Kontakt

Home  >  Aktuelles

EU Data Act: Was Unternehmen und Personen die von dem Gesetz profitieren möchten, jetzt wissen müssen

 

Der neue EU Data Act – offiziell ab 12. September 2025 in Kraft – ist ein zentrales Instrument der europäischen Datenstrategie. Ziel ist, die Nutzung und Weitergabe von Daten innerhalb der EU fairer, transparenter und wettbewerbsfördernder zu gestalten. Im Folgenden finden sich die wichtigsten Regelungen, die betroffenen Unternehmen, zentrale Handlungsempfehlungen, die Abgrenzung zur DSGVO sowie die zuständigen Aufsichtsbehörden.

Was regelt der EU Data Act?

Der Data Act regelt insbesondere:

  • Den fairen Zugang zu und die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten (z.B. Maschinen, IoT-Geräte, Fahrzeuge, Smart-Home).
  • Neue Rechte für Nutzer, darunter kostenlosen, sicheren Zugang zu den von ihnen mitverursachten Daten, im strukturierten, maschinenlesbaren Format – auch Metadaten fallen darunter.
  • Verpflichtungen für Hersteller und Anbieter vernetzter Geräte und Dienste, den Datenzugang technisch zu ermöglichen und die Weitergabe an Dritte, etwa auf Wunsch des Nutzers, zu gewährleisten.
  • Erleichterte Anbieterwechsel bei Cloud- und anderen Datenverarbeitungsdiensten sowie Abbau kommerzieller und technischer Hürden.
  • Datenzugangsrechte öffentlicher Stellen bei außergewöhnlichem Bedarf, etwa im Katastrophenschutz.
  • Besondere Schutzmechanismen für die Wahrung von Geschäftsgeheimnissen und Interoperabilität.

Wer ist vom Data Act betroffen?

Betroffen sind:

  • Hersteller und Anbieter vernetzter Produkte aller Branchen (Maschinen, Fahrzeuge, Haushaltsgeräte usw.).
  • Anbieter digitaler Dienste sowie Cloud-, Edge- und Hosting-Services.
  • Nutzer der genannten Geräte und Dienste – sowohl Unternehmen als auch Privatpersonen.
  • Darüber hinaus: Dateninhaber, Datenempfänger, öffentliche Stellen und Anbieter von Smart Contracts (Anmerkung: Ein Smart Contract ist ein selbstausführender digitaler Vertrag, dessen Bedingungen als Computercode direkt in eine Blockchain geschrieben und automatisch ausgeführt werden, sobald vordefinierte Kriterien erfüllt sind).

Wichtig: Auch außereuropäische Anbieter, die Produkte oder Dienste auf dem EU-Markt anbieten (Marktortprinzip), unterliegen den Regeln. Kleinst- und kleinere Unternehmen (unter 50 Mitarbeitenden und unter 10 Mio. € Umsatz/Bilanzsumme) sind von vielen Pflichten ausgenommen, sofern sie nicht Teil eines größeren Konzerns sind.

Was sollten Unternehmen tun?

Empfohlene Schritte für Unternehmen zur Data-Act-Compliance:

  • Anwendungsbereich prüfen: Nicht alle Unternehmen, die Daten verarbeiten, unterliegen den Pflichten aus dem Data Act. In den Anwendungsbereich fallen zunächst Stellen, die als Hersteller, Dateninhaber oder Nutzer mit vernetzten Geräten zu tun haben. Spezifische Pflichten treffen zudem Datenverarbeitungsdienste und Cloud-Anbieter.
  • Bestandsaufnahme: Welche Produkte, Dienste und Prozesse generieren und speichern Daten? Wo liegen diese? Betrifft es Personen- oder Industriedaten?
  • Personenbezug klären: Die Frage, ob Dritten Zugang zu Daten zu gewähren ist, kann nur sinnvoll beantwortet werden, wenn bekannt ist, ob die betreffenden Informationen Personenbezug aufweisen oder nicht.
  • Geschäftsgeheimnisse kennzeichnen: Datenschutz ist nicht der einzige mögliche Hinderungsgrund, der einem Datenzugang entgegenstehen kann.
  • Technische Vorbereitungen: Anpassung der Infrastruktur und Schnittstellen, damit Nutzerdaten bereitgestellt und Drittzugänge ermöglicht werden können.
  • Verträge prüfen: Bestehende Verträge auf Data-Act-Konformität analysieren und Vertragsvorlagen anpassen.
  • Interne Verantwortlichkeiten klar regeln, insbesondere für Zugriffsanfragen und Datenklassifikation.
  • Mitarbeitende schulen, wenn der Data Act das Unternehmen betrifft, insbesondere in IT, Recht und Datenschutz.
  • Laufende Überwachung der Rechtsentwicklung und Nutzung von Leitlinien und Musterverträgen der EU-Kommission.
  • Transparenz: Der Data Act enthält Informationspflichten unter anderem bei Vertragsschluss über ein vernetztes Produkt. Die vorzubereitenden Texte ähneln den Datenschutzinformationen nach Art. 13 DSGVO, sind aber nicht vollständig deckungsgleich.

Wie grenzt sich der Data Act von der DSGVO ab?

  • Die DSGVO regelt ausschließlich personenbezogene Daten und legt den Fokus auf Datenschutz und Datensparsamkeit.
  • Der Data Act umfasst sowohl personenbezogene als auch nicht-personenbezogene (also industrielle) Daten.
  • Im Falle von Überschneidungen gilt grundsätzlich: Die DSGVO hat Vorrang, der Data Act darf datenschutzrechtliche Standards nicht aufweichen.
  • Unternehmen müssen also bei gemischten Datensätzen beide Regelwerke berücksichtigen; personenbezogene Daten dürfen nur weitergegeben werden, wenn auch eine zulässige Rechtsgrundlage nach der DSGVO, z.B. eine Einwilligung der Betroffenen, vorliegt.

An welche Aufsichtsbehörden können sich Betroffene wenden?

  • In Deutschland übernimmt nach dem Referentenentwurf zum DA-DG die Bundesnetzagentur die zentrale Aufsicht über den Data Act.
  • Bei Fragen oder Beschwerden rund um den Datenschutz (personbezogene Daten) bleibt die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig.
  • Auf EU-Ebene können Betroffene auch den Europäischen Datenschutzbeauftragten (EDPS) kontaktieren.

Ausführlich zum Zusammenspiel der DSGVO mit dem Data Act hat sich der Hamburgische Datenschutzbeauftragte in seiner Broschüre „Der Data Act als Herausforderung für den Datenschutz“ Stand 29.4.2025 und III. geäußert:

Der Data Act „gilt unbeschadet des (…) Rechts über den Schutz personenbezogener Daten“. Art. 1 Abs. 5 legt damit fest, dass die DSGVO unberührt von den Bestimmungen des Data Acts ist. Die Vorschrift stellt zudem klar, dass im Fall eines Widerspruchs zwischen beiden Rechtsakten die DSGVO Vorrang genießt. Beide Rechtsakte sind europäische Verordnungen gleichen Ranges, aber sie sind mit einer Kollisionsregel zu Gunsten das Datenschutzes versehen. Damit sind in der Anwendung beide Verordnungen möglichst in Einklang zu bringen. Nur dort, wo ein unauflöslicher Widerspruch entsteht, ist im konkreten Fall die betreffende Vorschrift des Data Acts unangewendet zu lassen, um dem Schutz personenbezogener Daten volle Geltung zu verschaffen.

In der Praxis bedeutet dies, dass kein Datenzugang gewährt werden darf, der nicht als zulässige Datenverarbeitung nach der DSGVO gedeckt ist. Relevant ist dies nur für solche Bestimmungen des Data Acts, die sich auf personenbezogene Daten beziehen. Viele Vorschriften des Data Acts gelten jedoch explizit nur für nichtpersonenbezogene Daten. Ein Beispiel sind die Regelungen zum internationalen Datenverkehr in Art. 31 DA. Unter welchen Voraussetzungen personenbezogene Daten in Drittstaaten versendet werden dürfen, regelt Kap. V. der DSGVO abschließend, während die neuen Einschränkungen des Data Acts ausdrücklich nur für nichtpersonenbezogene Daten gelten. In diesem Themenfeld gibt es daher keine Berührungspunkte zwischen Data Act und DSGVO, sodass beide Rechtsakte parallel zueinander anzuwenden sind.

Das Herzstück des Data Acts betrifft jedoch beide Datenarten: Die Zugangsansprüche für Nutzer:innen und für Dritte gelten sowohl für Daten mit als auch ohne Personenbezug. Ein Datenzugang zu personenbezogenen Daten ist zugleich auch eine Übermittlung beziehungsweise Offenlegung, mithin eine Verarbeitung nach der DSGVO. Nach der Kollisionsregel des Art. 1 Abs. 5 DA ist bei der Gewährung des Zugangs darauf zu achten, dass Datenschutzrechte nicht beeinträchtigt werden. In der Konsequenz bedeutet dies, dass Zugang zu nichtpersonenbezogenen Daten jederzeit zu gewähren ist, wenn die Voraussetzungen vorliegen, Zugang zu personenbezogenen Daten jedoch nur zu gewähren ist, wenn die DSGVO dem nicht entgegensteht. Daten mit Personenbezug dürfen deshalb auch bei Vorliegen der Voraussetzungen aus dem Data Act nur herausgegeben werden, wenn dafür eine Rechtsgrundlage nach Art. 6 DSGVO besteht. Im Fall von besonders schützenswerten Daten im Sinne von Art. 9 Abs. 1 DSGVO muss zusätzlich ein Erlaubnistatbestand nach Abs. 2 gegeben sein.

Weiterführende Links:

Ein Q&A der Kanzlei Gleiss Lutz zum Thema Data Act finden Sie hier , welcher evtl. noch bestehende Fragen beantworten könnten.

Bild von Michael Bock

Michael Bock

Michael Bock, Geschäftsführender Gesellschafter der Daseco GmbH und Inhaber der Rechtsanwaltskanzlei Bock

Neueste Beiträge

 

EuGH zu Datenschutzhinweisen bei Bodycams

Zum Beitrag
 

KDG Novelle 2026. Die neue KDG-DVO

Zum Beitrag
 

KDG-Novelle (2026). Ab März geht es los!

Zum Beitrag

Individuelles Angebot anfragen

Jetzt Kontakt aufnehmen

Wenn Sie an unseren Dienstleistungen interessiert sind, so nehmen Sie mit uns Kontakt auf. Gerne erstellen wir Ihnen ein individuelles Angebot.
+49 2154 481575
WhatsApp
ue.o1768939118cesad1768939118@ofni1768939118 1768939118