{ "regulation": "data_act", "name": "Data Act (EU) 2023/2854", "description": "Verordnung ueber harmonisierte Vorschriften fuer einen fairen Datenzugang und eine faire Datennutzung — Regelt den Zugang zu und die Nutzung von Daten, die durch vernetzte Produkte und verbundene Dienste erzeugt werden", "version": "2.0", "effective_date": "2025-09-12", "obligations": [ { "id": "DATAACT-OBL-001", "title": "Datenzugangsrecht fuer Nutzer — Design-Pflicht", "description": "Vernetzte Produkte und verbundene Dienste muessen so konzipiert und hergestellt werden, dass die bei der Nutzung erzeugten Daten dem Nutzer standardmaessig leicht, sicher und unentgeltlich zugaenglich sind.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 3", "title": "Pflicht zur Zugaenglichmachung von Daten"}], "sources": [{"type": "article", "ref": "Art. 3 Data Act"}], "category": "Technisch", "responsible": "Produktmanagement", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Design-Dokumentation Data-by-Design", "Technische Zugangsspezifikation"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-002", "title": "Vorvertragliche Informationspflicht", "description": "Vor Vertragsschluss muessen Nutzer klar und verstaendlich darueber informiert werden, welche Daten erzeugt werden, wie sie darauf zugreifen koennen und ob der Dateninhaber die Daten fuer eigene Zwecke nutzt.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 4", "title": "Vorvertragliche Informationspflichten"}], "sources": [{"type": "article", "ref": "Art. 4 Data Act"}], "category": "Dokumentation", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Produktinformationsblatt", "AGB mit Dateninformationen"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-003", "title": "Recht auf Datenzugang des Nutzers", "description": "Nutzer haben das Recht, auf die durch die Nutzung eines vernetzten Produkts erzeugten Daten unverzueglich, unentgeltlich und in einem umfassenden, strukturierten, gaengigen und maschinenlesbaren Format zuzugreifen.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 5", "title": "Recht auf Zugang zu Daten"}], "sources": [{"type": "article", "ref": "Art. 5 Data Act"}], "category": "Technisch", "responsible": "CTO", "deadline": {"type": "on_event", "event": "Anfrage des Nutzers"}, "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Datenzugangs-API", "Exportfunktion im Produkt", "Nachweis maschinenlesbares Format"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-004", "title": "Schutz von Geschaeftsgeheimnissen beim Datenzugang", "description": "Dateninhaber duerfen den Datenzugang nur einschraenken, soweit dies zum Schutz von Geschaeftsgeheimnissen erforderlich ist. Massnahmen muessen verhaeltnismaessig sein und duerfen den Zugang nicht unzumutbar erschweren.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 5 Abs. 8", "title": "Schutz von Geschaeftsgeheimnissen"}], "sources": [{"type": "article", "ref": "Art. 5 Abs. 8 Data Act"}], "category": "Governance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Geschaeftsgeheimnis-Schutzkonzept", "Verhaeltnismaessigkeitspruefung"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-005", "title": "Datenweitergabe an Dritte auf Wunsch des Nutzers", "description": "Auf Antrag des Nutzers muessen Dateninhaber die erzeugten Daten an einen vom Nutzer benannten Dritten unverzueglich, unentgeltlich und in gleicher Qualitaet wie dem Nutzer bereitstellen.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 6", "title": "Pflicht zur Bereitstellung von Daten an Dritte"}], "sources": [{"type": "article", "ref": "Art. 6 Data Act"}], "category": "Technisch", "responsible": "CTO", "deadline": {"type": "on_event", "event": "Antrag des Nutzers auf Datenweitergabe"}, "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Datenweitergabe-Prozess", "Nutzerantragsformular", "Weitergabeprotokoll"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-006", "title": "Pflichten des Datenempfaengers (Dritter)", "description": "Datenempfaenger duerfen die erhaltenen Daten nur fuer die vereinbarten Zwecke nutzen. Sie duerfen die Daten nicht zur Entwicklung eines konkurrierenden Produkts verwenden und muessen sie nach Zweckerfuellung loeschen.", "applies_when": "organization.receives_product_data == true", "applies_when_condition": {"field": "organization.receives_product_data", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 7", "title": "Pflichten der Datenempfaenger"}], "sources": [{"type": "article", "ref": "Art. 7 Data Act"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Zweckbindungsvereinbarung", "Loeschnachweis nach Zweckerfuellung"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-007", "title": "Angemessene Verguetung fuer Datenweitergabe", "description": "Bei Datenweitergabe an Dritte duerfen Dateninhaber eine angemessene Verguetung verlangen. Gegenueber KMU darf die Verguetung die Kosten der Bereitstellung nicht uebersteigen.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 8", "title": "Verguetung fuer die Bereitstellung von Daten"}], "sources": [{"type": "article", "ref": "Art. 8 Data Act"}], "category": "Governance", "responsible": "Finanzabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Verguetungsmodell", "Kostenkalkulation", "KMU-Sondertarife"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-008", "title": "Faire Vertragsbedingungen fuer Datenzugang", "description": "Vertragsbedingungen fuer den Datenzugang und die Datennutzung muessen fair, angemessen und nicht-diskriminierend sein. Einseitig benachteiligende Klauseln sind unwirksam.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 9", "title": "Missbr. Vertragsklauseln in Bezug auf Datenzugang und -nutzung"}], "sources": [{"type": "article", "ref": "Art. 9 Data Act"}], "category": "Governance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Vertragspruefung auf Fairness", "AGB-Klauselkontrolle"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-009", "title": "Unwirksamkeit missbraeuchlicher Vertragsklauseln", "description": "Vertragsklauseln, die den Datenzugang oder die Datennutzung unangemessen einschraenken, sind nicht bindend. Die Beweislast fuer die Angemessenheit liegt beim Dateninhaber.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 10", "title": "Anwendung der Vorschriften fuer missbr. Vertragsklauseln"}], "sources": [{"type": "article", "ref": "Art. 10 Data Act"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Klauselregister mit Fairness-Bewertung"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-010", "title": "Mustervertragsbedingungen beachten", "description": "Die Kommission erstellt Mustervertragsbedingungen fuer faire Datenzugangsvereinbarungen. Dateninhaber sollten diese bei der Gestaltung ihrer Vertraege beruecksichtigen.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 12", "title": "Mustervertragsbedingungen"}], "sources": [{"type": "article", "ref": "Art. 12 Data Act"}], "category": "Dokumentation", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Keine direkte Sanktion (empfohlen)", "personal_liability": false}, "evidence": ["Verwendung von EU-Musterklauseln", "Dokumentation Abweichungen"], "priority": "niedrig", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-011", "title": "Wechsel von Cloud-Diensten — Vertragliche Mindestanforderungen", "description": "Vertraege ueber Datenverarbeitungsdienste (Cloud, SaaS, IaaS, PaaS) muessen klare Bestimmungen zum Anbieterwechsel enthalten, einschliesslich Kuendigungsfristen, Datenexport und Uebergangsunterstuetzung.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 13", "title": "Vertragliche Rechte betreffend den Wechsel"}], "sources": [{"type": "article", "ref": "Art. 13 Data Act"}], "category": "Dokumentation", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Vertragliche Wechselklauseln", "Datenexport-SLA"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-012", "title": "Technische Pflichten beim Cloud-Wechsel", "description": "Cloud-Anbieter muessen technische Massnahmen bereitstellen, um den Wechsel zu erleichtern: Datenexport in strukturiertem Format, API-Zugang waehrend der Uebergangsphase und Loeschung nach Abschluss des Wechsels.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 14", "title": "Technische Aspekte des Wechsels"}], "sources": [{"type": "article", "ref": "Art. 14 Data Act"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Datenexport-API-Dokumentation", "Migrationsleitfaden", "Loeschbestaetigung"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01", "TOM.OPS.02"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-013", "title": "Schrittweiser Abbau von Wechselgebuehren", "description": "Wechselgebuehren muessen ab dem 12. Januar 2027 schrittweise abgebaut und ab dem 12. Januar 2027 vollstaendig abgeschafft werden. Bis dahin duerfen nur kostenbasierte Gebuehren erhoben werden.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 16", "title": "Wechselgebuehren"}], "sources": [{"type": "article", "ref": "Art. 16 Data Act"}], "category": "Compliance", "responsible": "Finanzabteilung", "deadline": {"type": "absolute", "date": "2027-01-12"}, "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Gebuehrenmodell-Dokumentation", "Nachweis schrittweiser Abbau"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-014", "title": "Interoperabilitaet von Datenverarbeitungsdiensten", "description": "Anbieter von Datenverarbeitungsdiensten muessen offene Schnittstellen und Standards unterstuetzen, um die Interoperabilitaet zwischen verschiedenen Diensten zu gewaehrleisten.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 17", "title": "Offene Interoperabilitaetsspezifikationen"}], "sources": [{"type": "article", "ref": "Art. 17 Data Act"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Interoperabilitaets-Spezifikation", "Offene API-Dokumentation"], "priority": "hoch", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-015", "title": "Wesentliche Anforderungen an Interoperabilitaet", "description": "Interoperabilitaetsspezifikationen muessen transparent, offen, fair und nicht-diskriminierend sein. Sie muessen die Portabilitaet von Daten, Anwendungen und digitalen Assets ermoeglichen.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 18", "title": "Wesentliche Anforderungen fuer Interoperabilitaet"}], "sources": [{"type": "article", "ref": "Art. 18 Data Act"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Konformitaetsbewertung Interoperabilitaet", "Standardkonformitaet"], "priority": "mittel", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-016", "title": "Datenzugang fuer oeffentliche Stellen bei aussergewoehnlichem Bedarf", "description": "Dateninhaber muessen oeffentlichen Stellen und EU-Organen bei aussergewoehnlichem Bedarf (Notfaelle, Statistiken) Daten zur Verfuegung stellen. Der Bedarf muss begruendet und verhaeltnismaessig sein.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 20", "title": "Recht auf Zugang fuer oeffentliche Stellen"}], "sources": [{"type": "article", "ref": "Art. 20 Data Act"}], "category": "Compliance", "responsible": "Geschaeftsfuehrung", "deadline": {"type": "on_event", "event": "Begruendetes Ersuchen einer oeffentlichen Stelle"}, "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Prozess fuer Behoerdenanfragen", "Anfragenregister"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-017", "title": "Begruendungspflicht bei Ablehnung des Datenzugangs", "description": "Dateninhaber koennen ein Ersuchen einer oeffentlichen Stelle nur aus eng begrenzten Gruenden ablehnen. Die Ablehnung muss begruendet werden und der oeffentlichen Stelle mitgeteilt werden.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 21", "title": "Pflichten bei der Bereitstellung an oeffentliche Stellen"}], "sources": [{"type": "article", "ref": "Art. 21 Data Act"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Ablehnungsbegruendungen dokumentiert", "Kommunikationsprotokoll mit Behoerden"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-018", "title": "Unentgeltlichkeit bei Notfaellen", "description": "Bei oeffentlichen Notfaellen (Pandemie, Naturkatastrophe) muessen Daten oeffentlichen Stellen unentgeltlich bereitgestellt werden. In anderen Faellen kann eine angemessene Verguetung verlangt werden.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 22", "title": "Verguetung bei aussergewoehnlichem Bedarf"}], "sources": [{"type": "article", "ref": "Art. 22 Data Act"}], "category": "Governance", "responsible": "Finanzabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Notfall-Datenzugangs-Protokoll", "Verguetungsmodell fuer Nicht-Notfaelle"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-019", "title": "Schutz vor internationalem Datenzugriff", "description": "Anbieter von Datenverarbeitungsdiensten muessen angemessene Massnahmen ergreifen, um den unrechtmaessigen internationalen Zugriff auf nicht-personenbezogene Daten durch Drittstaaten zu verhindern.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 23", "title": "Internationale Datenuebermittlung — Schutzmassnahmen"}], "sources": [{"type": "article", "ref": "Art. 23 Data Act"}], "category": "Technisch", "responsible": "CISO", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Schutzkonzept gegen Drittstaaten-Zugriff", "Standortdokumentation der Datenzentren"], "priority": "kritisch", "tom_control_ids": ["TOM.OPS.01", "TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-020", "title": "Beachtung internationaler Abkommen", "description": "Datenuebermittlungen an Drittstaaten duerfen nur auf Grundlage internationaler Abkommen oder anerkannter Angemessenheitsbeschluesse erfolgen. Anfragen von Drittstaaten-Gerichten oder -Behoerden muessen dem EU-Recht entsprechen.", "applies_when": "organization.provides_cloud_services == true", "applies_when_condition": {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 25", "title": "Internationale Zusammenarbeit"}], "sources": [{"type": "article", "ref": "Art. 25 Data Act"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Pruefung internationaler Anfragen", "Dokumentation der Rechtsgrundlagen"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-021", "title": "Benennung einer zustaendigen Behoerde", "description": "Unternehmen muessen die fuer sie zustaendige nationale Durchsetzungsbehoerde kennen und mit ihr kooperieren. Anfragen der Behoerde muessen fristgerecht beantwortet werden.", "applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true", "applies_when_condition": { "any_of": [ {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true} ] }, "legal_basis": [{"norm": "Data Act", "article": "Art. 27", "title": "Zustaendige Behoerden"}], "sources": [{"type": "article", "ref": "Art. 27 Data Act"}], "category": "Governance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Kenntnis der zustaendigen Behoerde", "Kooperationsprotokoll"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-022", "title": "Sanktionsvermeidung — Rechtskonformitaetsprogramm", "description": "Mitgliedstaaten legen wirksame, verhaeltnismaessige und abschreckende Sanktionen fest. Unternehmen muessen ein Rechtskonformitaetsprogramm implementieren, um Verstoesse zu vermeiden.", "applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true", "applies_when_condition": { "any_of": [ {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true} ] }, "legal_basis": [{"norm": "Data Act", "article": "Art. 30", "title": "Sanktionen"}], "sources": [{"type": "article", "ref": "Art. 30 Data Act"}], "category": "Governance", "responsible": "Compliance-Beauftragter", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Compliance-Programm-Dokumentation", "Schulungsnachweise"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01", "TOM.GOV.02"], "breakpilot_feature": "/sdk/compliance-hub", "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-023", "title": "Smart-Contract-Konformitaet", "description": "Anbieter von Smart Contracts fuer die Datenweitergabe muessen sicherstellen, dass diese den Anforderungen des Data Act entsprechen, einschliesslich Zugangskontrollen, Kuendigungsmoeglichkeiten und Datensicherheit.", "applies_when": "organization.uses_smart_contracts_for_data == true", "applies_when_condition": {"field": "organization.uses_smart_contracts_for_data", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 28", "title": "Wesentliche Anforderungen an Smart Contracts"}], "sources": [{"type": "article", "ref": "Art. 28 Data Act"}], "category": "Technisch", "responsible": "CTO", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Smart-Contract-Audit", "Konformitaetsbewertung"], "priority": "mittel", "tom_control_ids": ["TOM.OPS.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-024", "title": "Verbot von Gatekeeper-Verhalten bei Daten", "description": "Dateninhaber duerfen den Datenzugang nicht nutzen, um ihre Marktposition zu missbrauchen. Insbesondere darf der Zugang zu Reparatur- und Wartungsdaten fuer vernetzte Produkte nicht unangemessen verweigert werden.", "applies_when": "organization.manufactures_connected_products == true", "applies_when_condition": {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, "legal_basis": [{"norm": "Data Act", "article": "Art. 6 Abs. 2", "title": "Verbot des Missbrauchs der Datenposition"}], "sources": [{"type": "article", "ref": "Art. 6 Abs. 2 Data Act"}], "category": "Compliance", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Wirksam, verhaeltnismaessig und abschreckend (nationale Festlegung)", "personal_liability": false}, "evidence": ["Marktmissbrauchs-Pruefung", "Zugangsrichtlinie fuer Reparaturdaten"], "priority": "hoch", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" }, { "id": "DATAACT-OBL-025", "title": "Streitbeilegungsmechanismus", "description": "Dateninhaber und Datenempfaenger muessen Zugang zu Streitbeilegungsstellen haben. Die Mitgliedstaaten benennen zertifizierte Stellen fuer aussergerichtliche Streitbeilegung bei Data-Act-Streitigkeiten.", "applies_when": "organization.manufactures_connected_products == true OR organization.provides_cloud_services == true", "applies_when_condition": { "any_of": [ {"field": "organization.manufactures_connected_products", "operator": "EQUALS", "value": true}, {"field": "organization.provides_cloud_services", "operator": "EQUALS", "value": true} ] }, "legal_basis": [{"norm": "Data Act", "article": "Art. 29", "title": "Streitbeilegung"}], "sources": [{"type": "article", "ref": "Art. 29 Data Act"}], "category": "Organisatorisch", "responsible": "Rechtsabteilung", "sanctions": {"max_fine": "Keine direkte Sanktion (Verfahrensrecht)", "personal_liability": false}, "evidence": ["Hinweis auf Streitbeilegungsstellen", "Interne Eskalationsprozesse"], "priority": "mittel", "tom_control_ids": ["TOM.GOV.01"], "valid_from": "2025-09-12", "valid_until": null, "version": "1.0" } ], "controls": [ { "id": "DATAACT-CTRL-001", "name": "Data-by-Design-Produktentwicklung", "description": "Systematischer Prozess zur Sicherstellung, dass vernetzte Produkte den Datenzugang standardmaessig ermoeglichen", "category": "Technisch", "what_to_do": "Integration von Datenzugangs-APIs in die Produktarchitektur, maschinenlesbare Exportformate und Zugangsmanagement ab der Design-Phase", "priority": "kritisch" }, { "id": "DATAACT-CTRL-002", "name": "Cloud-Portabilitaets-Framework", "description": "Technisches und vertragliches Framework zur Erleichterung des Wechsels zwischen Cloud-Anbietern", "category": "Technisch", "what_to_do": "Bereitstellung von Datenexport-APIs, Migrationswerkzeugen, standardisierten Formaten und Uebergangsunterstuetzung gemaess den Data-Act-Anforderungen", "priority": "hoch" }, { "id": "DATAACT-CTRL-003", "name": "Behoerden-Datenzugangs-Prozess", "description": "Standardisierter Prozess zur Bearbeitung von Datenzugangsanfragen oeffentlicher Stellen", "category": "Organisatorisch", "what_to_do": "Einrichtung eines Anfragenmanagements mit Pruefung der Rechtsgrundlage, Verhaeltnismaessigkeitstest, Anonymisierung und fristgerechter Bereitstellung", "priority": "hoch" } ], "incident_deadlines": [ { "phase": "Datenzugangsanfrage des Nutzers", "deadline": "Unverzueglich, ohne ungebuehrliche Verzoegerung", "content": "Bereitstellung der angeforderten Daten in maschinenlesbarem Format", "recipient": "Antragstellender Nutzer", "legal_basis": [{"norm": "Data Act", "article": "Art. 5"}] }, { "phase": "Datenweitergabe an Dritte", "deadline": "Unverzueglich nach Antrag des Nutzers", "content": "Weitergabe der Daten an den vom Nutzer benannten Dritten", "recipient": "Benannter Dritter", "legal_basis": [{"norm": "Data Act", "article": "Art. 6"}] }, { "phase": "Ersuchen einer oeffentlichen Stelle (Notfall)", "deadline": "Unverzueglich, spaetestens innerhalb der in der Anfrage gesetzten Frist", "content": "Bereitstellung der angeforderten Daten an die oeffentliche Stelle", "recipient": "Ersuchende oeffentliche Stelle", "legal_basis": [{"norm": "Data Act", "article": "Art. 20"}] }, { "phase": "Cloud-Wechsel — Datenexport", "deadline": "Maximal 30 Tage nach Kuendigung", "content": "Vollstaendiger Export aller Daten, Anwendungen und digitalen Assets an den neuen Anbieter", "recipient": "Kunde / neuer Cloud-Anbieter", "legal_basis": [{"norm": "Data Act", "article": "Art. 14"}] } ] }