Am 12. September 2025 tritt der europäische Data Act in Kraft (Verordnung (EU) 2023/2854). Der Data Act stellt ein neues europäisches Regulierungsinstrument dar, um den Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten zu ermöglichen sowie den Wechsel zwischen Cloud-Anbietern zu erleichtern. Die EU möchte hierdurch die beherrschende Stellung von Unternehmen, die aufgrund ihrer technischen Überlegenheit auf große Datensilos Zugriff haben, aufbrechen. So sollen Innovation und Wettbewerb in der EU-Datenökonomie gefördert werden. Dies bedeutet: Neue Rechte für Nutzer, aber auch erhebliche Pflichten für Hersteller, Dateninhaber und Cloud-Anbieter.
Im Folgenden geben wir einen praxisnahen Überblick, was der Data Act für Unternehmen bedeutet und welche Schritte jetzt vorbereitet werden sollten.
Zielsetzung des Data Act
Der Data Act verfolgt zwei zentrale Ziele, die im Wesentlichen in Art. 3-8 Data Act und in Art. 23 ff. Data Act geregelt sind:
1. Fairer Zugang zu Daten: Daten, die von vernetzten Produkten und verbundenen Diensten erzeugt werden, sollen nicht länger ausschließlich beim Hersteller oder Anbieter verbleiben. Nutzer – seien es Unternehmen oder Verbraucher:innen – erhalten ein gesetzlich verankertes Recht auf Zugang zu diesen Daten und können dieses auch auf Verlangen an Dritte weitergeben. Dadurch soll die Abhängigkeit vom Hersteller reduziert und neue Geschäftsmodelle, insbesondere im Bereich Wartung, Reparatur und Zusatzservices, möglich werden.
2. Cloud-Switching: Um Abhängigkeiten von einzelnen Cloud-Anbietern (sog. „Log-in-Effekte“) zu vermeiden, müssen Anbieter von Datenverarbeitungsdiensten ihren Kund:innen künftig den Wechsel zu einem Anbieter derselben Dienstart oder ins eigene Rechenzentrum ermöglichen (Cloud-Switching).
Welche Produkte und Daten sind betroffen?
Der Data Act erfasst alle physischen Produkte, die während ihrer Nutzung Daten erzeugen und an ein Netzwerk oder eine Schnittstelle übermitteln können. Ein klassisches Beispiel eines vernetzten Produkts ist das Connected Car. Es können aber auch Maschinen, Haushaltsgeräte oder industrielle Sensoren betroffen sein, sofern sie Informationen über ihren Betrieb oder ihre Umgebung generieren und Daten an die Außenwelt übermitteln können. Gleichermaßen erfasst sind außerdem digitale Dienste, die eng mit diesen Produkten verbunden sind, etwa Apps zur Fernsteuerung oder Cloud-Plattformen für Wartung, Analyse und Optimierung. Auch diese verbundenen Dienste generieren bei ihrer Verwendung Nutzungsdaten, auf die nun auch Nutzer Zugriff erhalten.
Erfasst sind vor allem Nutzungs- und Betriebsdaten: Sensordaten wie Temperatur, Druckwerte, Laufzeiten, Energieverbrauch, Steuerbefehle oder Nutzungsverläufe. Auch die dazugehörigen Metadaten, wie Zeitstempel oder Kontextinformationen, müssen bereitgestellt werden. Nicht erfasst sind hingegen kreative Inhalte wie Texte, Musik oder Videos, die typischerweise urheberrechtlich geschützt sind, sowie abgeleitete oder angereicherte Informationen, die erst durch aufwendige Algorithmen entstehen. In den Anwendungsbereich fallen also in erster Linie die „rohen“ Betriebs- und Nutzungsdaten, die ohne unverhältnismäßigen Aufwand verfügbar sind.
Wer muss welche Pflichten erfüllen?
Der Data Act betrifft sowohl B2B- als auch B2C-Konstellationen. Entscheidend ist dabei nicht, wo das Unternehmen seinen Sitz hat, sondern ob das Produkt oder der Dienst auf dem europäischen Markt angeboten wird. Das sogenannte Marktortprinzip sorgt also dafür, dass auch Anbieter außerhalb der EU die Vorgaben des Data Acts einhalten müssen. Betroffen ist eine Vielzahl von Akteur:innen entlang der digitalen Wertschöpfungskette.
Hersteller von vernetzten Produkten sind unmittelbar verpflichtet, vernetzte Produkte so zu konzipieren, dass Nutzer die generierten Daten in einem maschinenlesbaren Format einfach und direkt vom Gerät abrufen können (sog. „access by design“). Gleiches gilt für Anbieter verbundener digitaler Dienste.
Soweit ein „access by design“ nicht möglich ist, müssen Dateninhaber auf Verlangen der Nutzer die ohne Weiteres verfügbaren Daten in einem maschinenlesbaren Format kontinuierlich und in Echtzeit bereitstellen. Als Dateninhaber gelten dabei nicht nur Hersteller, sondern Unternehmen oder Personen, die die tatsächliche Kontrolle über die Daten haben und über deren Bereitstellung entscheiden können. Hervorzuheben ist zudem, dass unter bestimmten Voraussetzungen auch Dritte ein Recht auf Zugang zu den Daten haben, sofern die Nutzer dies verlangen. Um die Daten selbst weiter nutzen zu dürfen, müssen Dateninhaber zudem Datenlizenzverträge mit den Nutzern schließen.
Die Pflichten zum Cloud-Switching müssen Anbieter von sogenannten Datenverarbeitungsdiensten erfüllen. Anbieter von Datenverarbeitungsdiensten sind Cloud-Anbieter, die Kund:innen flexible und skalierbare Rechenressourcen zur Verfügung stellen. Sofern diese Rechenressourcen Teil des SaaS-Angebots sind, können auch Software-as-a-Service-Anbieter von dieser Regelung betroffen sein.
DSGVO und Geschäftsgeheimnisse
Im Rahmen des Zugangsanspruchs müssen grundsätzlich auch personenbezogene Daten und Geschäftsgeheimnisse bereitgestellt werden. Gleichzeitig gelten die DSGVO und der Schutz von Geschäftsgeheimnissen uneingeschränkt weiter.
Für personenbezogene Daten bedeutet das: Der Data Act schafft keine eigene Rechtsgrundlage für die Verarbeitung. Jede Verarbeitung bleibt an die Voraussetzungen der DSGVO geknüpft. Insbesondere wenn Nutzer und Datenempfänger nicht identisch sind und die Daten personenbeziehbar sind, muss deshalb sichergestellt sein, dass für die Übermittlung eine wirksame Rechtsgrundlage nach der DSGVO vorliegt.
Die Offenlegung von Geschäftsgeheimnissen darf nur in engen Grenzen verweigert werden. Die bloße Einstufung von Daten als vertraulich reicht hierfür jedenfalls nicht aus. Dateninhaber können und sollten geeignete technische und organisatorische Maßnahmen (z.B. Vertraulichkeitsvereinbarungen) verlangen, bevor eine Weitergabe erfolgt. Nur wenn die Geheimhaltung nicht gewährleistet ist oder Anhaltspunkte für einen schweren wirtschaftlichen Schaden bestehen, darf die Herausgabe ausnahmsweise verweigert werden.
Welche Bußgelder drohen bei einem Verstoß?
Verstöße gegen den Data Act können in Zukunft Bußgelder nach sich ziehen, wobei der deutsche Gesetzgeber die Durchsetzungs- und Sanktionsvorschriften bis zum 12. September 2025 noch in nationales Recht umsetzen muss. Laut dem aktuellen Referentenentwurf für ein Durchführungsgesetz sind in Deutschland je nach Art des Verstoßes Sanktionen von bis zu 5 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vorgesehen. Zuständige Aufsichtsbehörde soll die Bundesnetzagentur werden. Soweit personenbezogene Daten betroffen sind, soll jedoch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit ebenfalls zuständig sein.
Gibt es eine Privilegierung für KMU?
Kleinst- und Kleinunternehmen (KMU) sind von den Pflichten zur Bereitstellung von Produkt- und verbundenen Dienstdaten befreit (Art. 7 Data Act). Das heißt: Unternehmen mit weniger als 50 Beschäftigten und bis zu 10 Mio. EUR Jahresumsatz müssen die Pflichten nicht erfüllen. Für mittlere Unternehmen, die weniger als 250 Beschäftigte und bis zu 50 Mio. EUR Jahresumsatz oder bis zu 43 Mio. EUR Jahresbilanz haben, gilt eine Schonfrist von einem Jahr ab Erfüllung dieser Voraussetzungen.
Wann müssen die Pflichten umgesetzt sein?
Der Data Act gilt in Gänze ab dem 12. September 2025. Ab diesem Zeitpunkt müssen auch für bereits im Verkehr befindliche Produkte Daten bereitgestellt werden, sofern sie für den Dateninhaber ohne Weiteres verfügbar sind. Die Pflicht zum „access by design“ gilt hingegen nur für Neuprodukte, die nach dem 12. September 2026 in den Verkehr gebracht werden.
Die Pflichten zum Cloud-Switching gelten für Verträge, die nach dem 12. September 2025 geschlossen wurden. Für Bestandsverträge müssen die Vorschriften erst ab dem 12. September 2027 erfüllt werden, sofern die Bestandsverträge unbefristet oder bis zum 11. Januar 2034 befristet sind.
Sie brauchen Unterstützung, um die neue Regulierung wirksam im Unternehmen umzusetzen? Melden Sie sich gerne hier.
Fazit und Handlungsempfehlungen
Der Data Act etabliert ein neues Regulierungsregime, das erstmals einen Zugangsanspruch zu Daten ermöglicht. Unternehmen müssen sich darauf einstellen, dass der Zugriff auf Nutzungsdaten nicht länger exklusiv beim Hersteller oder Anbieter liegt, sondern Nutzern und Dritten offensteht. Die Verordnung erfordert Anpassungen in Produktdesign, Vertragsgestaltung und Datenmanagement. Wer rechtzeitig Transparenz schafft, Schnittstellen vorbereitet und Schutzmechanismen für Geschäftsgeheimnisse etabliert, kann nicht nur Compliance-Risiken vermeiden. Es besteht auch die Chance, den erweiterten Zugang zu Daten für das eigene Unternehmen zu nutzen, um neue datengetriebene Geschäftsmodelle zu erschließen.
Wir empfehlen die folgenden Schritte, um die neue Regulierung wirksam im Unternehmen umzusetzen:
- Stakeholder zusammenbringen: Datenschutzbeauftragte, IT-Expert:innen, Produktmanagement
- Produktgruppen identifizieren (vernetzte Produkte, verbundene Dienste)
- Dateninventur vornehmen (VVT plus nicht-personenbezogene Daten)
- Datenstrategie implementieren („Kronjuwelen“ kennen und schützen)
- Personenbezug klären
- Schnittstellen zur Bereitstellung der Daten einrichten
- Datennutzungsverträge und Einwilligungen vorbereiten
- Transparenz herstellen
Franziska Mauritz berät als Rechtsanwältin zu Datenschutz, Künstlicher Intelligenz, Wettbewerbsrecht und Datenrecht.
Holen Sie die Datenschutzkanzlei an Bord
Rechtsberatung für Daten, Tech und Marketing
Unterstützung von Unternehmen, Rechtsabteilungen und internen Datenschutzbeauftragten
Benennung zum externen Datenschutzbeauftragten
Echte Lösungen statt nerviger Hindernisse