02.10.2025

Der Data Act – was Unternehmen jetzt beachten müssen

Am 27. November 2023 hat der Rat der Europäischen Union die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (kurz: Data Act) verabschiedet. Dieser gilt nun seit dem 12. September 2025 und ist Teil der europäischen Digitalstrategie. Ziel ist es, einen fairen Zugang zu Daten zu schaffen sowie das sog. Cloud-Switching zu ermöglichen. Der Data Act begründet eine Pflicht der Dateninhaber (bei Produkten typischerweise der Produkthersteller, Verkäufer oder Vermieter) und einen Anspruch der Nutzer (typischerweise der Besitzer des Produkts, gleich ob Verbraucher oder Unternehmer) auf direkten unentgeltlichen Zugang zu den mit der Nutzung generierten Produktdaten und verbundenen Daten, sowie u.U. auch die Weitergabe der Daten an Dritte. Auch öffentliche Stellen können, bei Vorliegen besonderer Umstände, nach den neuen Regeln Zugang zu Daten fordern. Flankiert wird der Zugangsanspruch der Nutzer durch vorvertragliche Informationspflichten. Von den Regelungen des Data Acts sind auch Inhaber von Alt-Datenbeständen umfasst.

Die neuen Regeln gelten für alle europäischen Unternehmen, sowie für nicht-europäische Unternehmen, die in der EU tätig sind.

Bei Nichtbeachtung der Vorschriften des Data Acts drohen Bußgelder und Sanktionen. Denkbar ist auch ein Reputationsverlust bei mangelnder Kontrolle der Nutzer über ihre Daten oder wenn Verstöße öffentlich werden. Zudem drohen Wettbewerbsnachteile, wenn andere Unternehmen früher bzw. umfassender compliant sind.

Der Data Act ergänzt die DSGVO, ersetzt sie aber nicht. Bei personenbezogenen Daten gilt weiterhin die DSGVO vorrangig. Es dürfen also weiterhin personenbezogene Daten nur auf Basis der Rechtsgrundlagen aus der DSGVO weitergegeben werden.

 

Was müssen Sie jetzt umsetzen?

  1. Audit der Datenflüsse

Bevor Sie sich um die Einrichtung der Infrastruktur kümmern, mit der Ihre Kunden die Daten abrufen können, sollten Sie zunächst erfassen, welche Daten Sie wo sammeln, speichern und verarbeiten und an wen sie weitergegeben werden.

  1. Datenzugang und -portabilität

Nutzer erhalten das Recht, auf die von Ihnen erzeugten Daten zuzugreifen und diese an Dritte weiterzugeben. Um der daraus resultierenden Pflicht nachzukommen, müssen Sie technische Schnittstellen bereitstellen, die diesen Zugriff ermöglichen – ähnlich wie bei der DSGVO, aber auch für nicht-personenbezogene Daten.

  1. Vertragliche Transparenz

Alle Datenklauseln in Verträgen mit Drittanbietern (z. B. Cloud-Dienste, Datenlieferanten) müssen fair und transparent sein, Art. 13 Data Act. Es sollten daher alle Verträge (insbesondere Auftragsverarbeitungsverträge und Verträge über gemeinsame Verantwortlichkeit) mit Drittanbietern auf Data-Act-Konformität überprüft werden.

  1. Weitere Anpassungen im Bereich Datenschutz

Es dürften Anpassungen im Datenschutzkonzept, in Datenschutzerklärungen sowie in Einwilligungen nötig werden.

  1. Datenteilung mit öffentlichen Stellen

In bestimmten Fällen müssen Sie Daten auf Anfrage an öffentliche Stellen weitergeben – etwa zur Krisenbewältigung oder für statistische Zwecke. Hier empfiehlt es sich insbesondere im Hinblick auf die mögliche Preisgabe von Geschäftsgeheimnissen ein internes Meldeprozedere festzulegen, so dass im Zweifel der Vorgesetze oder die Geschäftsleitung allein hierüber entscheidet.

  1. Schulung Ihrer Mitarbeiter

Die Mitarbeiter sollten durch Schulungen über die neuen Regeln aufgeklärt und sensibilisiert werden.

 

Ein Artikel von Dr. Jörg Buschbaum und Mona Baron