriminierende Zugangskonditionen oder die Schaffung von Marktzutrittsschranken.

Unternehmensrelevanz

Data Spaces erfordern nicht nur technische, sondern auch rechtliche Interoperabilität. Verträge müssen regeln, wer welche Daten unter welchen Bedingungen nutzen darf, wie Datenschutz und Geschäftsgeheimnisse gewahrt bleiben und wie Streitigkeiten gelöst werden. Die Europäische Kommission hat zwar Mustervertragsklauseln veröffentlicht, doch diese sind oft zu komplex, um sie unverändert zu übernehmen. Praktikabler ist es, sie als Orientierungshilfe zu nutzen und an die spezifischen Bedürfnisse des jeweiligen Data Space anzupassen.

Datenpooling

Datenpooling geht einen Schritt weiter als Data Spaces: Hier werden Daten mehrerer Akteure tatsächlich zusammengeführt – sei es in einer zentralen Datenbank oder einem logisch einheitlichen System. Ziel ist es, durch die Bündelung von Datenmengen bessere Analysen, Benchmarks oder KI-Modelle zu ermöglichen. Typische Anwendungsfälle finden sich in der Forschung, bei Branchenvergleichen oder im Training von Algorithmen.

Rechtlich ist Datenpooling deutlich anspruchsvoller als der Betrieb eines Data Space. Denn sobald Daten physisch oder logisch zusammengeführt werden, stellen sich Fragen nach der Zulässigkeit der Verarbeitung, der Einhaltung von Datenschutzvorgaben und der Vermeidung von Wettbewerbsverzerrungen. Die DSGVO gilt hier uneingeschränkt, sobald personenbezogene Daten im Spiel sind. Unternehmen müssen sicherstellen, dass eine rechtmäßige Grundlage für die Verarbeitung existiert – sei es durch Einwilligung, Vertrag oder berechtigtes Interesse. Zudem sind die Grundsätze der Zweckbindung, Datenminimierung und Transparenz zu beachten.

Noch komplexer wird es, wenn Wettbewerber Daten in einem Pool zusammenführen. Dann ist das Kartellrecht zu beachten: Art. 101 AEUV verbietet Absprachen, die den Wettbewerb beschränken. Ein Datenpool darf nicht dazu führen, dass sensible Informationen ausgetauscht werden, die den Wettbewerb verfälschen könnten – etwa durch Preisabsprachen oder die Schaffung exklusiver Informationsvorsprünge. Die Europäische Kommission hat in Fällen wie Insurance Ireland gezeigt, dass sie solche Konstellationen kritisch prüft. Dort hatte ein Versicherungsverbund den Zugang zu einem gemeinsamen Schadensdatenpool verzögert oder verweigert, was als wettbewerbswidrige Marktzutrittsschranke gewertet wurde.

Hinzu kommen Fragen des geistigen Eigentums und des Schutzes von Geschäftsgeheimnissen. Wer darf die gepoolten Daten nutzen? Wie werden derivative Erkenntnisse – etwa aus KI-Analysen – rechtlich behandelt? Hier sind klare vertragliche Regelungen unerlässlich, die Nutzungsrechte, Haftung und den Umgang mit Geschäftsgeheimnissen definieren. In der Praxis kommen oft Datentreuhänder oder „Data Clean Rooms“ zum Einsatz, um Compliance zu gewährleisten und Vertrauen zwischen den Partnern zu schaffen.

Vertragsgestaltung: Lizenzmodelle und Haftungsfragen

Sowohl bei Data Spaces als auch beim Datenpooling ist die Vertragsgestaltung der Schlüssel zum Erfolg. Der Data Act verlangt, dass die Nutzung nicht-personenbezogener Daten vertraglich legitimiert wird. Doch was bedeutet das konkret? Unternehmen müssen klären, wer als „Nutzer“ im Sinne des Data Act gilt – etwa der Eigentümer eines vernetzten Geräts oder ein Mieter – und wie Lizenzen entlang der Wertschöpfungskette weitergegeben werden können.

Ein zentrales Problem ist die Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten. Während erstere der DSGVO unterliegen, greifen für letztere die Regeln des Data Act. In der Praxis ist diese Trennung jedoch oft unscharf, insbesondere bei IoT-Daten. Hier empfiehlt es sich, Verträge so zu gestalten, dass sie beide Datenkategorien abdecken und klare Nutzungszwecke definieren. Gleichzeitig müssen Unternehmen sicherstellen, dass sie keine Geschäftsgeheimnisse oder urheberrechtlich geschützte Inhalte unbefugt weitergeben.

Die Europäische Kommission hat zwar Musterklauseln für Datenlizenzen veröffentlicht, doch diese sind oft zu starr für den praktischen Einsatz. Besser ist es, individuelle Lösungen zu entwickeln, die den spezifischen Anforderungen des Datenpools oder Data Space gerecht werden. Dabei sollten Unternehmen auch die Haftungsrisiken bedenken: Wer haftet, wenn Daten falsch genutzt werden? Wie lassen sich Schadensersatzansprüche begrenzen? Hier können Versicherungslösungen oder Haftungsausschlüsse in Verträgen helfen – sofern sie rechtlich zulässig sind.

Rechtssicherheit für Innovation

Data Spaces und Datenpooling bieten enorme Chancen für die datengetriebene Wirtschaft. Doch ihr Erfolg hängt entscheidend davon ab, ob es gelingt, die rechtlichen Rahmenbedingungen klar und praxistauglich zu gestalten. Unternehmen müssen sich mit den Anforderungen der DSGVO, des Data Act und des Wettbewerbsrechts auseinandersetzen – und gleichzeitig sicherstellen, dass ihre Datenstrategien innovativ und wettbewerbsfähig bleiben.

Dabei zeigt sich: Es gibt keine Einheitslösung. Jeder Data Space und jeder Datenpool erfordert eine individuelle rechtliche Bewertung. Klare Verträge, transparente Governance-Strukturen und eine enge Zusammenarbeit mit Rechtsberatern sind unerlässlich, um Compliance-Risiken zu minimieren und das volle Potenzial der Datenökonomie auszuschöpfen. Wer diese Herausforderungen meistert, kann nicht nur rechtliche Fallstricke vermeiden, sondern auch neue Geschäftsmodelle entwickeln – und so einen echten Wettbewerbsvorteil erzielen.

Balance zwischen Offenheit und Schutz

Die europäische Datenstrategie steht vor einem Dilemma: Einerseits soll der Zugang zu Daten erleichtert werden, um Innovation und Wettbewerb zu fördern. Andererseits müssen Datenschutz, Wettbewerbsneutralität und der Schutz geistigen Eigentums gewahrt bleiben. Data Spaces und Datenpooling sind zwei Seiten derselben Medaille – sie zeigen, wie komplex die rechtliche Einordnung von Datenkooperationen ist.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Hessendata, Palantir und der digitale Ermittlungsstaat (Update) - 13. Dezember 2025
• Dark Factories - 13. Dezember 2025
• Postlaufzeiten 2025 - 13. Dezember 2025