EU-Data Act – was Unternehmen jetzt wissen müssen
Seit dem 11. Januar 2024 ist der Data Act (Verordnung (EU) 2023/2854) in Kraft. Seit dem 12. September 2025 gelten viele seiner Regelungen unmittelbar für Unternehmen in der EU.
Ziele der Verordnung
Die Verordnung verfolgt mehrere Ziele: Sie soll die Nutzung industrieller und nicht-personenbezogener Daten („Industriedaten“) fördern, die bislang häufig ungenutzt bleiben. Gleichzeitig stärkt sie die Rechte von Nutzern vernetzter Produkte und Dienste, etwa IoT-Geräten, im Hinblick auf den Zugang zu den dabei entstehenden Daten. Zudem schafft sie faire und transparente Rahmenbedingungen für Verträge über die Nutzung und Weitergabe von Daten und stellt sicher, dass Geschäftsgeheimnisse geschützt und das Datenschutzniveau der DSGVO gewahrt bleiben.
Wer ist betroffen?
Der Data Act gilt insbesondere für Hersteller vernetzter Produkte wie Maschinen, Fahrzeuge oder smarte Haushaltsgeräte sowie für Anbieter verbundener Dienste, zum Beispiel Apps oder Software, die mit diesen Produkten gekoppelt sind. Daneben erfasst er Anbieter von Datenverarbeitungsdiensten wie Cloud-, Edge- oder Hosting-Services. Betroffen sind außerdem die Nutzer dieser Produkte und Dienste – sowohl Unternehmen als auch Verbraucher.
Auch nicht-europäische Unternehmen fallen unter die Verordnung, sofern ihre Produkte oder Dienste in der EU angeboten werden oder Daten erzeugen, die in der EU genutzt werden („Marktortprinzip“). Ausnahmen bestehen lediglich für Klein- und Kleinstunternehmen (unter 50 Mitarbeitenden und bestimmten Umsatz-/Bilanzgrenzen), soweit sie nicht Teil eines größeren Konzerns sind.
Wesentliche Rechte und Pflichten
Ein Kernstück des Data Act ist das Recht der Nutzer auf Datenzugang: Sie haben Anspruch auf unentgeltlichen Zugriff auf die Daten, die bei der Nutzung eines Produkts oder Dienstes entstehen, gegebenenfalls auch in Echtzeit oder kontinuierlich. Hersteller und Anbieter müssen dafür sorgen, dass die technischen und organisatorischen Voraussetzungen für diesen Zugang geschaffen werden.
Bereits beim Vertragsschluss – etwa beim Kauf eines IoT-Geräts oder beim Abschluss eines Servicevertrags – müssen Nutzer umfassend über ihre Rechte informiert werden. Offenzulegen ist insbesondere, welche Daten durch das Produkt oder den Dienst entstehen, in welchem Umfang und Format sie bereitgestellt werden, wie der Zugang technisch funktioniert (einschließlich Schnittstellen) und ob er kontinuierlich oder in regelmäßigen Intervallen erfolgt. Zudem ist darauf hinzuweisen, dass der Nutzer berechtigt ist, Dritte mit dem Zugang zu beauftragen, etwa Wartungsunternehmen oder App-Anbieter. Während der Eigennutz kostenfrei sein muss, darf für die Weitergabe an Dritte eine angemessene Vergütung verlangt werden. Schließlich ist zu regeln, wie Geschäftsgeheimnisse geschützt werden, ohne den Datenzugang zu unterlaufen, und dass personenbezogene Daten ausschließlich im Einklang mit der DSGVO verarbeitet werden dürfen.
Wichtig ist: Ohne eine entsprechende Vertragsgestaltung ist eine Nutzung der Daten durch den Hersteller oder Anbieter selbst nicht zulässig. Erst, wenn die Rechte der Nutzer transparent geregelt und vertraglich abgesichert sind, dürfen Hersteller und Anbieter die im Betrieb der Produkte oder Dienste anfallenden Daten verwenden.
Ein zweiter zentraler Regelungsbereich betrifft Cloud- und Edge-Anbieter. Sie müssen es Nutzern erleichtern, ihre Daten zu einem anderen Anbieter zu übertragen („Cloud Switching“). Dazu gehören Vorgaben zu Interoperabilität, der Einrichtung standardisierter Schnittstellen und der schrittweisen Abschaffung von Wechselentgelten bis 2027. Auf diese Weise sollen Lock-in-Effekte verhindert und der Wettbewerb im Cloud-Markt gestärkt werden.
Risiken und praktische Herausforderungen
Die Umsetzung des Data Act bringt für Unternehmen erhebliche technische, organisatorische und rechtliche Anforderungen mit sich. Schnittstellen, Datenexportformate und interne Prozesse müssen angepasst werden, um die gesetzlichen Vorgaben zu erfüllen. Bestehende Verträge mit Dateninhabern, Dienstleistern und Partnern sind auf ihre Vereinbarkeit mit den neuen Transparenz- und Fairnessanforderungen zu prüfen.
Herausfordernd ist auch die Balance zwischen dem Schutz von Geschäftsgeheimnissen und dem gesetzlich vorgesehenen Recht auf Datenzugang. Unternehmen müssen sensible Informationen wirksam absichern, ohne die Nutzerrechte auszuhöhlen. Hinzu kommen datenschutzrechtliche Risiken, da personenbezogene Daten weiterhin ausschließlich unter Beachtung der DSGVO verarbeitet werden dürfen.
Schließlich drohen bei Verstößen empfindliche Sanktionen. Seit dem 12. September 2025 können Aufsichtsbehörden einschreiten. Die Mitgliedstaaten sind verpflichtet, wirksame, verhältnismäßige und abschreckende Sanktionen vorzusehen. Die maximale Höhe der Sanktionen orientiert sich an der Datenschutz-Grundverordnung (DSGVO) und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahreskonzernumsatzes betragen. Im aktuellen Regierungsentwurf für den Data Act ist die Bundesnetzagentur als zentrale Aufsichtsbehörde vorgesehen.
Handlungsempfehlungen
Unternehmen sollten sich frühzeitig auf die neuen Pflichten vorbereiten. Am Anfang steht eine Bestandsaufnahme: Welche Produkte oder Dienste generieren Daten, wo werden diese gespeichert, wie werden sie genutzt und handelt es sich um personenbezogene oder industrielle Daten? Anschließend gilt es, bestehende Verträge zu überprüfen und unzulässige oder missbräuchliche Klauseln zu identifizieren und anzupassen. Auch Vertragsmuster für künftige Vereinbarungen sollten Data-Act-konform ausgestaltet werden.
Parallel dazu ist eine technische Vorbereitung notwendig: Schnittstellen und Dateninfrastruktur müssen so angepasst werden, dass Nutzer ihre Rechte effektiv wahrnehmen können. Darüber hinaus sollten interne Verantwortlichkeiten klar definiert werden – etwa, wer Datenzugangs-Anfragen bearbeitet, wer über die Einstufung als Geschäftsgeheimnis entscheidet und wer die Einhaltung der neuen Vorgaben überwacht.
Ein weiterer Schwerpunkt liegt auf der Schulung und Sensibilisierung der Mitarbeitenden, insbesondere in den Bereichen IT, Recht und Datenschutz. Schließlich empfiehlt sich ein kontinuierliches Monitoring der Rechtsentwicklung, insbesondere im Hinblick auf Leitlinien und Musterverträge der EU-Kommission sowie die anstehende nationale Umsetzung.
Fazit
Der Data Act markiert einen Meilenstein im europäischen Datenrecht. Er soll Nutzer und kleinere Anbieter stärken, faire Spielregeln für den Datenzugang schaffen und den Wettbewerb im Datenmarkt fördern. Gleichzeitig bringt er tiefgreifende organisatorische und technische Umstellungen mit sich. Unternehmen, die sich frühzeitig mit den neuen Anforderungen auseinandersetzen, verschaffen sich nicht nur Rechtssicherheit, sondern können auch Chancen nutzen – sei es durch innovative Geschäftsmodelle, eine verbesserte Datenkontrolle oder neue Dienstleistungen.
RWTkompakt Ausgabe Oktober 2025
