Data Act - das müssen Unternehmen wissen

Welche Ziele verfolgt der Data Act (DA)?

Viele Unternehmen erzeugen Daten, die für andere Marktteilnehmer von Interesse sein könnten. Mit dem Data Act (DA) regelt die Europäische Union den fairen Zugang zu allen Beteiligten. Dabei verfolgt er fünf übergreifende Ziele:

• Zugang zu IoT-Daten: Der DA will den Zugang zu IoT-Daten regeln, sodass Hersteller von IoT-Produkten die Daten an die Nutzer geben müssen. Die Nutzer der Produkte können wiederum die erhaltenen Daten an Dritte verkaufen, die diese nutzen können, um neue Dienstleistungen zu entwicklen.
• Vertragliche Fairness: Unternehmen dürfen keine missbräuchlichen Klauseln einseitig KMU auferlegen.
• Unternehmensdaten für den öffentlichen Sektor: Unternehmen sind in bestimmten Fällen verpflichtet, öffentlichen Stellen Daten zur Verfügung zu stellen.
• Cloudwechsel erleichtern: Cloudanbieter müssen den Kunden einfache Wechselbedingungen ermöglichen.
• Interoperabilität: Die Kommission kann technische Spezifikationen festlegen, wenn dies erforderlich ist, um Interoperabilität sicherzustellen.

Anders als der Data Governance Act zielt der Data Act auf verbindliche Vorgaben für den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im Verhältnis zwischen Unternehmen (B2B), Unternehmen und Nutzern (B2C) sowie zwischen Unternehmen und Behörden (B2G).

Der Data Act will sicherstellen, dass die enormen Datenmengen, die durch vernetzte Produkte und Dienste entstehen, nicht allein bei den Herstellern und Anbietern verbleiben. Vielmehr sollen sie für Nutzer, Drittanbieter und öffentliche Stellen unter fairen Bedingungen zugänglich sein. Dadurch sollen Innovationen gefördert, Wettbewerbsverzerrungen vermieden und die Datensouveränität gestärkt werden.Darüber hinaus regelt die Verordnung die Rahmenbedingungen für die Datenweitergabe an den Staat sowie die Interoperabilität von Datenverarbeitungsdiensten.

Der DA ist am 11. Januar 2024 als Verordnung in Kraft getreten und kommt am 12. September 2025 unmittelbar in den EU-Mitgliedsstaaten zur Anwendung.

Pflichten für Dateninhaber

Schwerpunkt des DA ist das rechtliche Verhältnis zwischen Dateninhaber/-innen und Nutzer/-innen von IoT Produkten. Dateninhaber/-innen werden dabei stärker in die Verantwortung genommen, Nutzer/-innen ähnliche Datenzugangsrechte zu gewähren, die vorher nur ihnen vorbehalten waren.

Um dieses Datenmonopol aufzubrechen, müssen

• gewerbliche und private Nutzer/-innen (wer)
• vor Vertragsabschluss eines IoT Produktes (wann)
• über Art, Umfang, Häufigkeit und Zugriffsmöglichkeit auf die Daten informiert werden (was).
• Ebenso besteht die Informationspflicht, auf das Recht der Datenweitergabe an Dritte (Datenempfänger/-innen) hinzuweisen, wobei gewisse Beschränkungen gelten. So dürfen Dritte die Daten nicht zur Entwicklung konkurrierender Produkte nutzen. Sofern Dateninhaber/-innen die Daten für eigene Zwecke verarbeiten wollen, muss ein Lizenzvertrag mit dem Nutzer oder der Nutzerin abgeschlossen werden.

Gatekeeper im Sinne des Digital Service Acts sind sowohl direkt als auch indirekt von den Datenzugangsrechten ausgeschlossen.

Designpflichten für Datenzugänglichkeiten

Vom 12.September 2026 an gilt das Prinzip des Access by Design. In einem IHK-Webinar im Juli 2025 stellte die EU-Kommission folgende Auslegung dar:

• Es gilt keine unbedingte Pflicht
• Hersteller haben ein Ermessen über das Design des vernetzten Produkts
• Herstellter haben die Wahl, den Datenzugang direkt oder indirekt zu gewähren.

Laut Kommission gibt es keine Pflicht zum Redesign von Produkten, aber Transparenzpflichten gelten: Nutzer müssen wissen, welche Daten vorhanden sind und wie der Zugang funktioniert.

Personenbezogene Daten

Der Austausch personenbezogener Daten wird nicht durch den Data Act gesteuert, sondern fällt ausschließlich unter die Datenschutz-Grundverordnung (DSGVO). Der Data Act darf die Rechte und Pflichten aus der DSGVO nicht einschränken oder umgehen.

• Wenn Daten sowohl personen- als auch nicht-personenbezogene Informationen enthalten, müssen Unternehmen zuerst prüfen, ob die Weitergabe nach DSGVO überhaupt erlaubt ist.
• Der Datenschutz bleibt vorrangig – ggf. braucht es eine Rechtsgrundlage oder Einwilligung nach DSGVO, bevor personenbezogene Daten geteilt werden dürfen, inklusive aller einschlägigen Pflichten zum Schutz natürlicher Personen von Informations -und Dokumentationspflichten zu Datenminimierung.

Sichergestellt werden sollte ebenfalls, ob personenbezogene Daten über Dritte Personen generiert wurden. In diesem Fall sind auch deren Rechte unter der DSGVO zu wahren.

Geschäftsgeheimnisse

Der DA sieht technische und organisatorische Maßnahmen zum Schutze von Geschäftsgeheimnissen vor. Eine Verweigerung der Datenherausgabe durch Dateninhaber/-innen ist nur in Ausnahmefällen zulässig und zieht eine Meldepflicht bei der zuständigen Behörde mit sich. Zudem müssen Nutzer/-innen über die Entscheidung des Dateninhaber/-in informiert werden.

B2G: Datenherausgabe an öffentliche Stellen

Unter besonderen Umständen dürfen staatliche Behörden und EU-Institutionen die Herausgabe von Daten im Fall von außergewöhnlicher Notwendigkeit quasi erzwingen. Ein Nachweis darüber ist seitens der genannten Akteure zu erbringen und gemäß der Zweckbindung zeitlich begrenzt. Als Beispiel gelten öffentliche Notstände oder zur Erhebung amtlicher Statistiken, für die auf dem Markt die notwendigen Daten fehlen.

Pflichten zur Datenportabilität bei Cloud-Diensten

Zur Vermeidung von Lock-In Effekten, insbesondere für Cloud oder Edge-Dienste, müssen Datenverarbeitungsdienste Nutzer/-innen einfache Anbieterwechseloptionen ermöglichen. Diese müssen ihren Kunden ermöglichen, ihre Daten einfach und ohne unnötige Verzögerung zu anderen Anbietern zu übertragen. Vertragsklauseln, die dies verhindern oder erschweren, sind künftig unzulässig. Sofern nötig, kann die Kommission technische Spezifikation zur Interoperabilität festlegen.