Jetzt anrufen unter:

+49 711 410 190 30

  • wpml-ls-flag
  • wpml-ls-flag
EU Data Act, Datenverordnung, (EU) 2023/2854, Rechtsanwalt, IT-Recht

EU Data ACT

gilt

ab Heute.

von

Clemens Pfitzer

Ab dem 12. September 2025 ist es so weit: Die EU-Datenverordnung („Data Act“) tritt in Kraft. Ziel ist es, den Zugang zu Daten zu erleichtern, faire Wettbewerbsbedingungen zu schaffen und die europäische Datenwirtschaft zu stärken. Für Unternehmen bedeutet dies neue Chancen, aber auch neue Pflichten.

Der Data Act

In den letzten Jahren hat die Europäische Union eine Vielzahl von Gesetzen auf den Weg gebracht, um den digitalen Binnenmarkt zu regulieren – vom Digital Services Act bis hin zur KI-Verordnung. Ein zentrales Element dieser Strategie ist die Datenverordnung (Data Act) (Verordnung (EU) 2023/2854) zielt darauf ab, den Zugang zu Daten zu erleichtern, den fairen Wettbewerb zu sichern und Innovationen in der europäischen Wirtschaft zu fördern.

Die zentrale Frage lautet: Wem gehören die Daten, die durch die Nutzung vernetzter Produkte und Dienste entstehen, und wer darf sie verwenden? Bisher hatten Hersteller und Anbieter häufig die Kontrolle. Mit dem Data Act werden die Rechte der Nutzer gestärkt und die Pflichten der Unternehmen neu geordnet.

Wer ist vom Data Act betroffen?

Die Verordnung gilt für eine breite Palette von Akteuren:

  • Hersteller vernetzter Produkte (z. B. Smart-Home-Geräte, vernetzte Fahrzeuge, Medizintechnik),
  • Anbieter verbundener Dienste (Cloud, Apps, Plattformen),
  • Dateninhaber, die Daten anderen bereitstellen,
  • Datenempfänger, die diese Daten nutzen,
  • sowie Anbieter von Datenverarbeitungsdiensten (z. B. Cloud-Dienste).

Pflichten ab dem 12. September 2025

Viele Verpflichtungen aus dem Data Act greifen ab dem 12.09.2025. Betroffene Unternehmen müssen die sich daraus ergebenden Pflichten beachten und umsetzen und die eigenen Geschäftsprozesse darauf anpassen. Dazu zählen unter anderem folgende Pflichten:

Transparenz gegenüber Nutzern

Unternehmen müssen Nutzer vernetzter Produkte klar und verständlich informieren, welche Daten anfallen, wie diese genutzt werden können und zu welchen Zwecken der Hersteller oder Anbieter sie selbst verwenden darf.

Beispiel: Ein Hersteller von Medizintechnik (z. B. Herzschrittmacher oder Diagnosesysteme) muss Patienten und Ärzten mitteilen, welche Messdaten anfallen, in welchem Format sie vorliegen und wie lange sie gespeichert werden.

Datenzugang für Nutzer

Nutzer erhalten ein Recht auf Zugang zu den von ihrem Gerät oder Dienst erzeugten Daten. Hersteller müssen technische Schnittstellen schaffen, über die diese Daten bereitgestellt werden können.

Beispiel: Ein Autobesitzer muss künftig die von seinem Fahrzeug gesammelten Diagnosedaten direkt auslesen können, um sie etwa einer freien Werkstatt zur Verfügung zu stellen.

Weitergabe von Daten an Dritte

Auf Wunsch der Nutzer müssen Daten auch an Dritte (z. B. Werkstätten, Serviceanbieter) weitergegeben werden. Die Empfänger dürfen diese Daten jedoch nur für vereinbarte Zwecke nutzen – etwa für Reparatur oder Wartung – und nicht, um Konkurrenzprodukte zu entwickeln.

Beispiel: Ein Landwirt kann die Sensordaten seiner vernetzten Erntemaschine an einen unabhängigen Agrarservice weitergeben, ohne dass der Hersteller diese Weitergabe blockieren darf.

Schutz von Geschäftsgeheimnissen

Dateninhaber können technische und organisatorische Maßnahmen ergreifen, um Geschäftsgeheimnisse zu schützen. Sie müssen aber trotzdem den Datenzugang sicherstellen, sofern dies möglich ist, ohne Geschäftsgeheimnisse preiszugeben.

Beispiel: Ein Hersteller von Smart-Home-Geräten kann Daten anonymisieren, bevor sie an einen Drittanbieter (z. B. einen Energieoptimierungsdienst) weitergegeben werden.

Faire Vertragsbedingungen im B2B-Bereich

Missbräuchliche Vertragsklauseln beim Datenzugang oder der Datennutzung, die ein Unternehmen einseitig vorgibt, sind künftig unwirksam. Dies schützt insbesondere kleine und mittlere Unternehmen.

Beispiel: Ein Start-up, das eine App für die Analyse von Fitnessdaten entwickelt, darf nicht durch einseitige Vertragsbedingungen des Geräteherstellers daran gehindert werden, auf die Nutzerdaten zuzugreifen.

Pflichten für Cloud-Anbieter

Cloud- und Datenverarbeitungsdienste müssen den Wechsel zu anderen Anbietern erleichtern und dürfen Kunden nicht durch technische oder vertragliche Hürden festhalten.

Beispiel: Ein Krankenhaus, das Patientendaten in einer Cloud speichert, muss diese künftig einfacher zu einem anderen Cloud-Dienst migrieren können – ohne überhöhte Gebühren oder monatelange Wartezeiten.

Sanktionen

Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen für Verstöße festlegen. Unternehmen riskieren damit empfindliche Geldbußen, ähnlich wie bei der DSGVO.

Regelungen mit späterem Beginn

Nicht alle Vorschriften des Data Act greifen ab dem 12.09.2026. Manche Vorschriften treten erst später in Kraft, z.B.:

  • Pflicht zur Bereitstellung von Daten aus vernetzten Produkten: Gilt erst für Produkte und Dienste, die nach dem 12. September 2026 in Verkehr gebracht werden.
  • Kapitel IV (missbräuchliche Vertragsklauseln): Gilt sofort für neu abgeschlossene Verträge. Für bereits bestehende, unbefristete oder sehr langfristige Verträge greift die Regelung erst ab dem 12. September 2027.
  • Kapitel III (Pflichten zur Datenbereitstellung gegenüber Behörden): Greift nur bei neuen Rechtsvorschriften, die nach dem 12. September 2025 in Kraft treten.

Was sollten betroffene Unternehmen tun?

Vom Data Act betroffene Unternehmen sollte – sofern noch nicht geschehen – die folgende Schritte durchführen:

  • Bestandsaufnahme machen: Prüfen Sie, welche Produkte, Dienste und Datenströme von den neuen Regelungen erfasst werden.
  • Technische Schnittstellen planen: Hersteller vernetzter Produkte sollten frühzeitig damit beginnen, APIs oder andere Schnittstellen zu entwickeln, über die Nutzer ihre Daten abrufen können.
  • Vertragswerke überprüfen: Bestehende Verträge mit Kunden und Geschäftspartnern sollten auf mögliche missbräuchliche Klauseln untersucht werden. Für Neuverträge sollten rechtssichere, transparente Regelungen geschaffen werden.
  • Datenschutz und Geschäftsgeheimnisse absichern: Entwickeln Sie Prozesse, um personenbezogene Daten zu anonymisieren und Geschäftsgeheimnisse technisch zu schützen – ohne die Zugangsrechte der Nutzer zu verletzen.
  • Cloud-Strategie überdenken: Cloud- und IT-Verantwortliche sollten prüfen, wie ein Anbieterwechsel künftig umgesetzt werden kann, und Exit-Strategien vorbereiten.
  • Mitarbeiter schulen: Sensibilisieren Sie Fachabteilungen, IT und Rechtsabteilungen für die neuen Pflichten, um Umsetzungsfehler und Sanktionen zu vermeiden.

Fazit

Der Data Act bringt weitreichende Änderungen für Unternehmen, die Daten erzeugen, speichern oder nutzen. Ab dem 12. September 2025 gelten neue Transparenz-, Zugangs- und Vertragsregeln. Insbesondere Hersteller vernetzter Produkte, Anbieter digitaler Dienste und Cloud-Provider sollten ihre Prozesse, Verträge und IT-Schnittstellen rechtzeitig anpassen. Spätestens ab 2026 bzw. 2027 greifen dann auch die übrigen Pflichten und die Anforderungen werden weiter verschärft.

Unternehmen, die sich bislang noch nicht mit dem Data Act befasst haben, sollten daher zeitnah mit der Umsetzung beginnen.

Wir beraten

Sie gerne zum

Data Act!

Kontaktformular
Jetzt anrufen!

Unsere Dienstleistungen

Beratung zum Datenschutzrecht

Wir beraten Sie zu allen Fragen des Datenschutzrechts, z.B. zu Datenschutzkonzepten, Datenschutzerklärungen, Vertragsgestaltung und Umgang mit Datenschutzbehörden.

Mehr erfahren

Rechtsberatung zu Software

Wir beraten Sie zu allen rechtlichen Fragen zum Thema Software, Softwareentwicklung, Softwarelizenzierung, Wartung, Pflege, Haftung, Compliance, agile Softwareentwicklung, SaaS.

Mehr erfahren

Alle Dienstleistungen

Relevante Beiträge

KI-Nachahmung von Synchronstimme verletzt Persönlichkeitsrecht

KI-Training mit Facebook und Instagram

GenAI und Urheberrecht

Daten von Facebook und Instagram für KI-Training

Generative KI-Modelle Chancen und Risiken laut BSI

Urheberrechtsverletzung durch Framing

Haben Sie Fragen?

Wir helfen Ihnen gerne weiter.

Kontaktanfrage

Maximale Dateigröße: 10MB