Data Act ab 12. September 2025: Was das EU-Datengesetz für Unternehmen bedeutet

Veröffentlicht am von

Seit dem 12. September 2025 gilt in der Europäischen Union der Data Act (auch „EU-Datengesetz“ genannt) in vollem Umfang. Diese neue EU-Datenverordnung (Regulation (EU) 2023/2854) markiert einen bedeutenden Schritt in der europäischen Digitalstrategie und soll den Zugang zu Daten erleichtern, faire Wettbewerbsbedingungen schaffen und die europäische Datenökonomie stärken. Konkret stellt sich für Unternehmen nun die Frage: Was ist der Data Act und welche Verpflichtungen ergeben sich daraus? In diesem Blogartikel geben wir einen umfassenden Überblick und zeigen auf, was Firmen jetzt beachten müssen.

Was ist der Data Act?

Der Data Act ist eine EU-Verordnung, die harmonisierte Regeln für den Zugriff auf und die Nutzung von Daten schafft. Im Mittelpunkt steht die Erkenntnis, dass im Zeitalter vernetzter Geräte enorme Mengen an Nutzungs- und Betriebsdaten entstehen – von Smartphones über vernetzte Fahrzeuge bis hin zu Industriemaschinen. Bisher lagen diese Daten oft ausschließlich in der Hand der Hersteller oder Dienstanbieter. Der Data Act soll diese Datenmonopole aufbrechen und klärt, „wer die durch die Nutzung vernetzter Produkte und Dienste generierten Daten nutzen darf“. Kurz gesagt: Nutzer von vernetzten Produkten sollen Zugang zu den dabei anfallenden Daten erhalten und diese auch Dritten zur Verfügung stellen können.

Damit ergänzt der Data Act bestehende digitale Rechtsakte der EU – z.B. die DSGVO, den Data Governance Act sowie Digital Markets Act (DMA) und Digital Services Act (DSA) – um einen weiteren Baustein. Wichtig: Der Data Act bezieht sich auf sämtliche Daten aus vernetzten Geräten oder Diensten, also sowohl personenbezogene als auch nicht-personenbezogene Daten. Dabei bleibt jedoch die DSGVO für personenbezogene Daten uneingeschränkt anwendbar. Der Europäische Gerichtshof (EuGH) hat in diesem Zusammenhang betont: „Das Recht auf Schutz personenbezogener Daten ist kein uneingeschränktes Recht“ – es muss also mit anderen Interessen in Einklang gebracht werden. Der Data Act versucht genau dieses Gleichgewicht herzustellen: Er stärkt die Rechte der Nutzer und die Datenverfügbarkeit für neue Dienste, ohne den Schutz sensibler Informationen (wie personenbezogene Daten oder Geschäftsgeheimnisse) zu vernachlässigen.

Wen betrifft der Data Act?

Die Regelungen des Data Act richten sich an eine breite Palette von Akteuren der digitalen Wirtschaft – unabhängig davon, ob diese in der EU ansässig sind oder nicht. Entscheidend ist das Marktort-Prinzip: Wer vernetzte Produkte oder dazugehörige Dienste auf dem EU-Markt anbietet, muss die Data-Act-Vorgaben erfüllen. Betroffen sind insbesondere:

  • Hersteller von vernetzten Produkten – z.B. Smart-Home-Geräte, vernetzte Fahrzeuge, Maschinen mit Sensorik, medizinische Connected-Devices. Sie müssen künftig sicherstellen, dass ihre Produkte datenzugänglich gestaltet sind.
  • Anbieter verbundener (digitaler) Dienste – etwa Cloud-Plattformen, Apps oder Fernwartungsdienste, die mit den Geräten zusammenhängen.
  • Dateninhaber – also Unternehmen, die im Besitz von durch solche Produkte generierten Daten sind und über deren Weitergabe entscheiden können (das kann neben Herstellern z.B. auch der Betreiber einer Anlagenflotte sein).
  • Datennutzer bzw. Datenempfänger – Unternehmen oder Personen, die Zugang zu solchen Daten erhalten und sie verwenden (z.B. ein unabhängiger Kfz-Service, der Fahrzeugsensordaten ausliest).
  • Anbieter von Datenverarbeitungsdiensten – insbesondere Cloud- und Edge-Computing-Anbieter (Infrastructure/Platform/Software as a Service), die Daten speichern und verarbeiten.

Auch öffentliche Stellen gehören im weiteren Sinne zum Kreis der Datenempfänger: Behörden können unter bestimmten Bedingungen Daten von Unternehmen anfordern (Stichwort Business-to-Government-Datenzugang), etwa im Falle von öffentlichen Notlagen. Diese Behördendatenzugriffe sind im Data Act geregelt, werden jedoch großteils erst wirksam, wenn entsprechende nationale Gesetze erlassen oder angepasst werden.

Welche Pflichten bringt der Data Act für Unternehmen?

Für Unternehmen ergeben sich aus dem Data Act ab sofort neue Pflichten in mehreren Bereichen. Die wichtigsten Verpflichtungen sind:

1. Transparenz gegenüber Nutzern

Hersteller und Anbieter vernetzter Produkte müssen die Nutzer klar und verständlich informieren, welche Daten bei der Nutzung entstehen, und wie und zu welchen Zwecken der Hersteller diese Daten selbst nutzt. Diese Informationen sollten idealerweise bereits vor dem Kauf bzw. Vertragsschluss bereitgestellt werden (z.B. in der Produktdokumentation oder den AGB). Nutzer sollen genau wissen, welche Daten ein Gerät oder Dienst erzeugt, wer darauf zugreifen kann, und wie lange die Daten gespeichert werden.

Beispiel: Ein Hersteller von Smart-TVs muss den Käufern mitteilen, welche Nutzungsdaten (etwa Sehgewohnheiten, Gerätestatus etc.) das TV-Gerät sammelt, in welchem Format diese vorliegen und wofür der Anbieter sie verwenden darf.

2. Datenzugang für Nutzer („Access by Design“)

Kernstück des Data Act ist ein gesetzlich verankertes Zugangsrecht: Nutzer – ob Verbraucher oder Unternehmen – haben das Recht, die von ihrem Gerät oder Dienst erzeugten Daten einzusehen und auszulesen. Unternehmen müssen vernetzte Produkte daher so konzipieren, dass die erzeugten Daten einfach und möglichst direkt vom Nutzer abrufbar sind (Grundsatz „access by design“). Wo eine direkte technischen Schnittstelle am Gerät nicht möglich ist, muss der Dateninhaber die verfügbaren Nutzungsdaten auf Verlangen kontinuierlich und in Echtzeit bereitstellen – zum Beispiel über eine Cloud-API oder ein Web-Portal.

Beispiel: Der Besitzer eines modernen Pkw kann künftig die Telemetrie- und Diagnosedaten seines Fahrzeugs selbst auslesen (etwa über eine App oder einen Fahrzeugdaten-Port) und muss nicht mehr ausschließlich auf den Hersteller-Service angewiesen sein.

Diese Neuregelung knüpft an etablierte Datenschutz-Grundsätze an. So hat der EuGH entschieden, dass das datenschutzrechtliche Auskunftsrecht den Betroffenen ermöglichen muss, „zu überprüfen, ob sie betreffende Daten richtig sind und ob sie in zulässiger Weise verarbeitet werden“. Entsprechend soll nun auch im weiteren Datenkontext sichergestellt werden, dass die Datennutzer (hier: die Gerätebesitzer) Kontrolle und Kenntnis über „ihre“ Gerätedaten haben.

3. Weitergabe von Daten an Dritte

Nutzer dürfen die erhobenen Gerätedaten auf Wunsch auch an Dritte weitergeben lassen. Das bedeutet: Der Dateninhaber (etwa der Hersteller) ist verpflichtet, auf Verlangen des Nutzers die entsprechenden Daten unverzüglich an einen vom Nutzer benannten Drittanbieter zu übermitteln. Dies soll z.B. Wettbewerb im Aftermarket fördern – unabhängige Dienstleister können so mit den gleichen Gerätedaten arbeiten wie der Hersteller.

Allerdings sind hierbei Schranken zu beachten: Der Drittempfänger darf die erhaltenen Daten nur zu den vereinbarten Zwecken nutzen, die im Einverständnis mit dem Nutzer festgelegt wurden (z.B. zur Fehleranalyse, Wartung oder anderen konkreten Services). Verboten ist insbesondere, mit diesen Daten konkurrierende Produkte zum Nachteil des ursprünglichen Herstellers zu entwickeln. Die Datenweitergabe soll also Innovation ermöglichen, aber Missbrauch und unlauteren Wettbewerb verhindern.

Beispiel: Ein Landwirt kann die Sensordaten seines smarten Mähdreschers an einen unabhängigen Agrar-Service weiterleiten lassen, um Analysen zur Betriebsoptimierung zu erhalten. Der Hersteller darf diese Weitergabe nicht blockieren. Der Drittanbieter wiederum darf die Maschinendaten nur für die mit dem Landwirt vereinbarten Dienstleistungen (z.B. Wartungsoptimierung) verwenden – nicht etwa, um selbst einen konkurrenzierenden Mähdrescher zu entwickeln.

4. Schutz von Geschäftsgeheimnissen

Unternehmen, die Daten teilen müssen, dürfen dabei weiterhin ihre legitimen Geschäftsgeheimnisse schützen. Der Data Act erlaubt Dateninhabern, angemessene technische und organisatorische Maßnahmen zu ergreifen, um sensible Informationen zu sichern. So können z.B. Daten vor der Weitergabe anonymisiert oder aggregiert werden, um Rückschlüsse auf vertrauliche Details zu verhindern. Wichtig ist aber: Das Berufen auf Geheimnisschutz darf nicht als Vorwand dienen, jegliche Datenherausgabe zu verweigern. Nur wenn die Bereitstellung der Daten unmöglich ist, ohne ein Geschäftsgeheimnis zu offenbaren, oder wenn gravierende wirtschaftliche Nachteile drohen, darf die Herausgabe im Einzelfall abgelehnt werden.

Beispiel: Ein Hersteller von smarten Haushaltsgeräten kann gewisse Nutzungsdaten vor der Übermittlung an Dritte filtern oder anonymisieren, um etwa genaue Algorithmen oder persönlich identifizierbare Infos zu verbergen. Dennoch müssen die für den Nutzer relevanten Daten bereitgestellt werden, sofern dies ohne Preisgabe des Kern-Know-hows machbar ist.

5. Faire Vertragsbedingungen im B2B-Bereich

Der Data Act schiebt unfairen Vertragsklauseln rund um Datennutzung einen Riegel vor. Ungerechtfertigte „Take-it-or-leave-it“-Konditionen, die ein Vertragspartner einseitig vorgibt und die den Zugang zu Daten übermäßig einschränken, sind künftig unzulässig. Solche einseitig aufgezwungenen Klauseln – etwa Haftungsausschlüsse bei Datennutzung zu Lasten des schwächeren Partners oder Verbote, Daten selbst auszuwerten – werden als unwirksam betrachtet. Dies soll vor allem kleinere Unternehmen (KMU) in Verhandlungen mit datenmächtigen Großunternehmen schützen.

Im Klartext: Unternehmen müssen ihre Datenzugangs- und Datennutzungsverträge fair, transparent, angemessen und nicht-diskriminierend gestalten. Der Data Act enthält hierzu Beispiele für stets unfaire Klauseln (die automatisch nichtig sind) und solche, die vermutlich unfair sind. Im Streitfall trägt derjenige, der eine strittige Klausel gestellt hat, die Beweislast zu zeigen, dass sie doch fair ist. Für Vertragspraktiken bedeutet das: Bestehende Datenverträge sollten überprüft und ggf. angepasst werden, um mit diesen Fairness-Regeln im Einklang zu stehen.

6. Wechsel des Cloud-Anbieters („Cloud Switching“)

Auch Cloud- und andere Datenverarbeitungsdienste unterliegen neuen Pflichten. Anbieter von Cloud-Services müssen ihre Kunden dabei unterstützen, problemlos den Dienst zu wechseln. Technische, vertragliche oder finanzielle Hürden, die einen Cloud-Wechsel erschweren oder Kunden binden, sind unzulässig. Konkret müssen Clouds z.B. Daten in strukturierten, gängigen Formaten zur Mitnahme bereitstellen, Export-Tools anbieten und dürfen beim Wechsel keine ungerechtfertigten Gebühren verlangen. Übergangsfristen sollen sicherstellen, dass ältere Verträge nach einiger Zeit ebenfalls migriert werden können.

Beispiel: Ein Unternehmen, das Patientendaten in einer Cloud speichert, soll diese künftig einfacher zu einem anderen Cloud-Anbieter umziehen können – ohne monatelange Kündigungsfristen oder hohe „Exit-Gebühren“. Der Cloud-Anbieter muss ggf. beim Export der Daten helfen und sicherstellen, dass interoperable Formate verwendet werden.

7. Durchsetzung und Sanktionen

Die EU-Mitgliedstaaten müssen für die Einhaltung des Data Act jeweils zuständige Behörden benennen (in Deutschland ist z.B. die Bundesnetzagentur im Gespräch) und effektive Sanktionsmechanismen schaffen. Unternehmen, die gegen die neuen Pflichten verstoßen, drohen erhebliche Bußgelder. Laut EU-Vorgaben können diese je nach Schwere des Verstoßes bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Damit orientiert sich der Strafrahmen an der DSGVO und unterstreicht die Bedeutung der Regelung. Nationale Gesetze werden die genauen Bußgeldtatbestände ausformulieren – in Deutschland liegt ein Entwurf vor, der z.B. bis zu 5 Mio. € vorsieht. Es ist daher für Unternehmen entscheidend, frühzeitig für Data-Act-Compliance zu sorgen, um Sanktionen und Reputationsschäden zu vermeiden.

Gut zu wissen: Kleinst- und Kleinunternehmen (weniger als 50 Mitarbeiter und 10 Mio. € Jahresumsatz) sind von einigen Pflichten – insbesondere der Pflicht zur Datenteilung – befreit oder genießen längere Übergangsfristen. So gilt „access by design“ erst ein Jahr später für mittlere Unternehmen. Diese Erleichterungen sollen kleinere Marktteilnehmer vor übermäßiger Belastung schützen. Dennoch können auch KMU vom Data Act profitieren, wenn größere Partner nun Daten teilen müssen, die zuvor unzugänglich waren.

Fazit

Der EU Data Act bringt weitreichende Änderungen für alle Unternehmen, die vernetzte Produkte herstellen, digitale Dienste anbieten oder mit solchen Daten arbeiten. Ab dem 12. September 2025 gelten neue Regeln für Transparenz, Datenzugang und Datenweitergabe, flankiert von Vorgaben für faire Verträge und Cloud-Portabilität. Diese sollen Innovation fördern, Wettbewerb stärken und Nutzern mehr Kontrolle über ihre Daten geben. Gleichzeitig bleibt der Schutz von personenbezogenen Daten und Geschäftsgeheimnissen gewährleistet – allerdings mit klar definierten Grenzen, damit der Datenfluss nicht unnötig eingeschränkt wird. Unternehmen tun gut daran, frühzeitig ihre Prozesse, Verträge und IT-Schnittstellen zu überprüfen und anzupassen, um den Data-Act-Pflichten gerecht zu werden. Bei Fragen oder Unsicherheiten zu den neuen Vorgaben stehen wir Ihnen jederzeit gern beratend zur Seite, um eine rechtskonforme und effiziente Umsetzung in Ihrem Unternehmen zu gewährleisten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert