Author Rechtsanwalt Dr. Tobias Beltle

Data Act der EU (Deutsche Fassung): Chancen und Herausforderungen für Unternehmen

Veröffentlicht am Categories Blog Tags

Der Data Act der Europäischen Union – Neue Pflichten und Chancen im Umgang mit industriellen und nutzergenerierten Daten

Am 11. Januar 2024 ist mit der Verordnung (EU) 2023/2854 – dem sogenannten Data Act – ein zentrales Datengesetz der europäischen Datenstrategie in Kraft getreten. Die Verordnung ist ab dem 12. September 2025 unmittelbar in allen Mitgliedstaaten anwendbar. Ziel ist es, einen einheitlichen Rechtsrahmen zu schaffen, der den Zugang zu und die Nutzung von Daten – insbesondere aus vernetzten Geräten und Diensten – innerhalb der Europäischen Union zu regulieren, zu standardisieren und zu fördern.

Für Unternehmen bedeutet das: Neue Verpflichtungen, insbesondere zur Bereitstellung von Nutzungsdaten, aber auch neue Möglichkeiten im Rahmen datengestützter Geschäftsmodelle. Der Beitrag gibt einen strukturierten Überblick über die wesentlichen Inhalte und zeigt auf, welche praktischen Schritte jetzt erforderlich sind.

Regelungsziel und Einordnung

Der Data Act ist Teil der EU-Datenstrategie (Mitteilung COM(2020) 66 final) und ergänzt frühere Regelwerke wie die Verordnung (EU) 2018/1807 über den freien Fluss nicht-personenbezogener Daten und den Data Governance Act (Verordnung (EU) 2022/868). Im Gegensatz zu diesen setzt der Data Act auf verpflichtende Datenzugänge – sowohl im Verhältnis zwischen Unternehmen und Nutzern (B2C/B2B) als auch gegenüber der öffentlichen Hand (B2G). Der Entwurf des Data Act wurde im Rahmen eines umfangreichen Konsultationsverfahrens mit Beteiligung von Behörden, Verbänden, der Kommission und zivilgesellschaftlichen Akteuren entwickelt.

Ziel ist es, eine funktionierende europäische Datenwirtschaft zu schaffen und  durch geregelte Zugriffsmöglichkeiten Mehrwerte für Wirtschaft, Staat und Verbraucher zu erzeugen.

Anwendungsbereich und Grundbegriffe

Die Verordnung gilt gemäß Art. 1 Abs. 1 Data Act für:

  • die Nutzung und Weitergabe von Daten aus vernetzten Produkten und Diensten,
  • den Zugang zu Daten durch Dritte,
  • den Datenzugang durch öffentliche Stellen in Ausnahmefällen,
  • die Interoperabilität von Datenverarbeitungsdiensten.

„Daten“ im Sinne des Art. 2 Nr. 1 Data Act umfassen sowohl personenbezogene als auch nicht-personenbezogene digitale Inhalte, womit ein Zusammenspiel mit der DSGVO in vielen Fällen unvermeidlich ist. Maßgeblich sind insbesondere Nutzungsdaten, die durch die tatsächliche Verwendung von Produkten und Diensten entstehen – etwa bei Industrieanlagen, Fahrzeugen oder vernetzten Haushaltsgeräten.

Datenzugangsrechte von Nutzern (Art. 3–8)

Ein Kernbereich der Verordnung sind die neuen Datenzugangsrechte für Nutzer:

  • Hersteller und Anbieter vernetzter Produkte müssen sicherstellen, dass Nutzer Zugriff auf sämtliche von ihnen erzeugte Daten erhalten (Art. 4 Abs. 1).
  • Der Datenzugang hat ohne unangemessene Verzögerung, kostenlos und in einem allgemein anerkannten strukturierten, maschinenlesbaren Format zu erfolgen – und auf Wunsch auch kontinuierlich.
  • Nutzer erhalten das Recht, diese Daten an Dritte zu übertragen, etwa zur Nutzung durch alternative Dienstleister oder Wettbewerber (Art. 5).

Diese Verpflichtungen gelten grundsätzlich für alle vernetzten Produkte, die während der Nutzung Daten generieren. Entscheidend ist, ob Nutzer mit dem Produkt interagieren und dabei digitale Spuren hinterlassen. Für viele Unternehmen bedeutet das, ihre bestehenden Produkte und Dienste genau zu prüfen und ggf. anzupassen.

Technischer Datenzugang als Gestaltungsanforderung in der Produktentwicklung

Besonders praxisrelevant ist die Pflicht, Produkte künftig so zu gestalten, dass ein Datenzugang technisch möglich ist – eine Art „Access by Design“-Pflicht. Zwar wird dieser Begriff nicht wörtlich im Data Act verwendet, er beschreibt aber anschaulich die Intention der Verordnung: Für ab dem 12. September 2026 in Verkehr gebrachte Produkte gilt die Anforderung verbindlich. Unternehmen müssen daher bereits in der Entwicklungsphase sicherstellen, dass Datenschnittstellen und Zugriffskonzepte vorhanden sind. Dies betrifft insbesondere:

  • die Struktur und das Format der Datenbereitstellung,
  • die sichere Authentifizierung von Nutzern und Empfängern,
  • die Möglichkeit zur Echtzeitübertragung im Betrieb.

Entwicklungsabteilungen sind daher gefordert, den künftigen Datenzugang frühzeitig in ihre technische Planung und ihre Pflichtenhefte zu integrieren.

Schutz vor unfairen Vertragsklauseln (Art. 13 ff.)

Besonders relevant für die Praxis ist der Katalog unzulässiger Vertragsklauseln in Art. 13 bis 17 Data Act. Damit soll verhindert werden, dass Unternehmen durch vertragliche Gestaltung den gesetzlich vorgesehenen Datenzugang einschränken oder umgehen. Unwirksam sind insbesondere:

  • einseitige Ausschlüsse der Datenweitergabe,
  • übermäßige Haftungsfreistellungen zu Lasten des Datenempfängers,
  • unangemessen kurze Fristen oder überhöhte Entgelte.

Diese Regelungen ähneln bekannten Grundsätzen aus dem AGB-Recht (§§ 305 ff. BGB), gehen aber in ihrer sektorspezifischen Ausgestaltung deutlich weiter. Sie greifen insbesondere bei Standardvertragsbedingungen, also einseitig vorgegebenen Vertragsklauseln, und setzen ein Ungleichgewicht der Verhandlungsmacht zwischen den Parteien voraus. Unternehmen sollten bestehende Vertragsmuster einer sorgfältigen Prüfung unterziehen – insbesondere bei der Gestaltung von Lizenz-, SaaS- und Kooperationsverträgen.

Datenzugang durch die öffentliche Hand (Art. 14–22)

Der Data Act sieht zudem vor, dass öffentliche Stellen unter engen Voraussetzungen Daten von Unternehmen anfordern dürfen. Voraussetzung ist das Vorliegen einer „außergewöhnlichen Notlage“, insbesondere bei:

  • Naturkatastrophen,
  • Pandemien,
  • öffentlichen Notständen mit erheblicher Gefahr für Leben, Umwelt oder Sicherheit.

Die Anforderungen an Transparenz, Verhältnismäßigkeit und Zweckbindung der Datennutzung sind hoch (Art. 15), dennoch müssen sich datenintensive Unternehmen auf entsprechende Szenarien vorbereiten.

Interoperabilität und Portabilität bei Datenverarbeitungsdiensten (Art. 23–30)

Ein weiterer Schwerpunkt der Verordnung ist die Erleichterung des Wechsels zwischen Cloud-Anbietern und anderen Datenverarbeitungsdiensten. Ziel ist es, sogenannte Vendor-Lock-ins zu vermeiden.

Die Pflichten umfassen u.?a.:

  • transparente Vertragsbedingungen über die Migration,
  • Unterstützung bei der technischen Datenportabilität,
  • schrittweise Abschaffung von Wechselentgelten.

Verhältnis zur DSGVO

Der Data Act lässt die Datenschutz-Grundverordnung unberührt (Art. 1 Abs. 5). Das bedeutet: Personenbezogene Daten dürfen nur dann im Rahmen des Data Act bereitgestellt oder weitergegeben werden, wenn dafür eine datenschutzrechtliche Rechtsgrundlage besteht.

Unternehmen müssen daher zwingend prüfen, ob ein Datenzugang datenschutzkonform möglich ist – etwa durch:

  • Einwilligungen (Art. 6 Abs. 1 lit. a DSGVO),
  • gesetzliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) oder
  • berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) bei entsprechender Abwägung.

Durchsetzung, Ausnahmen und Fristen

Die Verordnung gilt ab dem 12. September 2025 unmittelbar in der gesamten EU. Für bestimmte Verpflichtungen, insbesondere die Anforderungen an die technische Gestaltung („Access by Design“), ist eine Übergangsfrist bis 12. September 2026 vorgesehen (vgl. Art. 3 Abs. 2). Zur effektiven Umsetzung auf nationaler Ebene ist mit dem Erlass eines ergänzenden Durchführungsgesetzes zu rechnen, das die administrativen Zuständigkeiten und Befugnisse der zuständigen Behörden konkretisiert. Zudem sieht Art. 7 Abs. 1 Data Act Ausnahmen für kleine und mittlere Unternehmen (KMU) vor: Diese sind grundsätzlich nicht verpflichtet, Daten bereitzustellen, es sei denn, sie gehören zu einem größeren Unternehmensverbund. Dennoch sollten KMU die Auswirkungen auf eigene Produkte, Kundenerwartungen oder vertragliche Verpflichtungen sorgfältig prüfen.

Handlungsempfehlung: Checkliste für Unternehmen

Zur strukturierten Vorbereitung auf den Data Act empfehlen wir folgende Schritte:

  • Produktanalyse:Welche Produkte gelten als „vernetzt“? Entstehen dabei nutzergenerierte Daten?
  • Vertragsprüfung:Enthalten bestehende Verträge unzulässige Einschränkungen oder Klauseln?
  • Datenzugang planen:Sind die technischen Voraussetzungen für die strukturierte Bereitstellung vorhanden?
  • Zugriffsrechte Dritter berücksichtigen:Wie sollen Anfragen durch externe Dienstleister oder Kunden abgewickelt werden?
  • Datenschutz evaluieren:Wie wird die DSGVO-konforme Weitergabe personenbezogener Daten gewährleistet?

Unsere Beratung zum Data Act

Als spezialisierte Kanzlei im IT- und Datenschutzrecht unterstützen wir Sie bei der rechtssicheren und praxistauglichen Umsetzung des Data Act. Wir prüfen und gestalten:

  • Technisch-rechtliche Datenfreigabestrategien,
  • Verträge und AGB im Hinblick auf Klauselverbote,
  • Datenschutzkonforme Umsetzungen inkl. DSFA,
  • Cloud-Portabilitätsregelungen und Exit-Szenarien,
  • Schulungen für Ihre Fachabteilungen und Legal Teams.

Unsere Erfahrung zeigt: Eine frühzeitige und vorausschauende Anpassung der vertraglichen und technischen Strukturen vermeidet Risiken und stärkt die Datenstrategie Ihres Unternehmens.

Kontaktieren Sie uns gerne für ein unverbindliches Erstgespräch zur Lage Ihres Unternehmens im Hinblick auf den Data Act.

Haben Sie Fragen oder benötigen Sie weitere Informationen?
Rechtsanwalt Dr. Tobias Beltle berät Sie gerne.

Rechtsanwalt Dr. Tobias Beltle ist Fachanwalt für gewerblichen Rechtsschutz, Fachanwalt für Informationstechnologierecht (IT-Recht) und Mediator. Er ist in seiner anwaltlichen Tätigkeit spezialisiert in den Bereichen des gewerblichen Rechtsschutzes und des IT-Rechts.

Alle Beiträge von Rechtsanwalt Dr. Tobias Beltle anzeigen