Datenlizenzvertrag

Der Datenlizenzvertrag ist von verwandten Instrumenten abzugrenzen: Beim Datenverkaufsvertrag wird das Eigentumsrecht (soweit gesetzlich anerkannt) an einem Datensatz dauerhaft übertragen; beim Datenlizenzvertrag verbleiben alle Rechte dauerhaft beim Lizenzgeber, der nur befristete und beschränkte Nutzungsrechte einräumt. Auftragsverarbeitungsverträge nach DSGVO Art. 28 regeln die Verarbeitung personenbezogener Daten im Auftrag; der Datenlizenzvertrag regelt hingegen die kommerzielle Nutzung von Daten als Wirtschaftsgut unabhängig von personenbezogenen Daten.

Der Bundesgerichtshof (BGH) hat in verschiedenen Urteilen grundlegende Fragen zur Schutzfähigkeit von Datensammlungen geklärt. Gleichzeitig hat das Europäische Parlament mit dem EU Data Governance Act (DGA, Verordnung 2022/868) und dem EU Data Act (Verordnung 2023/2854) einen umfassenden Rahmen für die Datenwirtschaft geschaffen, der nationale Datenlizenzverträge in Deutschland maßgeblich beeinflusst. Der EU Data Act verpflichtet Hersteller vernetzter Produkte (IoT-Geräte) seit September 2025, Nutzern Zugang zu den von ihren Geräten generierten Daten zu gewähren.

Zentral für den Datenlizenzvertrag in Deutschland ist die Abgrenzung zwischen personenbezogenen Daten im Sinne von DSGVO Art. 4 Nr. 1 und nicht-personenbezogenen Daten. Bei personenbezogenen Daten ist eine Datenlizenz nur unter Einhaltung der DSGVO möglich: Zweckbindung nach DSGVO Art. 5 Abs. 1 lit. b, Rechtsgrundlage nach DSGVO Art. 6, Datenminimierung nach DSGVO Art. 5 Abs. 1 lit. c und Transparenzpflichten nach DSGVO Art. 13 und Art. 14. Nicht-personenbezogene Daten sind freier handelbar, unterliegen jedoch dem GeschGehG, wenn sie als Geschäftsgeheimnisse nach GeschGehG §2 Nr. 1 eingestuft sind (nicht öffentlich bekannt, wirtschaftlicher Wert, angemessene Schutzmaßnahmen).

Der Datenlizenzvertrag regelt typischerweise: vollständigen Umfang und Format der lizenzierten Datensätze, Art der gestatteten Nutzungshandlungen (Lesen, Kopieren, Weiterverarbeiten, Weitergabe an Dritte), räumliche und zeitliche Beschränkungen, Lizenzgebühr und Zahlungsmodalitäten in Euro, Datenschutzverpflichtungen und Zweckbindung, Qualitäts- und Aktualitätsgarantien sowie Haftungsregelungen. Bei Verstößen gegen Datenschutzvorgaben drohen Bußgelder nach DSGVO Art. 83 bis zu 20 Millionen Euro oder vier Prozent des globalen Jahresumsatzes; bei Verletzung von Geschäftsgeheimnissen bestehen Schadensersatz-, Unterlassungs- und Auskunftsansprüche nach GeschGehG §§10–12.

Das Datenlizenzrecht in Deutschland hat sich durch die Initiative »Datenlizenz Deutschland« des Bundesministeriums des Innern (BMI) weiterentwickelt: Die standardisierten Lizenzbedingungen »Datenlizenz Deutschland — Namensnennung — Version 2.0 (dl-de/by-2-0)« und »Datenlizenz Deutschland — Zero — Version 2.0 (dl-de/zero-2-0)« bilden den rechtlichen Rahmen für die Weiterverwendung offener Behördendaten nach dem Datennutzungsgesetz (DNG 2021) und dem E-Government-Gesetz (EGovG §12a). Diese standardisierten Lizenzen sind das deutsche Äquivalent zu Creative-Commons-Lizenzen im Bereich der öffentlichen Verwaltungsdaten.

Der Datenlizenzvertrag in Deutschland wird in zahlreichen Branchen und Anwendungsfällen benötigt, in denen Unternehmen Daten von Dritten kommerziell nutzen oder eigene Daten an Dritte weitergeben wollen. Die folgenden Konstellationen erfordern den Abschluss eines schriftlichen Datenlizenzvertrags.

B2B-Datenaustausch in der Industrie 4.0 und Smart Manufacturing: Fertigungsunternehmen und Zulieferer tauschen Maschinendaten, Sensordaten, Produktionsprotokolle und Prozessparameter aus, um Effizienz, Qualität und Predictive Maintenance zu verbessern. Ohne schriftlichen Datenlizenzvertrag fehlt die vertragliche Grundlage für die Nutzung und den Schutz dieser Daten nach GeschGehG §§4, 10. Zudem verpflichtet der EU Data Act (Verordnung 2023/2854) Hersteller vernetzter Industrieprodukte, Nutzern Zugang zu generierten Maschinendaten zu gewähren.

KI-Training, Data-Science und Datenmonetarisierung: Unternehmen, die eigene Datenbestände (Kundendaten, Transaktionsdaten, Sensordaten, Clickstream-Daten) an Dritte für das Training von KI-Modellen lizenzieren wollen, benötigen einen Datenlizenzvertrag, der Nutzungszweck (KI-Training nach UrhG §44b), Vergütungsmodell und Verwertungsrechte an den KI-Modellen regelt. Ohne Lizenz riskiert der Lizenznehmer Urheberrechtsverletzungen und Schadensersatz nach UrhG §97.

Open-Data-Lizenzierung durch Bundesbehörden und Landesbehörden: Bundesbehörden und Landesbehörden, die amtliche Daten nach dem Datennutzungsgesetz (DNG 2021) und dem E-Government-Gesetz (EGovG §12a) als Open Data bereitstellen, schließen Datenlizenzverträge auf Basis der Datenlizenz Deutschland (dl-de) ab, herausgegeben vom Bundesministerium des Innern (BMI). Verwender dieser Daten in kommerziellen Anwendungen sind an die jeweilige Lizenz (dl-de/by-2-0 mit Namensnennung oder dl-de/zero ohne Bedingungen) gebunden.

Forschungsdaten-Lizenzierung durch Universitäten und außeruniversitäre Einrichtungen: Forschungseinrichtungen wie Fraunhofer-Institut, Max-Planck-Institut (MPI) oder Helmholtz-Gemeinschaft lizenzieren Forschungsdatensätze an die Industrie oder andere Einrichtungen. Der Datenlizenzvertrag regelt Nutzungszweck, Publikationsrechte und die Handhabung nach den Empfehlungen der Deutschen Forschungsgemeinschaft (DFG) zum Forschungsdatenmanagement und nach §69 Hochschulrahmengesetz (HRG).

Gesundheits- und Klinische Daten nach GDNG 2024: Krankenhäuser, Kassenärztliche Vereinigungen (KV) und Gesetzliche Krankenkassen (GKV) können nach Gesundheitsdatennutzungsgesetz (GDNG 2024) und SGB V §§303a–303f anonymisierte Gesundheitsdaten für Forschungszwecke lizenzieren. Der Datenlizenzvertrag muss dabei die DSGVO Art. 9 (besondere Datenkategorien), das Bundesdatenschutzgesetz (BDSG §22) und die Anforderungen des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) als Datenzugangsstelle vollständig erfüllen.

Geodaten und Umweltdaten für kommerzielle Nutzung: Private und öffentliche Anbieter von Geoinformationen (z.B. OpenStreetMap-Lizenz ODbL, HERE Technologies, Bundesamt für Kartographie und Geodäsie BKG) lizenzieren Geodaten an Unternehmen für Navigations-Apps, Logistiksoftware und GIS-Anwendungen. Ohne gültigen Datenlizenzvertrag entstehen Urheberrechts- und Datenbankschutzrechtsverletzungen nach UrhG §§87a–87e.

Telekommunikationsdaten und Metadaten nach TTDSG: Telekommunikationsanbieter und Anbieter von Telemediendiensten können nach dem Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG 2021) und dem Telekommunikationsgesetz (TKG 2021) bestimmte Nutzungsdaten (aggregierte Standortdaten, anonymisierte Verkehrsdaten) an Dritte lizenzieren, wenn eine Rechtsgrundlage besteht und die DSGVO eingehalten wird.

Ein vollständiger Datenlizenzvertrag in Deutschland muss alle wesentlichen rechtlichen und kommerziellen Aspekte der Datenüberlassung regeln. Die folgenden Kernelemente sind unverzichtbar.

Vertragsgegenstand und präzise Datenbeschreibung: Die lizenzierten Datensätze müssen vollständig identifiziert werden: Datenformat (CSV, JSON, XML, SQL-Dump, API-Schnittstelle), Datenvolumen (Anzahl Datensätze, Dateigröße in GB/TB), Aktualitätsstand (Zeitraum der Datenerfassung, Cutoff-Datum), Herkunft und Quellenangaben sowie Zugangsweg (REST-API mit Authentifizierungsprotokoll, SFTP-Server mit SSH-Schlüssel, Cloud-Download via AWS S3 oder Azure Blob Storage). Unklare Datenbeschreibungen führen zu Streitigkeiten über den Vertragsumfang vor dem zuständigen Landgericht.

Art und Umfang der eingeräumten Nutzungsrechte nach dem Vertrag: Der Datenlizenzvertrag muss exakt regeln, welche Nutzungshandlungen erlaubt sind: Lesen (reiner Lesezugriff für interne Analysen), Kopieren und lokale Speicherung auf eigenen Servern, Weiterverarbeitung zur Ableitung von Analyseergebnissen oder statistischen Modellen, Weitergabe an konzernverbundene Unternehmen oder Dritte (Sublizenz), Veröffentlichung von auf den Daten basierenden aggregierten Ergebnissen in wissenschaftlichen Publikationen, Nutzung zum Training von KI-Modellen nach UrhG §44b, Integration in eigene Produkte und Dienstleistungen, die an Endkunden vertrieben werden.

Datenschutzrechtliche Bestimmungen nach DSGVO und BDSG: Enthält der Datensatz personenbezogene Daten nach DSGVO Art. 4 Nr. 1, ist eine Rechtsgrundlage nach DSGVO Art. 6 Abs. 1 zwingend zu benennen. Ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28 Abs. 3 ist erforderlich, wenn der Lizenznehmer als Auftragsverarbeiter handelt. Gemeinsame Verantwortlichkeit nach DSGVO Art. 26 ist zu regeln, wenn beide Parteien über Zwecke und Mittel der Verarbeitung entscheiden. Landesbeauftragte für Datenschutz (LfDI) und Bundesbeauftragter für Datenschutz (BfDI) überwachen die Einhaltung; Verstöße werden nach DSGVO Art. 83 mit Bußgeldern belegt.

Schutz von Geschäftsgeheimnissen nach GeschGehG: Enthält der Datensatz Geschäftsgeheimnisse nach GeschGehG §2 Nr. 1 (nicht öffentlich bekannt, wirtschaftlicher Wert durch Geheimhaltung, angemessene Schutzmaßnahmen des Inhabers), muss der Datenlizenzvertrag Vertraulichkeitspflichten, technische und organisatorische Sicherheitsmaßnahmen (TOM) sowie Rechtsfolgen bei Verletzung nach GeschGehG §§10–12 (Schadensersatz, Unterlassung, Auskunft) regeln. Verletzungen von Geschäftsgeheimnissen können nach GeschGehG §23 auch strafrechtlich verfolgt werden.

Räumlicher und zeitlicher Geltungsbereich sowie Drittlandklauseln: Der Lizenzvertrag muss den territorialen Geltungsbereich (Deutschland, EU/EWR, weltweit) und die Vertragslaufzeit (befristet, unbefristet, automatische Verlängerung) bestimmen. Bei internationalen Datentransfers außerhalb der EU/EWR sind die DSGVO-Regelungen zu Drittlandübermittlungen nach Kapitel V zu beachten: Angemessenheitsbeschluss nach DSGVO Art. 45, Standarddatenschutzklauseln nach DSGVO Art. 46 Abs. 2 lit. c oder verbindliche interne Datenschutzvorschriften nach DSGVO Art. 47.

Lizenzgebühr, Zahlungsmodalitäten und Audit-Recht: Zu vereinbaren sind Höhe der Lizenzgebühr (einmalig oder laufend), Fälligkeitstermine, Zahlungsweise (SEPA-Banküberweisung auf IBAN), etwaige nutzungsbasierte Komponenten (Revenue Share, Pay-per-Use-Modell) sowie Pflichten des Lizenznehmers zur Berichterstattung über die tatsächliche Nutzung. Auditing-Rechte des Lizenzgebers durch einen unabhängigen Wirtschaftsprüfer (WP) sichern die Vertragserfüllung.

Haftung, Gewährleistung und Haftungsbeschränkungen: Der Lizenzgeber haftet für die Richtigkeit und Vollständigkeit der überlassenen Daten nach BGB §§280, 311a sowie für Datenschutzverstöße nach DSGVO Art. 82 und GeschGehG §10. Haftungsbeschränkungen nach BGB §309 Nr. 7 (bei AGB) sind zu beachten; bei Verhandlungsverträgen (B2B) sind weitgehende Haftungsbeschränkungen zulässig, sofern kein Vorsatz oder grobe Fahrlässigkeit vorliegt.

Auf forms-legal.com finden Unternehmen ein professionelles Datenlizenzvertrags-Muster, das alle genannten rechtlichen Aspekte vollständig abdeckt. Als Ergänzung empfiehlt sich der Abschluss eines Datenschutz-Audit-Berichts (de-datenschutz-audit-bericht) zur Überprüfung der DSGVO-Compliance sowie eines Auftragsverarbeitungsvertrags (de-auftragsverarbeitungsvertrag-avv) bei personenbezogenen Daten.

Das Ausfüllen eines Datenlizenzvertrags in Deutschland erfordert präzise Angaben zu Vertragsparteien, Datenbeschreibung, Nutzungsrechten und datenschutzrechtlichen Anforderungen. Die folgenden Schritte führen systematisch durch das Formular.

Schritt 1 — Lizenzgeber und Lizenznehmer vollständig erfassen: Tragen Sie den vollständigen Firmennamen einschließlich Rechtsformzusatz (GmbH, AG, e.K., KG) ein. Geben Sie Handelsregisternummer (HRB oder HRA) und zuständiges Amtsgericht als Registergericht an; die Eintragung ist unter handelsregister.de abrufbar. Benennen Sie den bevollmächtigten Unterzeichner: Geschäftsführer nach GmbHG §35, Vorstand nach AktG §82 oder Prokurist nach HGB §48. Bei Behörden als Vertragspartner (Datenlizenz Deutschland): Geben Sie Behördenbezeichnung, Postanschrift und zuständige Abteilung an.

Schritt 2 — Datensatz exakt beschreiben und Vertragsgegenstand fixieren: Benennen Sie den Datensatz vollständig: Name und Version (z.B. »Verkaufstransaktionsdaten Q4 2025, Version 1.0«), Datenformat (CSV-Datei mit Komma-Trennzeichen, UTF-8-kodiert; oder JSON-Lines; oder REST-API-Endpunkt), Gesamtumfang (z.B. »ca. 8,5 Millionen Datensätze, 32 Datenfelder pro Datensatz, Gesamtgröße ca. 14 GB«) und Erhebungszeitraum (z.B. »Daten erhoben zwischen 01.01.2023 und 31.12.2025«). Fügen Sie eine vollständige Datenfeld-Liste als Anlage bei.

Schritt 3 — Prüfung auf personenbezogene Daten nach DSGVO Art. 4 Nr. 1: Beantworten Sie: Enthält der Datensatz Daten, die direkt oder indirekt Rückschlüsse auf identifizierbare natürliche Personen erlauben? Falls ja: Schließen Sie einen Auftragsverarbeitungsvertrag nach DSGVO Art. 28 ab, benennen Sie die Rechtsgrundlage der Verarbeitung nach DSGVO Art. 6, prüfen Sie, ob eine Datenschutz-Folgenabschätzung nach DSGVO Art. 35 erforderlich ist (insbesondere bei Profiling, biometrischen Daten oder Gesundheitsdaten nach DSGVO Art. 9).

Schritt 4 — Nutzungsrechte präzise und vollständig definieren: Wählen Sie aus vorgegebenen Nutzungsarten durch Ankreuzen: Lesezugriff für interne Analysen; interne Weiterverarbeitung und Speicherung; Nutzung für KI-Training nach UrhG §44b; Weitergabe an verbundene Unternehmen im Sinne des AktG §15; Weiterlizenzierung an Dritte (Sublizenz); Veröffentlichung von Analyseergebnissen. Nicht ausgewählte Nutzungsarten sind automatisch verboten; der Lizenznehmer haftet nach UrhG §97 und GeschGehG §10 für nicht autorisierte Nutzung.

Schritt 5 — Räumlichen Geltungsbereich und Drittlandklausel festlegen: Wählen Sie zwischen Deutschland, Europäischer Union (EU) und Europäischem Wirtschaftsraum (EWR) oder weltweiter Geltung. Bei geplanter Übermittlung von personenbezogenen Daten an Länder außerhalb der EU/EWR: Standarddatenschutzklauseln nach DSGVO Art. 46 Abs. 2 lit. c als Anhang beifügen oder Angemessenheitsbeschluss nach DSGVO Art. 45 für das Zielland prüfen.

Schritt 6 — Lizenzgebühr, Zahlungsmodalitäten und Reporting: Geben Sie den Betrag in Euro mit zwei Nachkommastellen an (Zahl und Worten) und wählen Sie das Zahlungsintervall (einmalig, jährlich, monatlich, nutzungsbasiert nach Anzahl Datensatzabrufe). Tragen Sie die IBAN des Lizenzgebers ein. Vereinbaren Sie, ob die Lizenzgebühr zuzüglich Umsatzsteuer (19% nach UStG §12 Abs. 1) zu entrichten ist und ob nutzungsbasierte Zusatzgebühren bei Überschreitung definierter Nutzungsgrenzen anfallen.

Schritt 7 — Laufzeit, Kündigung und Datenlöschungspflicht: Definieren Sie Vertragsbeginn (TT.MM.JJJJ) und Laufzeit (z.B. »drei Jahre«). Vereinbaren Sie Kündigungsfristen (z.B. »sechs Monate zum Vertragsende«) und die Pflicht des Lizenznehmers, nach Vertragsende alle Datenkopien unwiderruflich zu löschen und die Löschung innerhalb von 30 Tagen schriftlich zu bestätigen.

Schritt 8 — Unterzeichnung und Aufbewahrung: Beide Parteien unterzeichnen den Datenlizenzvertrag eigenhändig mit Firmenstempel, Namen und Datum (TT.MM.JJJJ) in zwei Originalen. Der Lizenzgeber und Lizenznehmer bewahren je ein Original für mindestens zehn Jahre auf (handelsrechtliche Aufbewahrungspflicht nach HGB §257 Abs. 1 Nr. 1 für Handelsbriefe und Verträge).

Der Datenlizenzvertrag in Deutschland bewegt sich im Schnittpunkt verschiedener Rechtsgebiete mit unterschiedlichen Anforderungen an Form, Inhalt und Durchführung.

Fehlendes allgemeines Dateneigentum im BGB: Daten als solche sind nach deutschem Recht kein eigentumsähnliches Rechtsgut; ein allgemeines Dateneigentum kennt das Bürgerliche Gesetzbuch (BGB) nicht, auch wenn die EU-Rechtssetzung (EU Data Act, Verordnung 2023/2854) und der Deutsche Juristentag wiederholt Reformen gefordert haben. Schutz entsteht über: Urheberrecht nach UrhG §§87a–87e (Datenbankschutz), Geschäftsgeheimnisschutz nach GeschGehG §2, Datenschutzrecht (DSGVO) für personenbezogene Daten und vertragliche Vertraulichkeitspflichten nach BGB §311 Abs. 1 sowie §241 Abs. 2.

DSGVO-Anforderungen bei personenbezogenen Daten: Die DSGVO ist anwendbar, sobald der Datensatz personenbezogene Daten im Sinne des DSGVO Art. 4 Nr. 1 enthält. Rechtsgrundlage für die Lizenzierung ist typischerweise DSGVO Art. 6 Abs. 1 lit. f (berechtigtes Interesse des Verantwortlichen) oder Art. 6 Abs. 1 lit. a (Einwilligung der betroffenen Person). Bei besonderen Kategorien nach DSGVO Art. 9 (Gesundheitsdaten, biometrische Daten, Rassendaten, politische Überzeugungen) gelten strengere Anforderungen; eine Datenlizenz ist nur unter den engen Voraussetzungen des DSGVO Art. 9 Abs. 2 zulässig.

GeschGehG-Anforderungen für Datenlizenzverträge mit Geheimhaltungsinhalt: Datensätze, die Geschäftsgeheimnisse nach GeschGehG §2 Nr. 1 enthalten, erfordern im Datenlizenzvertrag ausdrückliche Vertraulichkeitspflichten des Lizenznehmers, technische und organisatorische Sicherheitsmaßnahmen (TOM) und Regelungen für den Fall der Verletzung. Verletzungen des Geschäftsgeheimnisses berechtigen nach GeschGehG §§10–12 zu Schadensersatz in Höhe des entgangenen Gewinns oder der angemessenen Lizenzgebühr, zu Unterlassung und zu Auskunft über die Verbreitung. Gewerbsmäßige Verletzungen können nach GeschGehG §23 strafrechtlich verfolgt werden.

EU Data Act (Verordnung 2023/2854) — neue Anforderungen ab September 2025: Der EU Data Act verpflichtet Hersteller vernetzter Produkte und damit verbundener Dienste (IoT, Smart Home, Industrie 4.0), Nutzern auf Anfrage Zugang zu von ihren Produkten generierten Daten zu gewähren. Datenlizenzverträge für IoT-Daten müssen sicherstellen, dass die Pflichten des Data Act eingehalten werden; einseitige Lizenzausschlüsse zulasten von Verbrauchern oder kleinen und mittleren Unternehmen (KMU) sind nach Art. 13 EU Data Act unwirksam.

Wettbewerbsrecht und Datenzugangsansprüche nach GWB: Datenlizenzverträge mit marktbeherrschenden Unternehmen können nach Gesetz gegen Wettbewerbsbeschränkungen (GWB) §19 Abs. 2 Nr. 1 (Essential-Facility-Doktrin) oder Art. 102 AEUV problematisch sein, wenn die Verweigerung der Datenlizenz einen Missbrauch einer marktbeherrschenden Stellung darstellt. Das Bundeskartellamt (BKartA) hat in den Verfahren gegen Facebook/Meta (Az. B6-22/16) und Booking.com die Relevanz von Datenzugangsansprüchen für den Wettbewerb festgestellt. Exklusive Datenlizenzverträge sollten kartellrechtlich geprüft werden.

Formfreiheit und Empfehlung zur Schriftform: Datenlizenzverträge unterliegen keiner gesetzlichen Schriftformpflicht und können mündlich oder konkludent geschlossen werden. Aus Beweiszwecken, für die steuerliche Behandlung der Lizenzgebühren und für die datenschutzrechtliche Dokumentationspflicht nach DSGVO Art. 5 Abs. 2 (Accountability) ist die Schriftform jedoch zwingend zu empfehlen. Handelsrechtlich sind Datenlizenzverträge als Handelsbriefe nach HGB §257 Abs. 1 Nr. 2 zehn Jahre aufzubewahren.

Beim Abschluss und der Durchführung von Datenlizenzverträgen in Deutschland werden typische Fehler begangen, die zu Rechtsstreitigkeiten, Datenschutzbußgeldern oder dem Verlust von Wettbewerbsvorteilen führen können. Die folgenden häufigen Fehler sollten vermieden werden.

Unvollständige Datenbeschreibung ohne Datenfeld-Liste und Formatspezifikation: Wird der lizenzierte Datensatz nur vage beschrieben (z.B. nur »Kundendaten«), entsteht Unklarheit darüber, welche Datenfelder, welche Zeiträume und welche Datenformate die Lizenz umfasst. Vor dem zuständigen Landgericht lässt sich der Vertragsgegenstand ohne präzise Beschreibung nicht eindeutig bestimmen. Richtig: Datensatz mit vollständiger Datenfeld-Liste als Anlage, Erhebungszeitraum, Datenformat und Gesamtumfang beschreiben; bei API-Lizenzen die API-Dokumentation (OpenAPI/Swagger-Spezifikation) als Vertragsanlage beifügen.

Fehlende DSGVO-Prüfung bei personenbezogenen Daten mit Bußgeldrisiko: Viele Unternehmen lizenzieren Datensätze, die personenbezogene Daten nach DSGVO Art. 4 Nr. 1 enthalten, ohne eine Rechtsgrundlage nach DSGVO Art. 6 zu benennen oder einen Auftragsverarbeitungsvertrag nach DSGVO Art. 28 abzuschließen. Bußgelder der Landesbeauftragten für Datenschutz (LfDI) nach DSGVO Art. 83 Abs. 4 können bis zu zehn Millionen Euro betragen; nach DSGVO Art. 83 Abs. 5 für schwerwiegende Verstöße bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Richtig: DSGVO-Checkliste vor Vertragsabschluss vollständig abarbeiten; AVV zwingend abschließen.

Fehlende Regelung zur Drittlandübermittlung außerhalb der EU und EWR: Wird nicht geregelt, ob und unter welchen Bedingungen der Lizenznehmer Daten außerhalb der EU/EWR übermitteln darf (z.B. in die USA, nach Indien oder China), riskiert er einen Verstoß gegen DSGVO Kapitel V (Drittlandübermittlungen). Richtig: Drittlandübermittlung ausdrücklich erlauben oder verbieten; bei Erlaubnis Standarddatenschutzklauseln nach DSGVO Art. 46 Abs. 2 lit. c oder Angemessenheitsbeschluss nach DSGVO Art. 45 als Anhang beifügen.

Keine Datenlöschungspflicht nach Vertragsende vereinbart: Ohne ausdrückliche Löschungspflicht behält der Lizenznehmer alle Datenkopien nach Vertragsende und kann sie weiterhin nutzen. Dies verletzt die DSGVO Art. 5 Abs. 1 lit. e (Speicherbegrenzung) bei personenbezogenen Daten und das GeschGehG bei Geschäftsgeheimnissen. Richtig: Löschungspflicht innerhalb von 30 Tagen nach Vertragsende, schriftliche Bestätigung der Löschung durch den Lizenznehmer und Nachweis durch Löschprotokoll vereinbaren.

Keine Zweckbindungsklausel für den Lizenznehmer vereinbart: Ohne klare Zweckbindung kann der Lizenznehmer Daten für nicht autorisierte Zwecke wie Profilbildung, Werbung oder Weiterverkauf nutzen, ohne dass der Lizenzgeber rechtliche Schritte einleiten kann. Richtig: Zweckbindungsklausel aufnehmen, die die Nutzung auf konkrete, vorab definierte Zwecke beschränkt (z.B. nur für interne Business-Intelligence-Analysen); Reporting-Pflichten des Lizenznehmers zur Überwachung der Zweckeinhaltung vereinbaren.

Missachtung des EU Data Act bei IoT-Datenlizenzverträgen: Unternehmen, die IoT-Daten lizenzieren oder lizenzieren lassen, versäumen es oft, die Anforderungen des EU Data Act (Verordnung 2023/2854) zu berücksichtigen, der seit September 2025 anwendbar ist. Der Data Act enthält zwingendes Recht, das durch Vertrag nicht abweichend geregelt werden kann; insbesondere sind Klauseln unwirksam, die Nutzern der Geräte den Datenzugang verweigern. Richtig: IoT-Datenlizenzverträge auf Konformität mit dem EU Data Act prüfen lassen; unzulässige Ausschlussklauseln entfernen.

Keine Regelung für Datenpannen und Sicherheitsvorfälle: Ohne Regelung, wie Datenschutzverletzungen nach DSGVO Art. 33 innerhalb von 72 Stunden zu melden und zu eskalieren sind, fehlt die Grundlage für eine geordnete Krisenreaktion. Richtig: Meldepflichten, Reaktionsfristen und gegenseitige Informationspflichten zwischen Lizenzgeber und Lizenznehmer ausdrücklich vereinbaren und in den Vertrag aufnehmen.