Datenschutz-Akademie » Datenschutz-News » EU Data Act

EU Data Act 2025

EU Data Act: Pflichten, Anwendungsbereich und Ihr Fahrplan zur Umsetzung

Der EU Data Act (Regulation (EU) 2023/2854) ist eines der zentralen EU-Regulierungspakete der Digitalstrategie. Ziel ist es, den Zugang zu und die Nutzung von Daten fairer und wettbewerbsfreundlicher zu regeln: Nutzer sollen leichter Zugriff auf die von ihnen erzeugten Produkt- und Servicedaten erhalten, Unternehmen sollen weniger „Vendor-Lock-In“ bei Cloud-Dienstleistern erleben und öffentliche Stellen sollen in Ausnahmefällen (z. B. Notlagen) Zugriff auf nicht-personale Daten bekommen. Alles unter der Prämisse, dass Datenschutz (DSGVO) und Geschäftsgeheimnisse gewahrt bleiben. Seit 12. September 2025 ist er anwendbar und bringt für zahlreiche Organisationen konkrete Pflichten mit sich.

Viele Organisationen unterschätzen noch, wie stark dieses Gesetz ihr Geschäft beeinflussen wird. Während die Datenschutz-Grundverordnung (DSGVO) vor einigen Jahren den Umgang mit personenbezogenen Daten neu geordnet hat, nimmt der Data Act nun die gesamte Welt nicht-personaler Daten ins Visier, insbesondere solche, die bei der Nutzung vernetzter Produkte und digitaler Dienste entstehen. Das bedeutet: Jede Maschine, jedes Fahrzeug, jedes IoT-Gerät, das Daten erzeugt, fällt in den Geltungsbereich. Auch Anbieter von Cloud-Diensten, digitale Plattformbetreiber und sogar Organisationen, die solche Daten nur weiterverwenden möchten, sind unmittelbar betroffen.

Wichtigste Informationen zum Data Act

  • Der EU Data Act (Verordnung (EU) 2023/2854) soll den fairen Zugang zu Daten sicherstellen, Innovation fördern und Wettbewerbshemmnisse abbauen. Nutzer von vernetzten Produkten und digitalen Diensten sollen künftig einfacher auf die von ihnen erzeugten Daten zugreifen können.
  • Der Data Act betrifft Hersteller von „Connected Products“ (z. B. Maschinen, Fahrzeuge, IoT-Geräte), Anbieter von Cloud- und Datenverarbeitungsdiensten sowie Organisationen, die solche Daten nutzen oder bereitstellen. KMU profitieren von Ausnahmeregelungen, um übermäßige Belastungen zu vermeiden.
  • Hersteller müssen Nutzern Zugang zu Produkt- und Servicedaten ermöglichen, Cloud-Anbieter müssen Wechsel zwischen Diensten erleichtern, und unfaire Vertragsklauseln im B2B-Bereich werden für unwirksam erklärt. Öffentliche Stellen dürfen in Ausnahmefällen („exceptional need“) Daten anfordern.
  • Der Data Act greift nicht in die DSGVO ein personenbezogene Daten bleiben nach wie vor dem Datenschutzrecht unterstellt. Auch Geschäftsgeheimnisse und sensible Unternehmensinformationen werden geschützt, indem eine Datenweitergabe in bestimmten Fällen eingeschränkt werden darf.
  • Die Verordnung trat Anfang 2024 in Kraft, die meisten Pflichten gelten ab dem 12. September 2025. Für bestimmte Regelungen, etwa beim Cloud-Wechsel oder für neu auf den Markt kommende Produkte, gelten längere Übergangsfristen bis 2026 bzw. 2027.

Der EU Data Act trägt den offiziellen Titel Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) (Text von Bedeutung für den EWR). Der Gesetzestext kann über den folgenden externen Link eingesehen werde.

Inhalt zum Thema Data Act:

Was ist der Data Act?

Der Data Act ist eine EU-Verordnung mit dem offiziellen Titel Regulation (EU) 2023/2854 on harmonised rules on fair access to and use of data (Data Act). Die Verordnung wurde im Dezember 2023 verabschiedet und ist formal im EU-Amtsblatt publiziert worden. Sie trat nach der Veröffentlichung in Kraft und wird in gestaffelter Form anwendbar. Die Kommission beschreibt den Data Act als Gesetz, das „mehr Daten für die Nutzung verfügbar macht und Regeln dafür festlegt, wer welche Daten zu welchen Bedingungen verwenden darf“.

Ziele und Motivation des Data Acts

Der Data Act ist Teil der umfassenden EU-Datenstrategie, die das Ziel verfolgt, Europa zu einem führenden Standort für eine faire, innovative und nachhaltige Datenwirtschaft zu machen. Die EU-Kommission stellte bei der Vorstellung des Gesetzes klar, dass Daten in den vergangenen Jahren zu einer der wertvollsten Ressourcen geworden sind, gleichzeitig aber ein Großteil ihres Potenzials ungenutzt bleibt. Grund dafür sind oft geschlossene Systeme, monopolartige Strukturen großer Anbieter oder schlicht unklare Rechtsgrundlagen für den Austausch.

Mit dem Data Act will die EU diesen Zustand ändern. Künftig soll klar geregelt sein, wer auf welche Daten zugreifen darf, zu welchen Bedingungen dieser Zugriff möglich ist und welche Schutzmechanismen bestehen. Damit wird nicht nur ein rechtlicher Rahmen geschaffen, sondern auch ein Innovationsschub angestrebt: Daten sollen einfacher geteilt, Geschäftsmodelle leichter entwickelt und Abhängigkeiten von großen Cloud- oder Plattformanbietern reduziert werden.

  • Mehr Wettbewerb und weniger Lock-In bei Plattform- und Cloud-Anbietern;
  • Erleichterung datengetriebener Geschäftsmodelle (z. B. Predictive Maintenance);
  • Schutz der Nutzerrechte und klare Regeln für vertragsrechtliche Beziehungen im B2B-Bereich.

Abgrenzung zu anderen Regelwerken

Der Data Act ergänzt (und steht nicht über) der DSGVO; er ergänzt zudem den Data Governance Act (DGA), der eher Governance-/Infrastrukturfragen adressiert. Bei Konflikten mit Datenschutzrecht hat die DSGVO Vorrang.

Unsere Empfehlungen für weiterführende Informationen

Data Act Anwendungsbereich: wer und was ist betroffen?

Entscheidend für jede Organisation ist zunächst die Frage: Fällt mein Geschäft überhaupt in den Anwendungsbereich des Data Act? Die Antwort lautet in vielen Fällen: ja.

Definition: „Produktdaten bzw. Servicedaten“ und vernetzte Produkte

Betroffen sind vor allem Hersteller von vernetzten Produkten, also Maschinen, Fahrzeuge, Haushaltsgeräte oder auch industrielle IoT-Sensoren. Ein vernetztes Produkt (connected product) ist laut Data Act mehr als nur ein Gerät mit Internetzugang. Entscheidend ist, dass das Produkt mit einem digitalen Dienst verbunden ist und dabei Daten austauscht. Stellen Sie sich vor, Sie kaufen ein vernetztes Auto. Es zählt nicht, dass das Auto online ist, sondern dass es mit einem Dienst (z. B. einer Navigations-App oder einem Wartungsservice) verbunden ist und Daten an diesen Service sendet oder von ihm empfängt. Die Verbindung kann bereits beim Kauf bestehen oder nachträglich hergestellt werden. Auch virtuelle Assistenten wie Alexa oder Google Home fallen unter diese Regelung, solange sie mit einem solchen vernetzten Gerät interagieren und Daten austauschen. Aber auch Dienstleister, die solche Produkte mit Software oder digitalen Zusatzleistungen ergänzen, müssen die Vorgaben beachten.

Darüber hinaus richtet sich die Verordnung an Cloud-Anbieter und Anbieter von Datenverarbeitungsdiensten, die ihren Kunden künftig mehr Transparenz und Wechselmöglichkeiten bieten müssen. Organisationen, die Daten von anderen nutzen möchten, beispielsweise Zulieferer, Wartungsfirmen oder Analyse-Dienstleister, profitieren hingegen von neuen Rechten, haben aber zugleich Pflichten, mit den erhaltenen Daten fair und rechtskonform umzugehen.

Der Data Act definiert präzise, welche Arten von Daten gemeint sind:

  • Produktdaten (product data): Das sind die Daten, die direkt durch die Nutzung eines vernetzten Geräts entstehen. Beispiele dafür sind Nutzungsdaten eines smarten Kühlschranks oder die Geschwindigkeit und der Batteriestand eines E-Bikes. Es geht um Daten, die direkt vom Produkt selbst erzeugt, gesammelt oder erfasst werden.
  • Daten aus damit verbundenen Dienstleistungen (related service data): Das sind die Daten, die entstehen, wenn ein digitaler Dienst mit dem Produkt zusammenarbeitet. Ein gutes Beispiel ist die App eines Fitness-Trackers, die die Schritte zählt und analysiert. Die Daten, die durch die Nutzung dieser App entstehen, etwa die grafische Darstellung deiner täglichen Aktivität fallen unter diese Kategorie.

Betroffene Akteure

Die Verordnung richtet sich an eine Reihe von Akteuren, u. a.:

  • Hersteller von Connected Products (Maschinenbau, Fahrzeugindustrie, IoT-Gerätehersteller),
  • Anbieter von related services (inkl. App-Anbieter),
  • Data holders (wer die Daten kontrolliert),
  • Data recipients (Unternehmen, die Daten erhalten),
  • Providers of data processing services (Cloud-/Hosting-Provider).

Sonderregelungen für KMU

Für Mikro- und Kleinunternehmen gibt es Erleichterungen: bestimmte Kapitel (z. B. Pflichten für Zugang bei Connected Products) gelten nicht oder sind eingeschränkt, um KMU nicht übermäßig zu belasten.

Erleichterungen für Mikro- und Kleinunternehmen
Die Sonderregelungen für KMU betreffen vor allem die Pflicht, Nutzern den Zugang zu den von ihnen generierten Daten zu gewähren. Für Mikro- und Kleinunternehmen sind diese Pflichten stark reduziert oder gelten gar nicht.

  • Keine Verpflichtung zur Datenweitergabe: Unter bestimmten Umständen müssen KMU die Daten aus ihren vernetzten Produkten und den dazugehörigen Diensten nicht an die Nutzer oder Dritte weitergeben.
  • Keine Entschädigungspflicht: Auch die Zahlung einer Entschädigung für die Überlassung der Daten an Dritte entfällt.

Wer gilt als Mikro- oder Kleinunternehmen?
Die genauen Kriterien sind in den Schwellenwerten der EU-Kommission für KMU festgelegt:

  • Mikro-Unternehmen: Weniger als 10 Mitarbeiter und ein Jahresumsatz oder eine Jahresbilanz von maximal 2 Millionen Euro.
  • Kleinunternehmen: Weniger als 50 Mitarbeiter und ein Jahresumsatz oder eine Jahresbilanz von maximal 10 Millionen Euro.

Diese Regelung soll sicherstellen, dass die Innovationskraft und Wettbewerbsfähigkeit kleinerer Unternehmen nicht durch die neuen Auflagen des Data Acts beeinträchtigt werden, während gleichzeitig die Hauptziele der Verordnung (Datenkontrolle für Nutzer und Förderung der Datenwirtschaft) erreicht werden.

Die zentralen Inhalte und Pflichten des Data Act

Der EU Data Act bringt weitreichende Veränderungen für den Umgang mit Daten in Europa. Ziel ist es, den Zugang zu Daten fairer zu gestalten, die Rechte von Nutzern zu stärken und Innovation zu fördern. Damit Sie einen schnellen Überblick erhalten, finden Sie hier die wichtigsten Inhalte leicht verständlich zusammengefasst.

Nutzerrechte auf Datenzugang (Kapitel II)

Im Mittelpunkt des Data Act steht das Recht von Nutzerinnen und Nutzern auf die Daten, die ihre Geräte erzeugen. Wer ein vernetztes Produkt wie eine Maschine, ein Fahrzeug oder ein Smart-Home-Gerät kauft oder nutzt, hat künftig Anspruch auf die dabei entstehenden Daten. Diese Daten dürfen nicht nur selbst genutzt, sondern auch an Dritte weitergegeben werden – etwa an Reparaturdienste oder Softwareanbieter, die Zusatzfunktionen bereitstellen.

Hersteller dürfen den Zugriff nicht einschränken oder verweigern, auch nicht durch versteckte Klauseln in Verträgen. Gleichzeitig wird zwischen leicht verfügbaren Daten und aufwendig zu erhebenden Daten unterschieden: Letztere müssen nicht in gleichem Umfang bereitgestellt werden. Eine wichtige Einschränkung betrifft große digitale Plattformen, die unter den Digital Markets Act (DMA) fallen. Diese sogenannten „Gatekeeper“ dürfen nicht automatisch als Dritte auftreten, um ihre Marktmacht nicht weiter auszubauen.

Ausnahmeregelungen für Behörden (Kapitel III)

Der Data Act sieht vor, dass staatliche Stellen in Ausnahmefällen Zugriff auf Unternehmensdaten erhalten können. Diese „exceptional need“-Regelung greift nur, wenn es wirklich notwendig ist – etwa bei Naturkatastrophen, Pandemien oder anderen Krisen, in denen Daten für das Gemeinwohl entscheidend sind. Behörden wie Gesundheitsämter oder Statistikstellen können dann nicht-personale Daten anfordern.

Dabei gilt: Der Schutz von Geschäftsgeheimnissen hat Vorrang, und jede Anfrage muss streng begründet sein. Mikro- und Kleinunternehmen sind häufig von dieser Pflicht ausgenommen, damit sie nicht übermäßig belastet werden.

Schutz vor unfairen Vertragsklauseln (Kapitel IV)

Ein weiterer zentraler Punkt ist der Schutz von Unternehmen vor unfairen Vertragsbedingungen. In der Praxis kommt es häufig vor, dass große Marktteilnehmer kleineren Partnern Klauseln aufzwingen, die deren Rechte beschneiden – etwa indem sie den Zugang zu Daten einschränken oder nur einseitig Nutzungsrechte einräumen.

Der Data Act erklärt solche Klauseln künftig für unwirksam. Außerdem enthält er eine Liste von Vertragsbedingungen, die generell oder in bestimmten Fällen als unfair gelten. Damit soll vor allem die Verhandlungsposition kleinerer und mittlerer Unternehmen gestärkt werden.

Cloud-Dienste: Wechsel und Transparenz (Kapitel VI & VII)

Besonders praxisrelevant sind die Regelungen für Cloud-Dienste. Viele Unternehmen beklagen heute, dass sie bei einem Anbieterwechsel praktisch „feststecken“ – sei es durch unklare Vertragsbedingungen, technische Hürden oder hohe Wechselgebühren. Der Data Act will diese Lock-In-Effekte durchbrechen.

Cloud-Anbieter werden verpflichtet, den Wechsel zu anderen Diensten einfacher und transparenter zu machen. Dazu gehören offene Schnittstellen, klare Informationen über Datenverarbeitung und Sicherheitsmaßnahmen sowie die schrittweise Abschaffung von Wechsel- und Übertragungsgebühren. Spätestens ab 2027 sollen solche Kosten vollständig verboten sein. Für Unternehmen bedeutet das: mehr Flexibilität, die Möglichkeit, Multi-Cloud-Strategien umzusetzen, und weniger Abhängigkeit von einzelnen Anbietern.

Zugriff für öffentliche Stellen (zusammenfassender Ausblick)

Schließlich eröffnet der Data Act auch Behörden neue Möglichkeiten, auf Daten zuzugreifen. Dies ist jedoch streng reguliert und auf echte Ausnahmesituationen beschränkt. Wichtig ist dabei, dass sowohl die Interessen der Allgemeinheit als auch die Schutzrechte der Unternehmen gewahrt bleiben.

Wichtige Einzelfragen & Ausnahmen

Datenschutz & DSGVO

Der Data Act ergänzt die Datenschutz-Grundverordnung (DSGVO), ersetzt sie aber nicht. Wenn die Daten, um die es geht, personenbezogen sind (also direkt oder indirekt einer identifizierbaren Person zugeordnet werden können) hat die DSGVO weiterhin Vorrang. Der Data Act schafft keine neue Grundlage, um personenbezogene Daten zu verarbeiten. Vielmehr empfiehlt er, personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, um die Privatsphäre zu schützen, bevor sie weitergegeben werden.

Geschäftsgeheimnisse

Der Schutz von Geschäftsgeheimnissen bleibt auch unter dem Data Act gewahrt. Organisationen müssen kritische Informationen, wie zum Beispiel Herstellungsverfahren oder Algorithmen, nicht offenlegen, wenn der Nachweis erbracht werden kann, dass deren Weitergabe zu einem erheblichen wirtschaftlichen Schaden führen würde. Falls es zu Meinungsverschiedenheiten kommt, bietet der Data Act Mechanismen, um solche Streitfälle vor den zuständigen Behörden zu klären und eine gerechte Lösung zu finden.

Datenanfragen von Behörden

Wenn staatliche Stellen Daten von Organisationen anfordern, müssen sie dies unter strengen Bedingungen tun. Sie müssen den außergewöhnlichen Bedarf (exceptional need) sorgfältig begründen. Die Anfragen sind zudem zeitlich begrenzt und an bestimmte Auflagen gebunden. Eine Datenanforderung ist nur zulässig, wenn die Behörde die benötigten Daten nicht auf andere Weise rechtzeitig beschaffen kann. Um Transparenz zu gewährleisten, hat die EU ein Verfahren festgelegt, das die Prüfung und Veröffentlichung solcher Anfragen vorsieht.

Ihr Weg zur Umsetzung des EU Data Act

Bereiten Sie Ihr Organisation auf die Anforderungen des EU Data Act vor. Mit unserer Beratung entwickeln Sie eine individuelle Strategie, um Datenzugangsrechte, Vertragsprüfungen und technische Anforderungen effizient umzusetzen. So schaffen Sie Transparenz, vermeiden rechtliche Risiken und eröffnen sich neue Geschäftschancen im datengetriebenen Markt.

Weitere Informationen

Fristen, Inkrafttreten & Übergangsregeln

  • 2023

    Veröffentlichung

    Der Data Act wurde als Verordnung (EU) 2023/2854 am 22. Dezember 2023 im Amtsblatt der Europäischen Union veröffentlicht.

  • 2024

    Inkrafttreten

    Die Verordnung trat 20 Tage nach ihrer Veröffentlichung in Kraft, also am 11. Januar 2024.

  • 2025

    Allgemeine Anwendbarkeit

    Die meisten Bestimmungen des Data Acts sind ab dem 12. September 2025 anwendbar. Das bedeutet, dass Organisationen ab diesem Datum die Vorgaben der Verordnung umsetzen müssen.

  • 2026

    Spezifische Pflichten

    Für einige Regelungen gibt es längere Übergangsfristen. Die Pflicht, Nutzern Zugang zu Daten von vernetzten Produkten zu gewähren (Artikel 3 Absatz 1), gilt beispielsweise erst für Produkte, die nach dem 12. September 2026 auf den Markt gebracht werden. Dies soll Herstellern genügend Zeit geben, ihre Produkte und Systeme anzupassen.

  • 2027

    Übergangsphase mit reduzierten Gebühren

    Übergangsphase mit reduzierten Gebühren (Switching / Egress-Charges Zeitplan) bis zum 12. Januar 2027. Ab 12. Januar 2027 sollen Switching-Charges grundsätzlich untersagt sein. Informationen und Transparenzpflichten gelten bereits früher. Diese Staffelung gibt Unternehmen Zeit zur technischen Anpassung.

Praxisleitfaden: Roadmap zur Umsetzung

1. Bestandsaufnahme und Daten-Inventar
Beginnen Sie mit einer umfassenden Bestandsaufnahme. Identifizieren Sie alle vernetzten Produkte und die Related Services, die Ihre Organisation anbietet. Klären Sie, welche Datenarten (product data und related service data) dabei anfallen. Dokumentieren Sie, wo diese Daten gespeichert werden (Cloud, lokale Server) und wer innerhalb der Organisation dafür verantwortlich ist. Dieser Schritt erfordert eine enge Zusammenarbeit zwischen den Rechts-, IT- und Fachabteilungen. Ein genaues Inventar ist die Grundlage für alle weiteren Compliance-Maßnahmen.

2. Vertragsprüfung und Anpassung
Analysieren Sie Ihre Allgemeinen Geschäftsbedingungen (AGB), Service-Level-Agreements (SLAs) und B2B-Verträge daraufhin, ob sie potenziell unfaire Klauseln enthalten. Bereiten Sie neue, Data-Act-konforme Musterklauseln vor. Hierbei können die von der Kommission erwarteten Empfehlungen helfen. Ziel ist es, einseitige Klauseln, die den Datenzugang des Nutzers einschränken, zu beseitigen.

1. Technische Umsetzung und Interoperabilität
Sobald die rechtliche Basis geschaffen ist, liegt der Fokus auf der Technik. Entwickeln Sie Schnittstellen (APIs), um Nutzern einen einfachen Zugang zu ihren Daten zu ermöglichen. Sorgen Sie dafür, dass die Daten in maschinenlesbaren Formaten bereitgestellt werden und erstellen Sie die notwendige Dokumentation. Fördern Sie die Verwendung offener und standardisierter Formate, um die Wechselbarkeit (interoperability) zu erleichtern.

2. Datenschutz und Governance
Sicherzustellen, dass die Verarbeitung personenbezogener Daten der DSGVO entspricht, ist von höchster Priorität. Überprüfen Sie Ihre Datenverarbeitungsprozesse, um die Einhaltung von Grundprinzipien wie der Datenminimierung zu gewährleisten. Erwägen Sie den Einsatz von Pseudonymisierung oder Anonymisierung, um die Privatsphäre der Nutzer zu schützen, bevor Daten weitergegeben werden.

3. Zuständigkeiten und Behördenkontakt
Benennen Sie klare Verantwortlichkeiten. Ein Compliance-Verantwortlicher oder ein Datenschutzbeauftragter sollte federführend für die Einhaltung des Data Acts sein. Organisationen außerhalb der EU müssen unter Umständen einen Rechtsvertreter benennen. Stellen Sie sicher, dass Ihre Kontaktdaten bei den relevanten nationalen Behörden hinterlegt sind.

1. Überprüfung des Geschäftsmodells
Nutzen Sie den Data Act als Chance, Ihr Geschäftsmodell zu überdenken. Überprüfen Sie, wie Sie Daten monetarisieren und legen Sie faire Preise fest. Prüfen Sie, ob neue Services auf Basis von Daten möglich sind, beispielsweise die Etablierung von Daten-Marktplätzen oder die Entwicklung von Mehrwertdiensten.

2. Nutzung der Chancen
Der Data Act kann für Ihr Organisationen ein Wettbewerbsvorteil sein. Durch die verbesserte Datenkontrolle können Sie Vertrauen bei den Kunden aufbauen und eine führende Rolle in der datengetriebenen Wirtschaft einnehmen. Überlegen Sie, wie Sie Daten nicht nur als Produkt, sondern als Grundlage für einen besseren Kundenservice oder neue, innovative Angebote nutzen können.

Konsequenzen für Organisationen: Chancen & Risiken

Chancen

Der Data Act eröffnet eine Vielzahl von Möglichkeiten für Organisationen, insbesondere für kleinere Akteure und Start-ups:

  • Neuer Wettbewerb: Durch den vereinfachten Zugang zu Produktdaten können kleine und mittelständische Unternehmen (KMU) innovative, datengetriebene Produkte und Services entwickeln. Zum Beispiel kann ein kleines Unternehmen eine App zur Überwachung des Energieverbrauchs von smarten Haushaltsgeräten entwickeln oder einen unabhängigen Wartungsservice für E-Fahrräder anbieten. Dies schafft neue Märkte und fördert den Wettbewerb.
  • Innovationsförderung: Offene Schnittstellen und die Pflicht zum Datenaustausch fördern die Entstehung von Plattform-Ökosystemen. Organisationen können auf Basis von Daten, die von verschiedenen Geräten und Diensten stammen, neue Geschäftsmodelle aufbauen. Dies beschleunigt die Entwicklung von Smart-Home-Lösungen, intelligenten Städten und industriellen Anwendungen.
  • Erhöhte Kundenzufriedenheit: Wenn Kunden die Kontrolle über ihre Daten haben und diese einfacher mit Drittanbietern teilen können, steigt ihre Zufriedenheit und ihr Vertrauen in die Produkte. Dies kann die Kundenbindung stärken und neue Zielgruppen ansprechen.

Risiken & Herausforderungen

Die Umsetzung des Data Acts bringt jedoch auch Herausforderungen mit sich, die Unternehmen sorgfältig bewältigen müssen:

  • Hoher Compliance-Aufwand: Organisationen müssen umfassende interne Prozesse einführen. Dazu gehören die Erstellung eines genauen Dateninventars, die Entwicklung sicherer Datenaustausch-Schnittstellen, die Überprüfung und Anpassung aller Verträge (Contract-Reviews) sowie die Durchführung von Datenschutz-Folgenabschätzungen (falls personenbezogene Daten betroffen sind). Dieser Aufwand kann, insbesondere für Unternehmen ohne spezialisierte Rechts- oder IT-Abteilungen, beträchtlich sein.
  • Haftungs- und Wettbewerbsrisiken: Eine falsche Auslegung der gesetzlichen Vorgaben kann schwerwiegende rechtliche Konsequenzen haben. Unternehmen müssen genau wissen, unter welchen Bedingungen sie den Datenzugang verweigern dürfen (z. B. bei Schutz von Geschäftsgeheimnissen). Verstöße gegen den Data Act können mit empfindlichen Sanktionen geahndet werden, die von den Mitgliedstaaten festgelegt werden. Diese Strafen können, ähnlich wie bei der DSGVO, sehr hoch ausfallen.
  • Komplexität bei Datenmanagement und -sicherheit: Der Umgang mit Daten von verschiedenen Geräten und Dienstleistern erfordert robuste technische Systeme. Unternehmen müssen sicherstellen, dass die Daten sicher und in einem kompatiblen Format übertragen werden, um Datenlecks und Sicherheitsrisiken zu vermeiden.
  • Verlust von Wettbewerbsvorteilen: Einige Unternehmen befürchten, dass die Weitergabe von Daten an Dritte ihren Vorsprung am Markt verringern könnte, da Konkurrenten Zugang zu wertvollen Nutzungsmustern oder Einblicken erhalten könnten. Das Gesetz zielt jedoch darauf ab, diese Daten nicht als exklusives Gut, sondern als Grundlage für einen breiteren, offeneren Markt zu betrachten.

FAQs Data Act

Der Data Act ist die EU-Verordnung (Regulation (EU) 2023/2854), die Regeln für fairen Zugang zu Produkt- und Unternehmensdaten, Cloud-Switching und Ausnahmen für öffentliche Stellen festlegt.

Die Verordnung trat nach Veröffentlichung in Kraft. Die Mehrzahl der Pflichten ist ab 12. September 2025 anwendbar, bestimmte Pflichten für neue Produkte greifen ab 12. September 2026 (z. B. Art. 3(1)).

Er gilt grundsätzlich für personenbezogene und nicht-personenbezogene Daten, ist aber der DSGVO untergeordnet. Die DSGVO bleibt maßgeblich für personenbezogene Daten.

Cloud-Provider müssen Transparenz schaffen, Gebühren für Wechsel (Switching-Charges) werden schrittweise reduziert und sollen ab 12.01.2027 grundsätzlich entfallen.

Der Data Act erlaubt in engen, nachgewiesenen Fällen die Verweigerung von Datenzugang, wenn ansonsten schwerer wirtschaftlicher Schaden droht, Streitfälle werden durch zuständige nationale Behörden entschieden.

Mitgliedstaaten legen Sanktionsregeln fest, für bestimmte Kapitel dürfen Aufsichtsbehörden Bußgelder im Rahmen von Art. 83 DSGVO verhängen. Die Sanktionen sollen wirksam, verhältnismäßig und abschreckend sein.

KMU haben Ausnahmen/Schonfristen in bestimmten Bereichen, dennoch empfiehlt sich eine frühe Bestandsaufnahme, Vertragsprüfung und Priorisierung technischer Maßnahmen.

Newsletter-Anmeldung

Fazit: EU Data Act

Der EU Data Act ist ein grundlegendes Regelwerk, das das Datenökosystem in Europa nachhaltig verändern wird. Für Organisationen heißt das konkret: rechtzeitig Vorbereiten (Dateninventar, Vertragstemplates, technische Exportfähigkeit), DSGVO-Konformität sicherstellen und Geschäftsmodelle prüfen, die von besserem Datenzugang profitieren. Die Chancen (neue Services, fairerer Wettbewerb) überwiegen, sofern Organisationen proaktiv handeln.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

DSMS nach DSGVO: Aufbau & praktische Umsetzung

Erfahren Sie alles über Vorlagen, Aufbau und Umsetzung eines DSGVO-konformen Datenschutz-Management-System (DSMS).
Weiterlesen
künstliche intelligenz

KI und Datenschutz in der Praxis

Erfahren Sie, wie Künstliche Intelligenz DSGVO-konform eingesetzt werden kann. Ein praxisnaher Leitfaden.
Weiterlesen
künstliche intelligenz

KI-VO: Regulierung künstlicher Intelligenz

Erfahren Sie alles über die KI-Verordnung der EU und Deutschland: Aktueller Stand, gesetzliche Vorgaben und Auswirkungen.
Weiterlesen