Der EU Data Act verändert grundlegend, wer in Europa Zugriff auf von vernetzten Produkten erzeugte Daten hat – und unter welchen Bedingungen. Für Hersteller von IoT-Geräten, Cloud‑Anbieter, Dienstleister, öffentliche Stellen sowie für Nutzer von Smart‑Produkten bringt die Verordnung weitreichende Pflichten und Chancen mit sich. In diesem Beitrag erklären wir Ihnen verständlich, systematisch und praxisorientiert, was der Data Act regelt, wer betroffen ist, welche Fristen gelten und welche konkreten Schritte Sie jetzt unternehmen sollten, um Risiken zu vermeiden und neue Geschäftsmodelle zu nutzen.

Einleitung: Warum der Data Act wichtig ist

Der Data Act (Verordnung (EU) 2023/2854) ist Teil der EU‑Datenstrategie und trat formal am 11. Januar 2024 in Kraft; die meisten Vorschriften sind ab dem 12. September 2025 verbindlich anzuwenden. Ziel ist eine einheitliche rechtliche Grundlage, die den fairen Zugang zu Daten fördert, Wettbewerb stärkt, Interoperabilität herstellt und neue datengetriebene Geschäftsmodelle ermöglicht. Für viele Unternehmen bedeutet das: Nicht‑personenbezogene Gerätedaten werden nicht länger automatisch ausschließlich vom Hersteller kontrolliert, Nutzer erhalten Zugriffsrechte, Drittanbieter können auf Wunsch Daten erhalten, und Cloud‑Dienstleister müssen Wechsel unterstützen.

Ziele und strategischer Kontext der EU‑Datenstrategie

Der Data Act ist kein singuläres Projekt, sondern der zweite Baustein einer umfassenderen EU‑Strategie für Datenmärkte. Zusammen mit dem Data Governance Act (DGA), der DSGVO und Regeln wie dem DMA und DSA zielt die Kommission darauf ab, einen europäischen Binnenmarkt für Daten zu schaffen. Kernziele sind die Beseitigung von Daten‑Silos, die Förderung von Innovation und Wettbewerb, die Stärkung von KMU sowie der Schutz von Verbraucherrechten und Geschäftsgeheimnissen.

Anwendungsbereich: Welche Daten und wer ist betroffen?

Der Data Act bezieht sich primär auf „Produktdaten“ und „verbundene Dienstdaten“, also Roh‑ und vorverarbeitete Daten, die während der Nutzung vernetzter Produkte entstehen und ohne unverhältnismäßigen Aufwand verfügbar sind. Ausgenommen sind abgeleitete, hoch angereicherte oder veredelte Analysen. Die Verordnung gilt branchenübergreifend: Hersteller von IoT‑Geräten (Smart‑Home, Fahrzeuge, Industriemaschinen), Anbieter verbundener Dienste, Cloud‑ und Edge‑Provider, Nutzer (Unternehmen und Verbraucher) sowie öffentliche Stellen können betroffen sein. Kleinst- und kleine Unternehmen genießen Erleichterungen, mittlere Unternehmen haben teilweise Ausnahmen für neue Produkte oder Überschreitungen der Schwellenwerte.

Kernregeln des Data Act – Kapitelübersicht und Praxiswirkung

Der Data Act ist strukturiert in mehrere Kapitel mit jeweils eigenen Regelkreisen: Kapitel II adressiert B2B und B2C‑Datenzugang im IoT‑Kontext; Kapitel III regelt gesetzliche B2B‑Weitergabepflichten; Kapitel IV verbietet bestimmte missbräuchliche Klauseln; Kapitel V ermöglicht B2G‑Zugriffe unter engen Voraussetzungen; Kapitel VI schafft Pflichten für den Anbieterwechsel von Datenverarbeitungsdiensten; Kapitel VII schützt vor unrechtmäßigem Drittstaatzugriff; Kapitel VIII regelt Interoperabilität; Kapitel IX enthält Durchsetzungsregeln. Für die Praxis heißt das: Die Verordnung greift an mehreren Stellschrauben zugleich – technisch, vertraglich und organisatorisch.

Kapitel II–IV: B2C, B2B und missbräuchliche Vertragsklauseln

Der Data Act legt fest, dass Nutzer von vernetzten Produkten (Eigentümer, Mieter, Leasingnehmer) Anspruch darauf haben, dass der Dateninhaber ihnen „ohne weiteres verfügbare“ Daten kostenlos und in maschinenlesbarem Format bereitstellt. Nutzer können zudem verlangen, dass die Daten direkt einem benannten Dritten zur Verfügung gestellt werden. Dessen Nutzung unterliegt vertraglicher Zweckbindung; insbesondere dürfen die Daten nicht zur Entwicklung konkurrierender verbundener Produkte verwendet werden. Dateninhaber dürfen für die Bereitstellung an Dritte eine angemessene Vergütung verlangen; Ausnahmen gelten für KMU und gemeinnützige Forschung.

Im B2B‑Segment regelt Kapitel III verpflichtende Datenaustausche, fair, angemessen und nicht diskriminierend (FRAND). Die Verordnung erlaubt eine Vergütung, limitiert diese aber für kleinere Empfänger. Kapitel IV führt eine Sonder‑AGB‑Kontrolle für einseitig auferlegte Klauseln ein: Bestimmte Klauseln gelten stets als missbräuchlich, andere werden vermutet missbräuchlich zu sein. Klauseln, die z.B. die Haftung für Vorsatz und grobe Fahrlässigkeit unzulässig beschränken oder dem Verwender die einseitige Beurteilung der Datenkonformität einräumen, sind betroffen. Für Unternehmen bedeutet dies, dass Standardverträge und AGB dringend überprüft werden sollten.

Kapitel V: Business‑to‑Government – Herausgabe an Behörden

Kapitel V erlaubt öffentlichen Stellen unter strengen Voraussetzungen den Zugriff auf Daten, wenn eine „außergewöhnliche Notwendigkeit“ vorliegt, z. B. bei Naturkatastrophen, Pandemien oder Sicherheitsvorfällen. In solchen Fällen sind nicht‑personenbezogene Daten grundsätzlich kostenfrei bereitzustellen; bei anderen öffentlichen Aufgaben kann eine angemessene Vergütung vorgesehen sein. Behördenanfragen müssen spezifisch, transparent und verhältnismäßig sein; Schutz von Geschäftsgeheimnissen ist zu wahren und die Löschung der Daten nach Erfüllung des Zwecks zu gewährleisten. Für die Praxis heißt das: Unternehmen sollten bereits im Vorfeld klassifizieren, welche Daten Geschäftsgeheimnisse enthalten und wie sie technisch und vertraglich geschützt werden können.

Kapitel VI: Cloud‑Switching, Interoperabilität und Anbieterwechsel

Ein zentrales Element des Data Act betrifft Datenverarbeitungsdienste (Cloud, Edge, IaaS, PaaS, SaaS). Anbieter müssen Hindernisse für einen Wechsel des Kunden zu einem anderen Anbieter beseitigen und technische sowie vertragliche Unterstützung beim Wechsel leisten. Verträge müssen Regeln zum Wechsel‑prozess enthalten: Kündigungsfristen (max. 2 Monate), Übergangsfristen (max. 30 Tage, mit engen Verlängerungsmöglichkeiten) und die Pflicht zur Löschung exportierbarer Daten nach erfolgreichem Wechsel. Wechselentgelte werden schrittweise abgeschafft; ab 12.01.2027 sind sie unzulässig. Anbieter müssen offene APIs, Dokumentation und ggf. Werkzeuge bereitstellen, um Funktionsäquivalenz zu unterstützen. Für Kunden bedeutet dies erhöhte Mobilität und geringere Lock‑In‑Risiken; für Anbieter steigt der Umsetzungsaufwand beträchtlich.

Verhältnis zum Datenschutz (DSGVO) und praktische Folgen

Der Data Act ergänzt die DSGVO, ohne deren Schutzniveau zu reduzieren. Wo Datensätze personenbezogene Inhalte enthalten, bleibt die DSGVO maßgeblich: Es wird keine eigene Rechtsgrundlage geschaffen. Für den Umgang mit personenbezogenen Daten ist also stets eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich; häufig wird dies in der Praxis eine Einwilligung des Betroffenen oder eine andere zulässige Rechtsgrundlage sein. In vielen Datensätzen vermengen sich personenbezogene und nicht‑personenbezogene Daten, was die praktische Umsetzung verkompliziert: Unternehmen müssen Datensätze klassifizieren, anonymisieren oder pseudonymisieren und geeignete technische und vertragliche Maßnahmen vorhalten. Bei Unsicherheit empfiehlt es sich, datenschutzrechtlich restriktiv zu entscheiden und auf Anonymisierung zu setzen, sofern dies den Zweck nicht beeinträchtigt.

Geschäftsgeheimnisse, Anonymisierung und Sicherheitsanforderungen

Der Data Act versucht, einen Ausgleich zu finden: Einerseits sollen mehr Daten verfügbar werden; andererseits sollen Investitionsanreize und Geschäftsgeheimnisse geschützt bleiben. Dateninhaber können technische und organisatorische Maßnahmen – etwa Pseudonymisierung, Verschlüsselung, in‑situ‑Zugänge oder NDA‑Klauseln – verlangen, um Geschäftsgeheimnisse zu schützen. Ein Dateninhaber darf Daten zurückhalten oder suspendieren, wenn er objektiv nachweist, dass die Offenlegung mit hoher Wahrscheinlichkeit zu einem schweren wirtschaftlichen Schaden führen würde. Solche Einwände sind aber hoch zu beweisen; das Recht zur Verweigerung ist eng und muss der zuständigen nationalen Behörde angezeigt werden. Für Unternehmen bedeutet das: Investieren Sie in Schutzmechanismen und Dokumentation, denn ohne Nachweis wird die Herausgabepflicht durchgreifen.

Durchsetzung, Aufsicht und Sanktionen

Der Data Act delegiert Durchsetzungsaufgaben an die Mitgliedstaaten; zuständige Behörden müssen bestimmte Überwachungs‑ und Sanktionsbefugnisse vorsehen. Die Mitgliedstaaten sind verpflichtet, wirksame, verhältnismäßige und abschreckende Sanktionen vorzusehen. Daneben bestehen zivilrechtliche Rechtsbehelfe für Nutzer und Unternehmen sowie Beschwerderechte bei den zuständigen Behörden. Vor allem die Aussicht auf hohe Bußgelder – analog zu DSGVO‑Dimensionen (z. B. Millionenhöhe oder prozentuale Anteile des Umsatzes) – macht die frühzeitige Compliance für Unternehmen dringlich. In Deutschland wird die Bundesnetzagentur zentrale Aufgaben übernehmen; die Zuständigkeit in Bezug auf personenbezogene Daten verbleibt bei den Datenschutzbehörden.

Umsetzungsschritte: Roadmap für Unternehmen & Checkliste

Unternehmen sollten jetzt pragmatisch, schrittweise und mit klarem Zeitplan handeln. Wir empfehlen folgende Roadmap: Zunächst Betroffenheitsprüfung: Ermitteln Sie, ob und welche Produkte oder Dienste unter den Data Act fallen. Erfassen Sie alle vernetzten Produkte, verbundene Dienste und Datenverarbeitungsdienste. Erstellen Sie ein Dateninventar: Sammeln Sie Metadaten zu jedem Datensatz (Art, Format, erzeugendes Produkt, Speicherung, Retention, Personenbezug, Geschäftsgeheimnisse). Technische Vorbereitung: Implementieren Sie Export‑APIs, Maschinenlesbare Formate (CSV/JSON), Streaming‑Optionen und Authentifizierungsmechanismen. Datenschutz & Anonymisierung: Prüfen Sie personenbezogene Anteile und definieren Sie Anonymisierungs‑ bzw. Pseudonymisierungsprozesse. Recht & Verträge: Überarbeiten Sie AGB, Verkaufs‑/Serviceverträge, Data‑Sharing‑Addenda und Cloud‑Verträge; entfernen Sie missbräuchliche Klauseln; integrieren Sie FRAND‑Prinzipien für B2B‑Datenlizenzen. Interne Prozesse: Benennen Sie eine zentrale Anlaufstelle für Datenanfragen; definieren Sie SLA‑Fristen (Eingangsbestätigung, Lieferung). Geschäftsgeheimnisschutz: Implementieren Sie TOMs und Muster‑NDA‑Klauseln; dokumentieren Sie Schutzmaßnahmen. Cloud‑Switching‑Plan: Entwickeln Sie Exportwerkzeuge, Dokumentationen und Exit‑Pläne; prüfen Sie Funktionsäquivalenz‑Konzeptionen für IaaS/PaaS. Schulung & Governance: Schulen Sie Mitarbeiter; etablieren Sie Reporting und Audit‑Mechanismen. Test & Dokumentation: Führen Sie Testfälle durch (Drittanfragen, Behördenanfragen, Anbieterwechsel) und dokumentieren Sie Ergebnisse. Diese Maßnahmen sollten priorisiert und mit Verantwortlichkeiten sowie Fristen versehen werden, damit die Anforderungen ab 12. September 2025 sicher erfüllt werden können.

Vertragsgestaltung in der Praxis: Tipps und Vertragsbausteine

Verträge spielen eine Schlüsselrolle. Bei Produktverträgen sollten vorvertragliche Informationen klar und leicht zugänglich sein: Art und Umfang erzeugter Daten, Formate, Echtzeitfähigkeit, Speicherorte, Zugangswege und Ansprechpartner. Datenlizenzverträge mit Nutzern regeln, wofür der Hersteller die Daten weiterhin nutzen darf. Data‑Sharing‑Agreements mit Dritten sollten FRAND‑Konditionen abbilden, Zweckbindung, Löschpflichten und Schutz von Geschäftsgeheimnissen festschreiben sowie technische Vorgaben zu Formaten und Zugriffspfaden enthalten. Cloud‑Verträge müssen künftig spezifische Exit‑Klauseln (Fristen, Unterstützungsleistungen, Datenlöschung) und technische Schnittstellen verankern. Vermeiden Sie einseitige Take‑it‑or‑leave‑it‑Klauseln. Planen Sie Anpassungen für Altverträge: Die AGB‑Kontrolle greift teilweise erst später (z. B. 12.09.2027 für Altverträge mit langer Laufzeit), dennoch ist proaktives Handeln ratsam.

Praxisbeispiele: Landwirtschaft, Automotive, Reparaturmarkt

Konkrete Anwendungsfälle zeigen die Reichweite: In der Präzisionslandwirtschaft können Traktoren‑Sensoren Daten zu Bodenfeuchte, GPS, Ertragsprognosen liefern; Landwirte haben künftig Anspruch auf diese Daten und können sie an Agriplattformen weitergeben, um Erträge zu optimieren. In der Autobranche sind Telemetrie‑Daten aus vernetzten Fahrzeugen betroffen; Flottenbetreiber können Wartungsdaten an unabhängige Werkstätten weitergeben. Für den Aftermarket‑Reparaturmarkt eröffnen sich Chancen für unabhängige Dienstleister, die durch Zugang zu Betriebsdaten wettbewerbsfähige Services anbieten. Cloud‑Provider müssen Migrationspfade anbieten, damit etwa ein KMU seine Buchhaltungsdaten problemlos zu einem anderen Anbieter migrieren kann. Diese Beispiele zeigen: Die Verordnung fördert Wettbewerb und Innovation, stellt aber auch Anforderungen an Schutz und Governance.

FAQ: Häufige Fragen kurz beantwortet

Gilt der Data Act für kleine Start‑ups? Kleinst‑ und Kleinunternehmen sind grundsätzlich ausgenommen, es sei denn, sie sind Partner größerer Unternehmen oder Teil eines Konzerns. Mittelgroße Unternehmen müssen im Regelfall mit Pflichten rechnen. Muss ich personenbezogene Daten herausgeben? Nicht ohne datenschutzrechtliche Rechtsgrundlage. Sind personenbezogene Daten betroffen, gilt weiterhin die DSGVO. Können Hersteller die Herausgabe wegen Geschäftsgeheimnissen verweigern? Nur in engen Ausnahmefällen, wenn der Dateninhaber konkret nachweist, dass die Offenlegung mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden verursachen würde. Was droht bei Verstößen? Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen vorsehen; neben Bußgeldern sind auch Anordnungen und zivilrechtliche Ansprüche möglich. Ab wann gelten die Regeln? Die Verordnung trat am 11.01.2024 in Kraft; die meisten Vorschriften werden ab dem 12.09.2025 anwendbar, mit weiteren Übergangsregelungen (z. B. Designpflichten 12.09.2026, Abschaffung von Wechselentgelten 12.01.2027).

Schlussfolgerung

Der EU Data Act ist ein Meilenstein für den europäischen Datenraum. Er überträgt Nutzern weitreichende Zugriffsrechte auf die von ihnen mitverursachten Gerätedaten, stärkt Wettbewerb und Interoperabilität und schafft neue Chancen für KMU und Drittanbieter. Gleichzeitig verlangt die Verordnung von Unternehmen erhebliche organisatorische, technische und vertragliche Anpassungen. Unternehmen, die frühzeitig ein Dateninventar erstellen, technische Export‑ und Schnittstellenlösungen implementieren sowie ihre Verträge und Datenschutzprozesse anpassen, werden die Vorteile besser nutzen und Risiken vermeiden. Die zentralen Handlungsfelder sind: Datensichtbarkeit (Inventar), Datenschutzkonformität, technische Exportfähigkeit, Schutz von Geschäftsgeheimnissen und faire, transparente Vertragsgestaltung.

Handeln Sie jetzt – Angebot von LEGAL SMART

LEGAL SMART unterstützt kleine und mittelständische Unternehmen, Service‑Provider und Hersteller praxisorientiert bei der Umsetzung der Data‑Act‑Pflichten. Wir bieten eine strukturierte Bestandsaufnahme (Dateninventar), Vertrags‑Review (AGB‑ und Cloud‑Verträge), Muster‑Data‑Sharing‑Addenda (FRAND‑konform), technische Spezifikationen für Export‑APIs sowie Schulungen für interne Prozesse. Vereinbaren Sie jetzt ein unverbindliches Erstgespräch zur Erarbeitung Ihrer individuellen Umsetzungs‑Roadmap.