EU-Datenverordnung (EU Data Act)

EU-Datenverordnung (EU Data Act)

Regeln für den Datenzugang und die Datennutzung

Der EU Data Act verpflichtet Unternehmen zum Teilen, Schützen und Zugänglichmachen von Daten. Zahlreiche Unternehmen, die vernetzte Produkte oder digitale Dienste anbieten, stehen damit vor konkreten Umsetzungsfragen und in vielen Fällen auch vor gravierenden Haftungsrisiken. Doch mit der richtigen Datenstrategie lassen sich die Anforderungen erfüllen.

Kostenlose Erstberatung anfordern

Grundlegendes zum Thema

EU Data Act: Ziele, Akteure und Verhältnis zu anderen Regelungen

EU-Datenverordnung (EU Data Act) Hintergrund

Daten sind längst ein wertvolles Wirtschaftsgut. Mit dem EU Data Act schafft die Europäische Union jetzt verbindliche Regeln dafür, wie Daten genutzt und geteilt werden sollen. Es geht nicht mehr nur ums Sammeln und Auswerten, sondern auch um fairen Zugang und transparente Nutzung.

Der EU Data Act ist ein zentraler Baustein der europäischen Datenstrategie. Er ergänzt bestehende Regelwerke wie die DSGVO und den Data Governance Act und soll eine gerechtere Datenwirtschaft in Europa ermöglichen. Jedoch ist er keine Datenschutzverordnung, sondern ein wirtschaftsrechtliches Regelwerk – die DSGVO bleibt für personenbezogene Daten vorrangig.

Der EU Data Act verfolgt mehrere übergeordnete Ziele: Er soll den Zugang zu Daten aus vernetzten Produkten (z.B. IoT-Geräte mit Datenaustausch) erleichtern, vertragliche Fairness insbesondere gegenüber kleinen und mittleren Unternehmen sicherstellen, den Datenzugang für öffentliche Stellen in Ausnahmesituationen regeln, den Wechsel von Cloud-Anbietern erleichtern und die Interoperabilität von Diensten fördern.

Der EU Data Act ist am 11. Januar 2024 in Kraft getreten und gilt ab dem 12. September 2025. Einzelne Vorschriften, wie „Access by Design“, greifen ab dem 12. September 2026.

Was regelt der Data Act konkret?

Die Verordnung regelt nicht nur den Datenzugang für Nutzer vernetzter Geräte, sondern umfasst eine Vielzahl technischer, wirtschaftlicher und rechtlicher Aspekte. Die folgenden Punkte geben einen Überblick über die zentralen Inhalte des EU Data Act:

  • Zugang zu Daten
    Nutzer von vernetzten Produkten und damit verbundenen Diensten wie Smart-Home-Systemen, Industrieanlagen oder Fahrzeugen erhalten das Recht, auf die von ihnen erzeugten oder beobachteten Daten zuzugreifen. Sie dürfen diese Daten auch an Dritte weitergeben.
  • Pflichten für Dateninhaber
    Hersteller und Dienstanbieter müssen die betreffenden Daten in leicht zugänglicher, maschinenlesbarer Form und möglichst in Echtzeit bereitstellen. Die Weitergabe muss entweder kostenlos oder zu fairen, nicht diskriminierenden Bedingungen erfolgen. Als Dateninhaber gilt, wer über die technische oder rechtliche Kontrolle über die betreffenden Daten verfügt. Dies gilt unabhängig davon, wer die Daten erzeugt hat.
  • Wechsel und Interoperabilität bei Cloud-Diensten
    Anbieter von Cloud- und Edge-Diensten sind verpflichtet, technische und vertragliche Hürden für einen Anbieterwechsel zu reduzieren. Dazu zählen Anforderungen an die Datenportabilität, die Interoperabilität zwischen Diensten sowie die Vermeidung von sogenannten Vendor-Lock-in-Effekten.
  • Schutz vertraulicher Informationen
    Auch wenn Daten bereitgestellt werden müssen, dürfen dabei bestimmte Schutzinteressen der Unternehmen, die sich an den Data Act halten müssen, nicht verletzt werden. Dazu gehören insbesondere Geschäftsgeheimnisse, personenbezogene Daten und die Cybersicherheit. Unternehmen haben deshalb das Recht auf einen Schutz der eigenen Interessen durch angemessene technische und organisatorische Maßnahmen.
  • Nutzung von Daten durch öffentliche Stellen
    Öffentliche Stellen dürfen in bestimmten Ausnahmefällen Zugang zu privaten Daten erhalten, etwa im Fall von Naturkatastrophen, Pandemien oder anderen öffentlichen Notlagen, wenn die benötigten Daten nicht auf anderem Weg verfügbar sind.
  • Fairness in Datenverträgen
    Kleine und mittlere Unternehmen (KMU) sollen vor unfairen Vertragsbedingungen beim Datenzugang geschützt werden. Der Data Act enthält spezielle Klauseln zur Vermeidung einseitig nachteiliger Regelungen in allgemeinen Geschäftsbedingungen großer Anbieter.

Wer ist betroffen?

Der Data Act betrifft eine Vielzahl von Akteuren:

Akteur Beispiel

Hersteller vernetzter Produkte
  • Ein Landmaschinenhersteller, dessen Traktoren während des Betriebs Telemetriedaten erfassen
  • Ein Haushaltsgerätehersteller, der smarte Kühlschränke mit App-Anbindung verkauft
  • Ein Automobilkonzern, dessen Fahrzeuge kontinuierlich Daten zu Fahrverhalten und Fahrzeugzustand aufzeichnen

Anbieter digitaler Dienste
  • Ein Softwareunternehmen, das eine App zur Fernsteuerung und Analyse von Photovoltaikanlagen anbietet
  • Ein Anbieter von Smart-Home-Plattformen, der verschiedene Geräte und Services vernetzt und zentral steuerbar macht
  • Ein Unternehmen, das Predictive-Maintenance-Dienste für Industrieanlagen auf Basis von Maschinendaten anbietet

Cloud- und Edge-Anbieter
  • Ein Hyperscaler wie Amazon Web Services oder Microsoft Azure, der Speicher- und Rechenleistung für IoT-Daten bereitstellt
  • Ein europäischer Cloud-Anbieter, der DSGVO-konforme Datenspeicherung für vernetzte Medizingeräte anbietet
  • Ein Edge-Computing-Anbieter, der lokale Datenverarbeitung in Fabriken oder Fahrzeugflotten ermöglicht, um Latenzen zu minimieren

Dateninhaber und Datenempfänger
  • Ein Maschinenbauer, der Zugriff auf von seinen Produkten erzeugte Betriebsdaten hat
  • Ein Energiedienstleister, der Verbrauchsdaten von Smart-Metern analysiert und weiterverarbeitet
  • Ein Start-up, das von einem Landwirt autorisiert wird, dessen Agrardaten auszuwerten, um die Bodenbewirtschaftung zu optimieren

Nutzer solcher Produkte und Dienste
  • Ein Speditionsunternehmen, das Fahrzeuge mit Telematiksystemen betreibt und auf deren Daten zugreifen möchte
  • Eine Privatperson, die ein vernetztes Heizsystem nutzt und Daten mit einem externen Energieberater teilen will
  • Eine Kommune, die mit intelligenten Straßenbeleuchtungssystemen arbeitet und Zugriff auf Nutzungs- und Ausfalldaten benötigt

Kleinst- und Kleinunternehmen sind von den Verpflichtungen des Data Act ausgenommen. Dies gilt für Unternehmen mit weniger als 50 Mitarbeitenden und einem Jahresumsatz unter 10 Millionen Euro. Eine Ausnahme bilden jedoch Unternehmen, die Teil einer größeren Unternehmensgruppe sind oder als beauftragte Entwickler oder Hersteller vernetzter Produkte agieren.

Plattformbetreiber, die als sogenannte Gatekeeper nach dem Digital Markets Act eingestuft sind, sind vom Anspruch auf Datenzugang ausgeschlossen. Damit soll ein übermäßiger Einfluss marktbeherrschender Akteure verhindert werden.

Verhältnis zu anderen Regelungen

Der EU Data Act ergänzt die bestehenden Datenschutzregelungen, insbesondere die Datenschutz-Grundverordnung (DSGVO), ohne sie zu ersetzen. Personenbezogene Daten dürfen weiterhin ausschließlich im Einklang mit den Vorgaben der DSGVO verarbeitet und geteilt werden. Bevor Daten geteilt oder weiterverarbeitet werden dürfen, ist zu prüfen, ob eine rechtliche Grundlage besteht. Dies kann eine Einwilligung, ein Vertrag oder ein gesetzlicher Erlaubnistatbestand sein. Auch Pflichten wie Datenminimierung, Transparenz und der Schutz von Betroffenenrechten gelten uneingeschränkt.

Zudem ist der Data Governance Act relevant, wenn es um die freiwillige und sichere Bereitstellung von Daten zum Gemeinwohl und im öffentlichen Interesse geht. So schaffen die Regelwerke zusammen einen klaren rechtlichen Rahmen für den verantwortungsvollen Umgang mit verschiedenen Datenarten.

Relevanz für die Praxis

Was bedeutet das für Sie?

EU-Datenverordnung (EU Data Act) Praxis

Der EU Data Act verlangt von Unternehmen, ihre Datenstrategie und -prozesse systematisch zu überprüfen und gegebenenfalls anzupassen. Dabei geht es nicht nur um technische Voraussetzungen, sondern auch um rechtliche und wirtschaftliche Rahmenbedingungen, die das eigene Geschäftsmodell erheblich beeinflussen können.

Was sollten Unternehmen jetzt konkret prüfen?

  • Erfassung nutzergenerierter Daten
    Identifizieren Sie, welche Ihrer Produkte oder Dienstleistungen Daten erzeugen, die von den Nutzern stammen oder von ihnen beobachtet werden. Dazu zählen beispielsweise Telemetriedaten, Sensordaten oder Nutzungsinformationen. Hinweis: Der Data Act betrifft nicht nur nutzergenerierte Daten, sondern auch von Gerät und Nutzer gemeinsam erzeugte Daten (z.B. Maschinenfeedback).
  • Datenzugriffsrechte und Rollen
    Analysieren Sie, wer aktuell Zugriff auf diese Daten hat – intern wie extern. Prüfen Sie außerdem, welche weiteren Akteure künftig gemäß Data Act ein Zugriffsrecht erhalten müssen, etwa die Endnutzer selbst oder von ihnen beauftragte Dritte.
  • Vertrags- und Lizenzbedingungen
    Überarbeiten Sie bestehende Verträge, Nutzungsbedingungen und Lizenzvereinbarungen. Achten Sie darauf, ob sie den Anforderungen des Data Act hinsichtlich Datenbereitstellung, Kosten, Interoperabilität und Schutz vertraulicher Informationen gerecht werden.
  • Technische Infrastruktur
    Evaluieren Sie, ob Ihre aktuellen IT-Systeme, Schnittstellen und Datenplattformen geeignet sind, um Daten in maschinenlesbarer Form und in Echtzeit bereitzustellen. Falls nötig, planen Sie den Aufbau oder die Anpassung technischer Lösungen, die Datenportabilität und Anbieterwechsel ermöglichen.
  • Organisatorische und Compliance-Anforderungen
    Klären Sie, welche organisatorischen Maßnahmen und Kontrollprozesse erforderlich sind, um den gesetzlichen Vorgaben zu entsprechen. Dazu zählen Datenschutz, Datensicherheit und die Sicherstellung fairer Bedingungen in Datenverträgen.
  • Informationspflichten
    Ermitteln Sie, welche Informationen den Betroffenen zur Verfügung gestellt werden müssen und wie am besten die Umsetzung erfolgt.

Anmerkung: Möchten Dateninhaber die generierten Daten selbst wirtschaftlich nutzen, etwa zur Entwicklung eigener Geschäftsmodelle oder zur Weitergabe an Partner, ist eine vertragliche Regelung mit den Nutzerinnen und Nutzern erforderlich, beispielsweise in Form eines Lizenzvertrags.

Mögliche Folgen für Ihre Organisation

Die EU-Datenverordnung bringt weitreichende Veränderungen mit sich, die in vielen Unternehmen strategische Neubewertungen erforderlich machen. So muss die Produktentwicklung künftig den möglichen späteren Datenzugang durch Dritte von Anfang an mitberücksichtigen, sei es bei vernetzten Maschinen, Fahrzeugen oder digitalen Plattformen. Auch bestehende Vertragswerke, etwa mit Kunden, Vertriebspartnern oder Cloud-Dienstleistern, müssen rechtzeitig überprüft und an die neuen Zugriffs- und Bereitstellungspflichten angepasst werden.

Zugleich sind unternehmensinterne Prozesse zur Datenbereitstellung, Freigabe und Dokumentation zu etablieren, um eine rechtssichere und kontrollierte Weitergabe zu gewährleisten. Die Nichtbeachtung dieser Anforderungen kann erhebliche Konsequenzen haben, von vertraglichen Streitigkeiten über den Verlust von Marktanteilen bis hin zu rechtlichen Sanktionen.

Wie unterschiedlich die konkreten Auswirkungen ausfallen können, zeigen folgende Beispiele:

  • Ein Maschinenbauer ist verpflichtet, die von seinen Geräten erzeugten Nutzungsdaten für externe Anbieter von Predictive-Maintenance-Lösungen verfügbar zu machen. Dabei muss er jedoch gleichzeitig sicherstellen, dass seine eigenen Algorithmen und Geschäftsgeheimnisse nicht offengelegt werden.
  • Ein SaaS-Anbieter wiederum muss technisch und vertraglich gewährleisten, dass seine Kunden ihre Nutzungsdaten bei einem Anbieterwechsel problemlos mitnehmen können.
  • Ein Hersteller vernetzter IoT-Geräte darf die Herausgabe von Maschinendaten nicht davon abhängig machen, dass Kunden seine eigenen Nachfolgeprodukte oder kostenpflichtige Serviceverträge nutzen.

Ab dem 12. September 2026 gilt zusätzlich das Prinzip „Access by Design“: Vernetzte Produkte müssen so gestaltet sein, dass Nutzer standardmäßig einfachen, unmittelbaren Zugriff auf die von ihnen erzeugten Daten erhalten, ohne zusätzliche technische Hürden.

Von der Herausforderung zur Lösung

Wie Sie sich rechtskonform und zukunftssicher aufstellen

Die Anforderungen des EU Data Acts sind komplex, sind aber in den Griff zu bekommen, wenn Unternehmen systematisch vorgehen.

Erste Schritte

  • Bestandsaufnahme vornehmen
    Welche Daten werden im Unternehmen erhoben, gespeichert und verarbeitet? Wer ist dafür verantwortlich?
  • Rollen klären
    Wer ist Hersteller, Nutzer, Dateninhaber oder -empfänger?
  • Prozesse aufsetzen
    Wie soll der Datenzugang ermöglicht werden – technisch, rechtlich und organisatorisch?

Wichtige Aspekte

Im Rahmen des weiteren Fortschreitens ist es wichtig, ein breites Spektrum an Aspekten, die mit der Verordnung einhergehen, zu berücksichtigen. Unter anderem sollten Entscheider die folgenden Punkte berücksichtigen:

Aspekt Details

Data-Sharing-Konzept

Wann werden Daten freigegeben, wie erfolgt der Zugriff, wie werden Risiken abgefedert?

Schutz sensibler Informationen

Geschäftsgeheimnisse und Sicherheitsanforderungen müssen rechtlich und technisch abgesichert werden.

Interne Awareness

Fachabteilungen, IT und Legal müssen eingebunden und geschult werden.

Compliance-Verankerung

Die Anforderungen des Data Act sollten in bestehende Managementsysteme integriert werden (z.B. Datenschutz, Informationssicherheit, Vertragswesen).

Unser Angebot

Beratung zum EU Data Act: Fachlich fundiert, praxisnah und integriert

EU-Datenverordnung (EU Data Act) Angebot

Wir unterstützen Sie ganzheitlich dabei, den Data Act nicht nur umzusetzen, sondern strategisch zu nutzen. Unser Ansatz ist interdisziplinär, pragmatisch und auf Augenhöhe mit Ihrem Geschäftsmodell.

Unsere Leistungen im Überblick

  • Analyse Ihrer Betroffenheit
    Welche Produkte, Dienste und Datenflüsse fallen unter den Data Act?
  • Strategische Beratung
    Entwicklung individueller Datenstrategien – sicher, wirtschaftlich sinnvoll, zukunftsorientiert
  • Rechtskonforme Umsetzung
    Unterstützung bei Vertragsgestaltung, Datenbereitstellungsprozessen und technischen Schnittstellen
  • Integration in bestehende Systeme
    Wir binden Data-Act-Anforderungen in Ihre Datenschutz-, Compliance- oder ISMS-Strukturen ein

Jetzt ist der richtige Zeitpunkt

Gestalten Sie Ihre Datenstrategie aktiv, denn der Data Act bringt neuen Rechte und Pflichten mit sich. Wer vorbereitet ist, kann Wettbewerbsvorteile sichern und Risiken minimieren. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch. Wir zeigen Ihnen, wie Sie den Data Act als Chance zur Stärkung Ihrer Datenstrategie nutzen.

C&P Capeletti & Perl – Gesellschaft für Datentechnik mbH
tonies GmbH
Thüga SmartService GmbH
Robert Lindner GmbH
MRK Media AG
Friedrich-Loeffler-Institut – Bundesforschungsinstitut für Tiergesundheit
DRK-Kreisverband Lübeck e. V.
Diamant Fahrradwerke GmbH
Erlenbacher Backwaren GmbH
Froneri Schöller GmbH
Varta AG
Sozialverband Deutschland e.V.

Fragen & Antworten

Hier beantworten wir die häufigsten Fragen zum Thema EU-Datenverordnung (EU Data Act)

Was ist das übergeordnete Ziel des EU Data Act?

Der EU Data Act schafft verbindliche Regeln dafür, wie Daten genutzt und geteilt werden sollen. Er soll den fairen Zugang zu Daten aus vernetzten Produkten erleichtern und eine gerechtere Datenwirtschaft in Europa ermöglichen.

Ist der EU Data Act eine weitere Datenschutzverordnung?

Nein, es handelt sich um ein wirtschaftsrechtliches Regelwerk, das bestehende Regelwerke wie die DSGVO ergänzt. Die DSGVO bleibt für die Verarbeitung personenbezogener Daten jedoch vorrangig und uneingeschränkt gültig.

Welche Konsequenz hat die Verordnung für die Produktentwicklung von Unternehmen?

Die Produktentwicklung muss künftig den möglichen späteren Datenzugang durch Dritte von Anfang an mitberücksichtigen. Dies betrifft die Gestaltung vernetzter Maschinen, Fahrzeuge oder digitaler Plattformen und erfordert eine strategische Neubewertung.

Welche Unternehmen sind von den Pflichten des Data Act ausgenommen?

Kleinst- und Kleinunternehmen sind von den Verpflichtungen des Data Act ausgenommen, wenn sie weniger als 50 Mitarbeitende und einen Jahresumsatz unter 10 Millionen Euro haben. Diese Ausnahme gilt jedoch nicht bei Zugehörigkeit zu einer größeren Unternehmensgruppe.
André Beaujean

Bereit für den nächsten Schritt?

Kontaktieren Sie uns, um mehr über unsere Dienstleistungen zu erfahren oder ein unverbindliches Angebot zu erhalten. Sie erreichen uns unter 0800 5600831 (gebührenfrei) und über unser Kontaktformular.

Kostenlose Erstberatung anfordern