Der EU-Data Act – Was Sie jetzt beachten müssen

Pflicht ab 12. September 2025

Seit dem 12. September 2025 gilt der EU Data Act (DA) als unmittelbar anwendbares Recht in allen Mitgliedstaaten. Für Unternehmen bedeutet dies sowohl neue Verpflichtungen als auch Rechte im Umgang mit Daten. Ein entscheidender Schritt der Europäischen Datenstrategie, die ein sicheres, menschenzentriertes und innovationsfreundliches digitales Ökosystem schaffen soll.

Datengetriebene Geschäftsmodelle sind nicht erst seit kurzem ein erheblicher Faktor für das Wachstum von Volkswirtschaften du viele Unternehmen generieren kontinuierlich technische Nutzungsdaten, die auch für andere Marktteilnehmer von Interesse sind.

Um den Austausch dieser Daten und den daraus resultierenden Mehrwert standardisiert und rechtssicher zu fördern, hat die EU-Kommission die daran beteiligten Akteure sowie deren Rechte und Pflichten definiert.

Was wird mit dem Data Act bezweckt?

Die Anwendung des Data Act soll branchenübergreifend einen transparenten und innovationsfreundlichen Umgang mit Daten gewährleisten. Von den zu schaffenden Datenzugängen und deren Nutzbarmachung (insb. durch Weitergabe), verspricht man sich eine Stärkung der Datensouveränität für Verbraucher sowie die Förderung von datengestützten Innovationen und After-Sales-Services. Gleichzeitig soll somit auch eine faire Verteilung (Demokratisierung) des Datenwertes auf alle Akteure der Datenwirtschaft gewährleistet werden.

Nicht zuletzt bietet die erhöhte Verfügbarkeit der Nutzungsdaten und deren Monetarisierung enorme Chancen, die Wettbewerbsfähigkeit europäischer Unternehmen zu steigern und die Marktmacht außereuropäischer Unternehmen zu beschränken.

Zumal der Data Act ausdrücklich die sogenannten „Torwächter“ von der Berechtigung zum Datenempfang ausschließt. Als Torwächter werden solche „sehr großen Unternehmen“ von der Kommission benannt, die aufgrund ihrer einzigartigen Fähigkeiten bereits im Stande sind, riesige Mengen Daten zu erwerben.

Die EU verfolgt mit ihrer Datenstrategie das Ziel, Bürgerinnen und Bürger zu stärken und gleichzeitig Unternehmen neue Möglichkeiten zu eröffnen. Der Data Act ist ein zentrales Element dieser Strategie und soll die Datenwirtschaft fairer, transparenter und wettbewerbsfähiger machen.

1. Zugänglichkeit von Daten

Hersteller und Anbieter vernetzter Produkte und Dienste, wie z.B. etwa Haushaltsgeräte, Fahrzeuge oder Smart-Home-Lösungen, sind verpflichtet, die dabei entstehenden Daten den Nutzern zugänglich zu machen. Idealerweise erfolgt dies über einen direkten Zugriff.

2. Wechsel zwischen Cloud-Anbietern

Ein weiteres zentrales Ziel ist es, Datenportabilität zu gewährleisten: Nutzerinnen und Nutzer sollen einfach zwischen Cloud-Diensten wechseln können, ohne technische oder vertragliche Hürden.

3. Weiterer Anwendungsbereich als die DSGVO

Der Data Act umfasst alle Daten, die bei der Nutzung vernetzter Produkte oder Dienste entstehen, unabhängig davon, ob ein Personenbezug vorliegt. Damit geht er weit über den Anwendungsbereich der DSGVO hinaus.

Unternehmen sind in doppelter Hinsicht betroffen:

• Als Datenverantwortliche müssen sie die Pflichten des Data Act einhalten.
• Als Nutzer profitieren sie von neuen Rechten, insbesondere beim Einsatz vernetzter Produkte und Dienste.

Wer bislang noch keine Vorbereitungen getroffen hat, sollte spätestens jetzt beginnen, die internen Prozesse an die neuen Anforderungen anzupassen.

https://www.bitkom.org/Presse/Presseinformation/Data-Act-Kaum-Unternehmen-vorbereitet

Ab dem 12.9.2025 können Nutzer von vernetzten Produkten und verbundenen Diensten Zugang zu ihren Daten beim Dateninhaber verlangen.

Ein Produkt gilt dann als „vernetzt“, wenn durch seine Nutzung Daten generiert werden. Gleiches gilt für die „verbundenen Dienste“. Der Adressat der Zugangsersuche, der Dateninhaber, wird in der Regel der Hersteller des Produktes oder der Anbieter des Dienstes sein.

Es muss bereits jetzt ein möglichst direkter Zugang für den Nutzer zu den Daten geschaffen werden. Sollte die direkte Bereitstellung nicht umsetzbar sein, muss ein möglichst einfacher und schneller indirekter Weg zu den Daten durch Wendung an den Inhaber geschaffen werden, über den der Inhaber dem Nutzer oder einem berechtigten Dritten die Daten bereitstellt, beispielsweise über eine App oder ein Online-Portal des Dateninhabers.

Für die Produktdesignpflicht, welche eine Schnittstelle mit direktem Datenzugang für den Nutzer bereits in der Produktkonzeption vorsieht, wurde aufgrund des damit einhergehenden Aufwands, eine verlängerte Umsetzungsfrist gewährt. Die Produktdesignpflicht gilt erst für vernetzte Produkte, die nach dem 12.09.2026 in Verkehr gebracht werden.

Welche Daten sind betroffen?

Die Pflicht findet lediglich für „Rohdaten“ Anwendung. Das heißt, vom Anwendungsbereich erfasst sind sog. Primärdaten, die durch die bloße Nutzung eines vernetzten (d.h. datenerzeugenden) Produktes oder eines damit verbundenen Dienstes generiert werden, beispielsweise durch die Interaktion mit virtuellen Assistenten (Siri, Alexa u.Ä.). Auch Metadaten, die Auskunft über Herkunft und Kontext der (Autor, Erstellungsdatum, Größe und Herkunft der Datei etc.) sind gemäß Art. 3 Abs. 1 Data Act vom Anwendungsbereich erfasst, soweit diese für die Auslegung der Primärdaten erforderlich sind.

Ausgeschlossen von der Bereitstellungspflicht sind im Umkehrschluss also solche Daten, die bereits weiterverarbeitet, veredelt und aufbereitet wurden, etwa durch algorithmische Analysen und andere Methoden.

Der Data Act sieht somit weder vor, Daten zu erstellen, zu ändern oder zu löschen, sondern nur die Daten zugänglich zu machen, die ohnehin schon vorhanden sind. Veranschaulicht werden kann dies durch folgendes Sinnbild: Wir müssen eine Tür zu einem Gebäude schaffen, dessen Innenarchitektur jedoch unverändert bleibt.

Der grundlegende Adressatenkreis des Data Act erstreckt sich auf drei Akteure, die in Art. 2 Nr. 12, 13, 14 legal definiert sind: Nutzer, Dateninhaber und Datenempfänger.

1. Nutzer (User) ist jede natürliche oder juristische Person, die ein vernetztes Produkt oder damit verbundene Dienste rechtmäßig in Anspruch nimmt.
2. Dateninhaber (Holder) ist jede natürliche oder juristische Person, die die rechtmäßige und faktische Kontrolle über die, durch die Nutzung erzeugten Produkt- und Dienstdaten hat. Die Inhaber der Daten sind in der Praxis oft deckungsgleich mit dem Hersteller/Anbieter besagter Produkte und Dienste.
3. Datenempfänger (Recipient) ist jede natürliche oder juristische Person, die im Rahmen ihrer beruflichen oder gewerblichen Tätigkeit die Nutzungsdaten vom Dateninhaber erhält, ohne dabei selbst Nutzer (s.o.) zu sein.

https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/DataAct/Hintergrund/1-Daten/start.html

Stehen Sie in der Pflicht?

Der Data Act sieht eine Vielzahl von Regelungen zum Datenzugang sowie deren Weitergabe und Nutzung vor. Die zentralste Pflicht des Data Acts liegt in der Zugänglichmachung von Daten vernetzter Produkte und damit verbundener Dienste.

Eine Studie der Bitkom aus dem Mai 2025 – also kaum vier Monate – vor dem Wirksamwerden des Data Acts kam zu dem Ergebnis, dass über 50% der Unternehmen denken, dass sie gar nicht vom Data Act betroffen sind. Bitkom-Präsident Dr. Ralf Wintergerst ist hingegen der Ansicht, der Data Act betreffe „so gut wie jedes Unternehmen“.

Man kann davon ausgehen, dass mindestens die Mehrheit der Unternehmen bereits smarte Technologien herstellt, anbietet, betreibt oder bereitstellt und somit vom Anwendungsbereich des Data Act erfasst ist. So gut wie alle Wirtschaftszweige werden vom Data Act betroffen sein, z.B. auch Unternehmen der Bereiche Transport, Logistik, Infrastruktur, Gesundheitswesen, Finanzdienstleister und Betreiber von Online-Plattformen und Cloud-Lösungen (SaaS etc.) sowie Zulieferer der Automobilindustrie.

Vor allem kleinere Unternehmen stehen jetzt vor der großen Herausforderung, ihre IT-Infrastruktur und Datenorganisation rechtssicher und ohne Wettbewerbsnachteile anzupassen.

Was die Verarbeitung personenbezogener Daten betrifft, gilt die DSGVO weiterhin vollumfänglich. Die DSGVO gilt auch weiterhin parallel zum Data Act, wenn entsprechende Datensätze auch personenbezogene Daten enthalten. Hier ergibt sich also bei der Umsetzung des Data Act die Herausforderung, Datenzugangsersuche DSGVO-konform zu erfüllen. An dieser Stelle droht fortan nämlich doppeltes Bußgeldrisiko – bei Nichterfüllung aus dem Data Act und bei Erfüllung mit Datenschutzverstoß aus DSGVO.

Mit dem Inkrafttreten des Data Act entsteht zwar eine zusätzliche Herausforderung und ein zusätzliches rechtliches Risiko für betroffene Unternehmen. Die Vorgaben des Data Act werden jedoch nicht im Widerspruch zu bereits implementierten Datenschutzprozessen stehen. Im Gegenteil: bereits integrierte Datenschutzstrukturen können die Umsetzung des Data-Act begünstigen und unterstützen – beispielsweise, in dem Prozesse zur Erfassung und Dokumentation personenbezogener Daten auch auf den Bereich der nicht-personenbezogenen Daten übertragen werden.

Die Wirksamkeit der Regularien steht nun unmittelbar bevor und der Handlungsbedarf ist für viele Unternehmen akut. In Kürze und nicht abschließend, möchten wir Ihnen im Folgenden einen kurzen Überblick geben, was jetzt für Sie zu tun oder zumindest zu bedenken sein könnte:

• Machen Sie sich bewusst, dass Kunden ab dem 12. September 2025 Zugang zu ihren entsprechenden Daten verlangen können und erhebliche Bußgelder für Verstöße drohen (bis zu 20 Mio.€ oder 4% des Jahresumsatzes).
• Ab dem 12. September 2025 müssen neu platzierte vernetzte Produkte oder damit verbundene Dienste bereits über die Funktion der Datenbereitstellung verfügen.
• Ab dem 12. September 2025 müssen auch die Nutzungsrechte mit Inhaber/Hersteller/Anbieter vertraglich und fair mit dem Nutzer festgelegt werden.
• Prüfen Sie, ob Ihr Unternehmen vom Anwendungsbereich des Data Acts betroffen ist, etwa durch Inventarisierung, Erfassung und Kategorisierung entsprechender Produkte und Dienste.
• Profitieren Sie ggf. selbst als Nutzer oder Datenempfänger!

Falls Ihr Unternehmen vom Data Act betroffen ist:

• Prüfen Sie im Detail, welche Daten generiert werden und wer darauf Zugriff hat.
• Definieren Sie Prozesse und Verantwortlichkeiten für die Datenbereitstellung und damit verbundene Strategien für den Schutz personenbezogener Daten und Geschäftsgeheimnisse (NDAs).
• Bauen Sie ggf. auf bereits vorhandenen Strukturen zum Datenschutz
• Planen und testen Sie die technische Umsetzbarkeit und die Wirksamkeit Ihrer neuen Prozesse und IT-Sicherheitskonzepte.
• Stellen Sie sicher, dass Datentransfer gewährleistet werden kann (Interoperabilität)
• Stellen Sie entsprechende Schnittstellen für den Datenzugriff bereit, sowohl zur Bereitstellung an die User als auch (in bestimmten Fällen) an öffentliche Stellen.
• Integrieren Sie ggf. Prozesse für das sog. „Cloud Switching“ (s.o.).
• Informieren Sie die Nutzer Ihrer Produkte und Dienste transparent darüber, welche Daten generiert werden und wie der Zugang zu den Daten erfolgen kann.
• Erstellen Sie Data Act-konforme Datennutzungsverträge mit dem Nutzer, beachten Sie dabei das Verbot unfairer Vertragsklauseln und die Mustervertragsklauseln der EU-Kommission.
• Prüfen Sie bereits vorhandene Verträge und interne Richtlinien auf Konformität
• Sorgen Sie für die nötige Fachkenntnis Ihrer zuständigen Mitarbeiter zu den rechtlichen und technischen Anforderungen des Data Act.

In diesem 2-stündigen Seminar erhalten Sie einen kompakten Überblick über die Ziele, Inhalte und praktischen Auswirkungen des EU Data Act. Sie lernen, welche neuen Pflichten und Rechte ab dem 12. September 2025 gelten und wie Unternehmen jetzt die Weichen stellen können. Ideal für alle, die in kurzer Zeit die Kernaspekte verstehen möchten.

Jetzt aktiv werden!

Schon ähnlich wie bei Inkrafttreten der DSGVO und beim KI-Act zeigt sich auch in Bezug auf den Data Act: viel Rechtsunsicherheit und wenig Umsetzung.

Eine Studie der Bitkom zeigt deutliches Aufholpotenzial bei deutschen Unternehmen: Nur 1% hatte die Vorgaben im Mai 2025 vollständig umgesetzt – und das kaum vier Monate vor Wirksamwerden der Verpflichtungen. 30% hatten nicht einmal angefangen.

Kompetenz wird also auch hier wieder zum Differenzierungsmerkmal und somit zur Chance auf Wettbewerbsvorteile.

Nutzen Sie unser Seminarangebot, um sich selbst und Ihre zuständigen Fachbereiche für die neuen rechtlichen und technischen Anforderungen fit zu bekommen.