PC Bildschirm mit Charts, mit Hand

© KeyVisual_iStock-1462651834_champpixs

Ratgeber

Data Act - das müssen Unternehmen wissen

Der Data Act soll den Austausch und die Nutzung von Daten innerhalb der EU erleichtern, indem er den Zugang zu Daten, generiert durch vernetzte Produkte oder deren Dienste, vereinfacht.

Welche Ziele verfolgt der Data Act (DA)?

Viele Unternehmen erzeugen Daten, die für andere Marktteilnehmer von Interesse sein könnten. Mit dem Data Act (DA) regelt die Europäische Union den fairen Zugang zu allen Beteiligten. Dabei verfolgt er fünf übergreifende Ziele:

  • Zugang zu IoT-Daten: Der DA will den Zugang zu IoT-Daten regeln, sodass Hersteller von IoT-Produkten die Daten an die Nutzer geben müssen. Die Nutzer der Produkte können wiederum die erhaltenen Daten an Dritte verkaufen, die diese nutzen können, um neue Dienstleistungen zu entwicklen.
  • Vertragliche Fairness: Unternehmen dürfen keine missbräuchlichen Klauseln einseitig KMU auferlegen.
  • Unternehmensdaten für den öffentlichen Sektor: Unternehmen sind in bestimmten Fällen verpflichtet, öffentlichen Stellen Daten zur Verfügung zu stellen.
  • Cloudwechsel erleichtern: Cloudanbieter müssen den Kunden einfache Wechselbedingungen ermöglichen.
  • Interoperabilität: Die Kommission kann technische Spezifikationen festlegen, wenn dies erforderlich ist, um Interoperabilität sicherzustellen.

Anders als der Data Governance Act zielt der Data Act auf verbindliche Vorgaben für den Zugang zu und die Nutzung von nicht-personenbezogenen Daten, insbesondere im Verhältnis zwischen Unternehmen (B2B), Unternehmen und Nutzern (B2C) sowie zwischen Unternehmen und Behörden (B2G).

Der Data Act will sicherstellen, dass die enormen Datenmengen, die durch vernetzte Produkte und Dienste entstehen, nicht allein bei den Herstellern und Anbietern verbleiben. Vielmehr sollen sie für Nutzer, Drittanbieter und öffentliche Stellen unter fairen Bedingungen zugänglich sein. Dadurch sollen Innovationen gefördert, Wettbewerbsverzerrungen vermieden und die Datensouveränität gestärkt werden.Darüber hinaus regelt die Verordnung die Rahmenbedingungen für die Datenweitergabe an den Staat sowie die Interoperabilität von Datenverarbeitungsdiensten.

Der DA ist am 11. Januar 2024 als Verordnung in Kraft getreten und kommt am 12. September 2025 unmittelbar in den EU-Mitgliedsstaaten zur Anwendung.

Ein schematischer Überblick der politischen Maßnahmen Data Acts

Mit den Pfeiltasten können Sie die Tabelle horizontal scrollen.
B2B Datenzugang B2C Datenzugang B2G Datenzugang Dateninfrastruktur

Zugriffsrechte für Nutzer auf generierte IoT-Daten & Weitergabe an Dritte

Zugriffsrechte für Nutzer auf generierte IoT-Daten & Weitergabe an Dritte

Regeln für die Datenanfrage durch nationale & EU-Behörden in Ausnahmesituationen

Datenportabilibität bei Cloud Diensten

Tools für Dateninhaber zur Kontrolle der Datennutzung (Smart Contracts, APIs, etc.) & rechtlicher Schutzmaßnahmen gegen Missbrauch

Tools für Dateninhaber zur Kontrolle der Datennutzung (Smart Contracts, APIs, etc.) & rechtlicher Schutzmaßnahmen gegen Missbrauch

Entschädigungsregeln & Schutzmaßnahmen für die Wirtschaft

Interoperabilität

Transparente Verträge

Transparente Verträge

Strukturen zur Förderung des B2G-Datenaustausches

Maßnahmen zum Schutz gegen 3rd Country Access

Modellverträge & Fairnessprüfungen

Once-Only Prinzip

Allgemeine Zugangsregeln

Relevanz für Unternehmen

data_act_uebersicht_1

Quelle: EU-Kommission

Der Data Act verpflichtet Hersteller und Dienstleister vernetzter Produkte, Datenzugänge zu ermöglichen, und zwar für Nutzer, Drittanbieter und öffentliche Stellen die:

  • vernetzte Produkte oder digitale Dienste anbieten (z. B. Maschinen, Fahrzeuge, Smart Home-Anwendungen),
  • Daten aus solchen Produkten erheben und nutzen,
  • Drittanbietern den Zugang zu diesen Daten ermöglichen sollen oder wollen,
  • Cloud-Dienste anbieten oder nutzen,
  • oder im Bereich Datenverarbeitung und -speicherung tätig sind.

Betroffen sind also alle Unternehmen, die vernetzte Produkte, digitale Dienste oder Cloudlösungen anbieten oder nutzen – insbesondere im industriellen Umfeld. Ausgeschlossen sind Klein- und Kleinstunternehmen (<50 Mitarbeitende und Jahresumsatz <10 Mio. EUR), es sei denn

  • es gibt größere Partner- oder verbundene Unternehmen;
  • sie sind als Unterauftragnehmer mit Herstellung/Konzeption beauftragt.

Pflichten für Dateninhaber

Schwerpunkt des DA ist das rechtliche Verhältnis zwischen Dateninhaber/-innen und Nutzer/-innen von IoT Produkten. Dateninhaber/-innen werden dabei stärker in die Verantwortung genommen, Nutzer/-innen ähnliche Datenzugangsrechte zu gewähren, die vorher nur ihnen vorbehalten waren.

Um dieses Datenmonopol aufzubrechen, müssen

  • gewerbliche und private Nutzer/-innen (wer)
  • vor Vertragsabschluss eines IoT Produktes (wann)
  • über Art, Umfang, Häufigkeit und Zugriffsmöglichkeit auf die Daten informiert werden (was).
  • Ebenso besteht die Informationspflicht, auf das Recht der Datenweitergabe an Dritte (Datenempfänger/-innen) hinzuweisen, wobei gewisse Beschränkungen gelten. So dürfen Dritte die Daten nicht zur Entwicklung konkurrierender Produkte nutzen. Sofern Dateninhaber/-innen die Daten für eigene Zwecke verarbeiten wollen, muss ein Lizenzvertrag mit dem Nutzer oder der Nutzerin abgeschlossen werden.

Gatekeeper im Sinne des Digital Service Acts sind sowohl direkt als auch indirekt von den Datenzugangsrechten ausgeschlossen.

Designpflichten für Datenzugänglichkeiten

Vom 12.September 2026 an gilt das Prinzip des Access by Design. In einem IHK-Webinar im Juli 2025 stellte die EU-Kommission folgende Auslegung dar:

  • Es gilt keine unbedingte Pflicht
  • Hersteller haben ein Ermessen über das Design des vernetzten Produkts
  • Herstellter haben die Wahl, den Datenzugang direkt oder indirekt zu gewähren.

Laut Kommission gibt es keine Pflicht zum Redesign von Produkten, aber Transparenzpflichten gelten: Nutzer müssen wissen, welche Daten vorhanden sind und wie der Zugang funktioniert.

Personenbezogene Daten

Der Austausch personenbezogener Daten wird nicht durch den Data Act gesteuert, sondern fällt ausschließlich unter die Datenschutz-Grundverordnung (DSGVO). Der Data Act darf die Rechte und Pflichten aus der DSGVO nicht einschränken oder umgehen.

  • Wenn Daten sowohl personen- als auch nicht-personenbezogene Informationen enthalten, müssen Unternehmen zuerst prüfen, ob die Weitergabe nach DSGVO überhaupt erlaubt ist.
  • Der Datenschutz bleibt vorrangig – ggf. braucht es eine Rechtsgrundlage oder Einwilligung nach DSGVO, bevor personenbezogene Daten geteilt werden dürfen, inklusive aller einschlägigen Pflichten zum Schutz natürlicher Personen von Informations -und Dokumentationspflichten zu Datenminimierung.

Sichergestellt werden sollte ebenfalls, ob personenbezogene Daten über Dritte Personen generiert wurden. In diesem Fall sind auch deren Rechte unter der DSGVO zu wahren.

Geschäftsgeheimnisse

Der DA sieht technische und organisatorische Maßnahmen zum Schutze von Geschäftsgeheimnissen vor. Eine Verweigerung der Datenherausgabe durch Dateninhaber/-innen ist nur in Ausnahmefällen zulässig und zieht eine Meldepflicht bei der zuständigen Behörde mit sich. Zudem müssen Nutzer/-innen über die Entscheidung des Dateninhaber/-in informiert werden.

B2G: Datenherausgabe an öffentliche Stellen

Unter besonderen Umständen dürfen staatliche Behörden und EU-Institutionen die Herausgabe von Daten im Fall von außergewöhnlicher Notwendigkeit quasi erzwingen. Ein Nachweis darüber ist seitens der genannten Akteure zu erbringen und gemäß der Zweckbindung zeitlich begrenzt. Als Beispiel gelten öffentliche Notstände oder zur Erhebung amtlicher Statistiken, für die auf dem Markt die notwendigen Daten fehlen.

Pflichten zur Datenportabilität bei Cloud-Diensten

Zur Vermeidung von Lock-In Effekten, insbesondere für Cloud oder Edge-Dienste, müssen Datenverarbeitungsdienste Nutzer/-innen einfache Anbieterwechseloptionen ermöglichen. Diese müssen ihren Kunden ermöglichen, ihre Daten einfach und ohne unnötige Verzögerung zu anderen Anbietern zu übertragen. Vertragsklauseln, die dies verhindern oder erschweren, sind künftig unzulässig. Sofern nötig, kann die Kommission technische Spezifikation zur Interoperabilität festlegen.

Checkliste für Dateninhaber/-innen

Vor einem Kauf-, Leasing- oder Mietabschluss eines IoT-Produktes müssen Nutzer/-innen z.B. über Art, Dauer, Umfang der generierten Daten und das Recht auf Datenweitergabe an Dritte in Kenntnis gesetzt werden. Auch muss ihnen erklärt werden, wie sie die Daten abrufen können.

Nutzer/-innen dürfen von Dateninhaber/-innen nicht an der Weitergabe gehindert werden. Dateninhaber/-innen können in dem Fall eine angemessene und faire Vergütung von Datenempfänger/-innen verlangen.

Sofern technisch möglich, sollen Nutzer/-innen einen kostenlosen und sicheren Zugriff auf die generierten Daten, ggf. in Echtzeit haben.

IoT Produkte, die ab dem 12. September 2026 auf den europäischen Binnenmarkt kommen, müssen so entwickelt werden, dass Nutzer/-innen ihre Daten direkt und einfach abrufen können

Ein Abschluss von Datenlizenzverträgen ist zwingend notwendig, damit Dateninhaber/-innen die Daten von Nutzer/-innen für eigene Zwecke verwenden dürfen .

Sicherstellung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.

Webinarreihe "Data Act - Was Unternehmen jetzt wissen müssen"

Die Webinarreihe "Data Act: Was Unternehmen jetzt wissen müssen" präsentiert von im Sommer 2025 im Rahmen der gemeinsamen Digitalisierungsinitiative der Industrie- und Handelskammern in Bayern unterstützt Unternehmen dabei, alle wichtigen Umsetzungspflichten und Herangehensweisen zu erhalten, um das neue Datengesetz erfolgreich umzusetzen.

Referent: Sören Schneider, Legal and Policy Officer in DG CNECT, Unit G.1, EU Kommission

Präsentation

Inhalt:
Der Data Act schafft einen Ordnungsrahmen für die europäische Datenwirtschaft, indem er klarstellt, wer zu welchen Bedingungen Daten wirtschaftlich nutzen kann, die von vernetzten Produkten erzeugt werden. Hintergrund ist die Erkenntnis, dass das wirtschaftliche Potenzial von Daten in der Europäischen Union bisher nur unzureichend erschlossen ist. Das am 12. September 2025 in Kraft tretende Gesetz schafft neue Rechte und Pflichten, die für eine Vielzahl an Unternehmen relevant sind. Teil 1 der Webinarreihe zum Data Act bietet eine Einführung in das neue Gesetz. Erfahren Sie mehr über seinen Inhalt, den Hintergrund seiner Entstehung und wie die EU-Kommission Unternehmen bei der Umsetzung unterstützt.

Referent: Dr. Philipp Haas, Team Leader, Legal Services IT Law (C/LST-ITL), Robert Bosch GmbH

Inhalt:
Der EU Data Act bringt neue Pflichten und Rechte rund um den Zugang zu und die Nutzung von Daten mit sich. Dabei entsteht ein rechtliches und strategisches Spannungsfeld zwischen Datenverfügbarkeit, dem Schutz von Geschäftsgeheimnissen und wettbewerbsrechtlichen Rahmenbedingungen. Dieses Webinar bietet Unternehmen eine kompakte Einführung in die Anforderungen und Chancen des Data Acts – und beleuchtet, wie sie sich in diesem komplexen Umfeld rechtskonform und zukunftssicher aufstellen können.

Referent: Dr. Christopher Götz LL.M. (New York), Partner, Simmons & Simmons LLP

Inhalt:
Der Data Act bringt umfassende Neuerungen für die Nutzung und Weitergabe von Daten vernetzter Produkte. Hersteller, Dienstleister und Nutzer müssen sich künftig auf neue Rechte und Pflichten einstellen. Gleichzeitig soll der Data Act den Wechsel von Cloud-Anbietern erleichtern und Datenportabilität stärken. In diesem Webinar erfahren Sie, wie die gemeinsame Datennutzung in der Praxis gestaltet werden kann und welche Rolle die EU-Mustervertragsklauseln dabei spielen können. Zudem erhalten Sie einen Einblick in die neuen Regelungen zum Cloud-Switching und welche technischen und vertraglichen Anpassungen auf Unternehmen zukommen.

Referentin: Carolin Loy, Bereichsleitung Digitalwirtschaft Pressesprecherin / Beauftragte für Öffentlichkeitsarbeit, Bayerisches Landesamt für Datenschutzaufsicht

Präsentation

Inhalt:
Mit dem Data Act schafft die EU einen zukunftsweisenden Rahmen für die gemeinsame Nutzung und Weitergabe von Daten vernetzter Produkte und Dienstleistungen. Er ergänzt dabei die bestehende Datenschutzgrundverordnung (DSGVO). Letztere bleibt die primäre Rechtsgrundlage für die Verarbeitung personenbezogener Daten. In diesem Webinar erfahren Sie mehr über die Schnittstellen und Unterschiede der beiden Verordnungen und vor allem darüber, was Unternehmen konkret beachten sollten, um rechtskonform zu agieren.

Referentin: Ines Rerbal, Referatsleiterin Digitale Märkte, Plattform und Datenökonomie, DIHK

Präsentation

Inhalt:
Mit dem Data Act und dem Data Governance Act schafft die EU eine einheitliche Grundlage für einen fairen, transparenten und vertrauenswürdigen Datenzugang und Datenaustausch. Für Unternehmen bedeutet das neue Spielregeln im Umgang mit industriellen Daten, Zugangsrechten, Datenweitergabe und Datenvermittlungsdiensten.
In diesem Webinar erfahren Sie, wo die jeweiligen Schwerpunkte liegen – und vor allem, was Unternehmen konkret beachten sollten, um rechtskonform und wettbewerbsfähig zu bleiben.