Data Act - das müssen Unternehmen wissen
Der Data Act soll den Austausch und die Nutzun von Daten innerhalb der EU erleichten, indem er den Zugang zu Daten, generiert durch vernetzte Produkte oder deren Dienste, erleichtert.
Welche Ziele verfolgt der Data Act (DA)?
Viele Unternehmen erzeugen Daten, die für andere Marktteilnehmer von Interesse sein könnten. Mit dem Data Act (DA) regelt die Europäische Union den fairen Zugang zu allen Beteiligten. Dabei verfolgt er fünf übergreifende Ziele:
- Zugang zu IoT-Daten: Der DA will den Zugang zu IoT-Daten regeln, sodass Hersteller von IoT-Produkten die Daten an die Nutzer geben müssen. Die Nutzer der Produkte können wiederum die erhaltenen Daten an Dritte verkaufen, die diese nutzen können, um neue Dienstleistungen zu entwicklen.
- Vertragliche Fairness: Unternehmen dürfen keine missbräuchlichen Klauseln einseitig KMU auferlegen.
- Unternehmensdaten für den öffentlichen Sektor: Unternehmen sind in bestimmten Fällen verpflichtet, öffentlichen Stellen Daten zur Verfügung zu stellen.
- Cloudwechsel erleichtern: Cloudanbieter müssen den Kunden einfache Wechselbedingungen ermöglichen.
- Interoperabilität: Die Kommission kann technische Spezifikationen festlegen, wenn dies erforderlich ist, um Interoperabilität sicherzustellen.
Anders als der Data Governance Act zielt der Data Act auf verbindliche Vorgaben für den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im Verhältnis zwischen Unternehmen (B2B), Unternehmen und Nutzern (B2C) sowie zwischen Unternehmen und Behörden (B2G).
Der Data Act will sicherstellen, dass die enormen Datenmengen, die durch vernetzte Produkte und Dienste entstehen, nicht allein bei den Herstellern und Anbietern verbleiben. Vielmehr sollen sie für Nutzer, Drittanbieter und öffentliche Stellen unter fairen Bedingungen zugänglich sein. Dadurch sollen Innovationen gefördert, Wettbewerbsverzerrungen vermieden und die Datensouveränität gestärkt werden.Darüber hinaus regelt die Verordnung die Rahmenbedingungen für die Datenweitergabe an den Staat sowie die Interoperabilität von Datenverarbeitungsdiensten.
Der DA ist am 11. Januar 2024 als Verordnung in Kraft getreten und kommt am 12. September 2025 unmittelbar in den EU-Mitgliedsstaaten zur Anwendung.
Ein schematischer Überblick der politischen Maßnahmen Data Acts
| B2B Datenzugang | B2C Datenzugang | B2G Datenzugang | Dateninfrastruktur |
|---|---|---|---|
| Zugriffsrechte für Nutzer auf generierte IoT-Daten & Weitergabe an Dritte | Zugriffsrechte für Nutzer auf generierte IoT-Daten & Weitergabe an Dritte | Regeln für die Datenanfrage durch nationale & EU-Behörden in Ausnahmesituationen | Datenportabilibität bei Cloud Diensten |
| Tools für Dateninhaber zur Kontrolle der Datennutzung (Smart Contracts, APIs, etc.) & rechtlicher Schutzmaßnahmen gegen Missbrauch | Tools für Dateninhaber zur Kontrolle der Datennutzung (Smart Contracts, APIs, etc.) & rechtlicher Schutzmaßnahmen gegen Missbrauch | Entschädigungsregeln & Schutzmaßnahmen für die Wirtschaft | Interoperabilität |
| Transparente Verträge | Transparente Verträge | Strukturen zur Förderung des B2G-Datenaustausches | Maßnahmen zum Schutz gegen 3rd Country Access |
| Modellverträge & Fairnessprüfungen | Once-Only Prinzip | ||
| Allgemeine Zugangsregeln |
Relevanz für Unternehmen
Der Data Act verpflichtet Hersteller und Dienstleister vernetzter Produkte, Datenzugänge zu ermöglichen, und zwar für Nutzer, Drittanbieter und öffentliche Stellen die:
- vernetzte Produkte oder digitale Dienste anbieten (z. B. Maschinen, Fahrzeuge, Smart Home-Anwendungen),
- Daten aus solchen Produkten erheben und nutzen,
- Drittanbietern den Zugang zu diesen Daten ermöglichen sollen oder wollen,
- Cloud-Dienste anbieten oder nutzen,
- oder im Bereich Datenverarbeitung und -speicherung tätig sind.
Betroffen sind also alle Unternehmen, die vernetzte Produkte, digitale Dienste oder Cloudlösungen anbieten oder nutzen – insbesondere im industriellen Umfeld.
Pflichten für Dateninhaber
Schwerpunkt des DA ist das rechtliche Verhältnis zwischen Dateninhaber/-innen und Nutzer/-innen von IoT Produkten. Dateninhaber/-innen werden dabei stärker in die Verantwortung genommen, Nutzer/-innen ähnliche Datenzugangsrechte zu gewähren, die vorher nur ihnen vorbehalten waren.
Um dieses Datenmonopol aufzubrechen, müssen
- gewerbliche und private Nutzer/-innen (wer)
- vor Vertragsabschluss eines IoT Produktes (wann)
- über Art, Umfang, Häufigkeit und Zugriffsmöglichkeit auf die Daten informiert werden (was).
- Ebenso besteht die Informationspflicht, auf das Recht der Datenweitergabe an Dritte (Datenempfänger/-innen) hinzuweisen, wobei gewisse Beschränkungen gelten. So dürfen Dritte die Daten nicht zur Entwicklung konkurrierender Produkte nutzen. Sofern Dateninhaber/-innen die Daten für eigene Zwecke verarbeiten wollen, muss ein Lizenzvertrag mit dem Nutzer oder der Nutzerin abgeschlossen werden.
Gatekeeper im Sinne des Digital Service Acts sind sowohl direkt als auch indirekt von den Datenzugangsrechten ausgeschlossen.
Designpflichten für Datenzugänglichkeiten
Vom 12.September 2026 an gilt das Prinzip des Access by Design. Danach müssen Produkte künftig so konzipiert werden, dass Nutzer/-innen einen direkten und einfachen Zugang zu den von ihnen erzeugten Daten erhalten.
Personenbezogene Daten
Der Austausch personenbezogener Daten wird nicht durch den Data Act gesteuert, sondern fällt ausschließlich unter die Datenschutz-Grundverordnung (DSGVO). Der Data Act darf die Rechte und Pflichten aus der DSGVO nicht einschränken oder umgehen.
- Wenn Daten sowohl personen- als auch nicht-personenbezogene Informationen enthalten, müssen Unternehmen zuerst prüfen, ob die Weitergabe nach DSGVO überhaupt erlaubt ist.
- Der Datenschutz bleibt vorrangig – ggf. braucht es eine Rechtsgrundlage oder Einwilligung nach DSGVO, bevor personenbezogene Daten geteilt werden dürfen, inklusive aller einschlägigen Pflichten zum Schutz natürlicher Personen von Informations -und Dokumentationspflichten zu Datenminimierung.
Sichergestellt werden sollte ebenfalls, ob personenbezogene Daten über Dritte Personen generiert wurden. In diesem Fall sind auch deren Rechte unter der DSGVO zu wahren.
Geschäftsgeheimnisse
Der DA sieht technische und organisatorische Maßnahmen zum Schutze von Geschäftsgeheimnissen vor. Eine Verweigerung der Datenherausgabe durch Dateninhaber/-innen ist nur in Ausnahmefällen zulässig und zieht eine Meldepflicht bei der zuständigen Behörde mit sich. Zudem müssen Nutzer/-innen über die Entscheidung des Dateninhaber/-in informiert werden.
B2G: Datenherausgabe an öffentliche Stellen
Unter besonderen Umständen dürfen staatliche Behörden und EU-Institutionen die Herausgabe von Daten im Fall von außergewöhnlicher Notwendigkeit quasi erzwingen. Ein Nachweis darüber ist seitens der genannten Akteure zu erbringen und gemäß der Zweckbindung zeitlich begrenzt. Als Beispiel gelten öffentliche Notstände oder zur Erhebung amtlicher Statistiken, für die auf dem Markt die notwendigen Daten fehlen.
Pflichten zur Datenportabilität bei Cloud-Diensten
Zur Vermeidung von Lock-In Effekten, insbesondere für Cloud oder Edge-Dienste, müssen Datenverarbeitungsdienste Nutzer/-innen einfache Anbieterwechseloptionen ermöglichen. Diese müssen ihren Kunden ermöglichen, ihre Daten einfach und ohne unnötige Verzögerung zu anderen Anbietern zu übertragen. Vertragsklauseln, die dies verhindern oder erschweren, sind künftig unzulässig. Sofern nötig, kann die Kommission technische Spezifikation zur Interoperabilität festlegen.
Checkliste für Dateninhaber/-innen
Vor einem Kauf-, Leasing- oder Mietabschluss eines IoT-Produktes müssen Nutzer/-innen z.B. über Art, Dauer, Umfang der generierten Daten und das Recht auf Datenweitergabe an Dritte in Kenntnis gesetzt werden. Auch muss ihnen erklärt werden, wie sie die Daten abrufen können.
Nutzer/-innen dürfen von Dateninhaber/-innen nicht an der Weitergabe gehindert werden. Dateninhaber/-innen können in dem Fall eine angemessene und faire Vergütung von Datenempfänger/-innen verlangen.
Sofern technisch möglich, sollen Nutzer/-innen einen kostenlosen und sicheren Zugriff auf die generierten Daten, ggf. in Echtzeit haben.
IoT Produkte, die ab dem 12. September 2026 auf den europäischen Binnenmarkt kommen, müssen so entwickelt werden, dass Nutzer/-innen ihre Daten direkt und einfach abrufen können
Ein Abschluss von Datenlizenzverträgen ist zwingend notwendig, damit Dateninhaber/-innen die Daten von Nutzer/-innen für eigene Zwecke verwenden dürfen .
Sicherstellung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.