Große FAQ zum Data Act: Das sollten Unternehmen wissen

Am 12.09.2025 treten die meisten Regelungen des Data Acts in Kraft. Die EU-Verordnung betrifft zahlreiche Akteure – von Herstellern vernetzter Produkte über Datenverarbeitungsdienste bis hin zu öffentlichen Stellen. In diesem Beitrag erklären wir die wichtigsten Vorschriften.

1. Was ist der Data Act?

Die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ (EU) 2023/2854 (kurz: Data Act) regelt den Zugang zu und die Nutzung von Daten in der Europäischen Union. Ihr Ziel ist es, einen fairen, sicheren und innovationsfreundlichen europäischen Datenbinnenmarkt zu schaffen.

nach oben

2. Was ist das Data Act-Durchführungsgesetz?

Beim Data Act handelt es sich um eine EU-Verordnung, das heißt in jedem Mitgliedsstaat direkt anwendbares Recht. Der Vollzug des Data Acts liegt jedoch in der Hand der einzelnen EU-Mitgliedsstaaten. Dafür bedarf es nationaler Durchführungsgesetze. Deutschland hat bislang noch kein Data Act Durchführungsgesetz beschlossen. Es liegt aber ein Referentenentwurf des Data Act-Durchführungsgesetz (DA-DG) vor, aus dem sich ergibt, wie Deutschland die Umsetzung und Überwachung des Data Acts plant.

nach oben

3. Ab wann gilt der Data Act?

Der Data Act wurde am 27.11.2023 vom Rat der Europäischen Union verabschiedet. Er trat bereits am 11.01.2024 in Kraft. Die meisten Bestimmungen werden aber erst ab dem 12.09.2025 anwendbar sein.

nach oben

4. Für welche Arten von Daten gilt der Data Act?

Der Data Act gilt für personenbezogene Daten und nicht-personenbezogene Daten. Die DSGVO ist neben dem Data Act anwendbar.

nach oben

5. Wer ist vom Data Act betroffen?

Adressaten des Data Acts sind:

• Hersteller vernetzter Produkte
• Anbieter verbundener Dienste
• Nutzer von vernetzten Produkten und verbundenen Diensten
• Dateninhaber
• Datenempfänger
• Öffentliche Stellen
• Anbieter von Datenverarbeitungsdiensten
• Teilnehmer an Datenräumen und Anbieter von Anwendungen, die intelligente Verträge verwenden, und Personen, deren gewerbliche, geschäftliche oder berufliche Tätigkeit die Einführung intelligenter Verträge für andere im Zusammenhang mit der Durchführung einer Vereinbarung umfasst.

nach oben

6. Was sind vernetzte Produkte?

Ein vernetztes Produkt, (auch Internet of Things-Produkt oder IoT-Produkt genannt), ist ein Gegenstand,

„der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist“ (Art. 2 Nr. 5 Data Act).

Es handelt sich um Produkte, die in der Regel mit Sensoren ausgestattet sind, um Umgebungs- oder Nutzungsdaten aufzunehmen.

nach oben

7. Was sind verbundene Dienste?

Diese Umgebungs- und Nutzungsdaten werden mithilfe sogenannter verbundener Dienste dazu genutzt, das vernetzte Produkt zu betreiben und zu optimieren. Ein verbundener Dienst ist ein

„digitale[r] Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen“ (Art. 2 Nr. 6 Data Act).

nach oben

8. Wie müssen Daten den Nutzern zugänglich gemacht werden?

Vernetzte Produkte und verbundene Dienste müssen so konzipiert und hergestellt bzw. erbracht werden, dass die durch ihre Nutzung entstehenden Daten dem Nutzer des Geräts bzw. des verbundenen Diensts durch den Dateninhaber zugänglich gemacht werden (Art. 4 Data Act). Die Daten müssen unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitgestellt werden.

Der Dateninhaber ist eine natürliche oder juristische Person, die nach dem Data Act, geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (Art. 2 Nr. 13 Data Act). Der Dateninhaber hat die Daten auf Verlangen des Nutzers herauszugeben.

Die Pflicht der Zugänglichmachung kann eingeschränkt werden. Das ist der Fall, wenn die Sicherheitsanforderungen an das Produkt durch die Weitergabe der Daten beeinträchtigt wird (Art. 4 Nr. 2 Data Act) oder die Vertraulichkeit von Geschäftsgeheimnissen gefährdet wird und dem Inhaber des Geschäftsgeheimnisses dadurch ein schwerer wirtschaftlicher Schaden droht (Art. 4 Nr. 6 Data Act). Handelt es sich um personenbezogene Daten, sind die Einschränkungen der Verarbeitung durch die DSGVO zu beachten.

Zum Schutz der Vertraulichkeit von Geschäftsgeheimnissen und dem Schutz personenbezogener Daten können die Parteien technische und organisatorische Maßnahmen vereinbaren (Art. 4 Abs. 6 Data Act).

Der Nutzer kann vom Dateninhaber auch verlangen, dass die betroffenen Daten von ihm benannten Dritten zugänglich gemacht werden (Art. 5 Data Act). Wie der Dritte mit den Daten umgehen soll, regelt Art. 6 Data Act. Insbesondere ist hier zu beachten, dass der Dritte die bereitgestellten Daten nicht dazu verwenden darf, um ein Produkt zu entwickeln, das mit dem vernetzten Produkt des Dateninhabers im Wettbewerb steht. Auch darf er die Daten einem Dritten zu diesem Zweck nicht zur Verfügung stellen.

nach oben

9. Was gilt bei einer Verpflichtung zur Weitergabe von Daten?

Sind Dateninhaber aufgrund eines Gesetzes zur Weitergabe von Daten verpflichtet (etwa aufgrund von Art. 5 Data Act), ist Art. 8 Data Act zu beachten. Dieser stellt Anforderungen an die Vereinbarung und Modalitäten der Weitergabe zwischen den Parteien auf. Das betrifft den Inhalt der Verträge, die zur Abwicklung der Datenweitergabe zwischen den Parteien geschlossen werden.

Die Vereinbarungen, die Grundlage für die Weitergabe von Daten sind, müssen fair, angemessen, diskriminierungsfrei und transparent sein. Insbesondere darf der Dateninhaber Partnerunternehmen oder verbundene Unternehmen keine bevorzugten Bedingungen bei der Weitergabe von Daten einräumen (Art. 8 Abs. 3 Data Act).

Zum Anreiz für Dateninhaber, ihre Daten zu teilen, können die Dateninhaber eine Gegenleistung für die Bereitstellung der Daten verlangen. Die Gegenleistung für die Weitergabe der Daten muss diskriminierungsfrei und angemessen sein. Handelt es sich bei dem Datenempfänger um ein kleines oder mittelständisches Unternehmen (KMU) oder eine gemeinnützige Forschungseinrichtung, ist die Gegenleistung begrenzt auf die für die Bereitstellung der Daten angefallenen Kosten (Art. 9 Abs. 4 Data Act).

Legt der Datenempfänger die Daten unbefugt offen oder nutzt er sie in einer unbefugten Weise, kann der Dateninhaber ihn zu Maßnahmen verpflichten, zum Beispiel die Daten und alle Kopien davon zu löschen oder eine Entschädigung für den Verstoß zu zahlen (Art. 11 Abs. 2 Data Act).

nach oben

10. Was sind missbräuchliche Vertragsbedingungen in B2B-Verträgen?

Der Data Act soll verhindern, dass Machtgefälle zwischen Unternehmen zu unfairen Vertragsgestaltungen führen. Unternehmen sollen ihre wirtschaftliche Überlegenheit und Verhandlungsmacht nicht ausnutzen können, um Verträge über den Datenzugang oder die Datennutzung vorzugeben, die für die andere Partei besonders nachteilig sind. Der europäische Gesetzgeber begegnet diesem Risiko im B2B-Bereich durch das Verbot missbräuchlicher Vertragsbedingungen.

Art. 13 Data Act enthält eine Auflistung von Beispielen missbräuchlicher Vertragsbedingungen. Es handelt sich um Klauseln, die diejenige Partei, die die Klausel einseitig vorgibt, unbillig besserstellen. Eine Klausel gilt als von einer Partei einseitig vorgegeben, wenn die andere Partei keine realistische Möglichkeit hat, auf den Inhalt der Vertragsklausel Einfluss zu nehmen. Stets missbräuchlich sind beispielsweise Vertragsbestimmungen, die die Haftung der einseitig vorgebenden Vertragspartei auf Vorsatz und grobe Fahrlässigkeit begrenzen. Das gilt auch für Klauseln, die der vorgebenden Partei einseitig das Recht einräumen, zu entscheiden, ob die gelieferten Daten vertragsgemäß sind. Eine Generalklausel (Art. 13 Abs. 3 Data Act) gilt für weitere nicht benannte Fälle, in denen eine Vertragsbedingung zu einem unzumutbaren Ungleichgewicht zwischen den Parteien führt.

Ein Verstoß gegen Art. 13 Abs. 1 Data Act führt dazu, dass die missbräuchliche Vertragsklausel für die benachteiligte Partei nicht bindend ist. Ist die Klausel vom restlichen Vertragstext abtrennbar, bleibt der nicht-missbräuchliche Teil erhalten (Art. 13 Abs. 7 Data Act).

nach oben

11. Dürfen öffentliche Stellen die Bereitstellung von Daten verlangen?

Öffentliche Stellen können von Unternehmen unter bestimmten Bedingungen die Bereitstellung von Daten verlangen (Art. 14 Data Act). Das ist möglich, wenn für die öffentliche Stelle eine außergewöhnliche Notwendigkeit besteht, bestimmte Daten zu erhalten, um eine Aufgabe im öffentlichen Interesse zu erfüllen. Es kann sich hierbei um Fälle des öffentlichen Notstands handeln wie beispielsweise Naturkatastrophen, Pandemien oder Cybersecurity-Vorfälle. Für das zur Verfügung stellen der Daten können Dateninhaber, bei denen es sich um KMU handelt, eine Vergütung erhalten.

Auch in Nicht-Notfallsituationen können öffentliche Stellen Daten anfragen – allerdings nur von Unternehmen, die keine KMU sind und nur dann, wenn die öffentliche Stelle nachweisen kann, dass sie die Daten nicht auf dem Markt erhalten konnte. In Nicht-Notfallsituationen können die öffentlichen Stellen nur nicht-personenbezogene Daten verlangen. Die Unternehmen können eine Vergütung erhalten.

Die Nutzung der Daten durch die öffentliche Stelle ist zeitlich befristet.

nach oben

12. Was gilt beim Wechsel zwischen Datenverarbeitungsdiensten?

Nutzer sollen ohne Aufwand zwischen verschiedenen Datenverarbeitungsdiensten wechseln können. Aktuell bestehen häufig Hindernisse wie hohe Wechselkosten oder fehlende Interoperabilität, die zu einem Datenverlust beim Wechselprozess führen können.

nach oben

13. Was ist ein Datenverarbeitungsdienst?

Ein Datenverarbeitungsdienst im Sinne des Data Acts ist

„eine digitale Dienstleistung, die einem Kunden bereitgestellt wird und einen flächendeckenden und auf Abruf verfügbaren Netzzugang zu einem gemeinsam genutzten Pool konfigurierbarer, skalierbarer und elastischer Rechenressourcen zentralisierter, verteilter oder hochgradig verteilter Art ermöglicht, die mit minimalem Verwaltungsaufwand oder minimaler Interaktion des Diensteanbieters rasch bereitgestellt und freigegeben werden können“ (Art. 2 Nr. 8 Data Act).

nach oben

14. Was sind Pflichtregelungen in Verträgen bei einem Anbieterwechsel?

Die Rechte des Kunden und die Pflichten des Anbieters in Bezug auf einen Anbieterwechsel müssen vertraglich festgehalten werden. Art. 25 Data Act enthält Pflichtanforderungen an den Vertragsinhalt:

• Der Anbieterwechsel soll dem Kunden so unkompliziert wie möglich gemacht werden.
• Der Anbieter ist verpflichtet, einen Anbieterwechsel zu ermöglichen und den Kunden dabei zu unterstützen. Dabei sollen die Daten unverzüglich, spätestens 30 Tage nach Ablauf der Kündigungsfrist, übertragen werden.
• Die maximale Kündigungsfrist für den Wechsel darf zwei Monate nicht überschreiten.
• Der Anbieter ist verpflichtet, die exportierbaren Daten und digitalen Vermögenswerte des Kunden nach erfolgreich vollzogenem Wechsel zu löschen.
• Ab dem 12.01.2027 dürfen Anbieter von Datenverarbeitungsdiensten keine Wechselentgelte mehr von ihren Kunden verlangen (Art. 29 Abs. 1 Data Act). Keine Entgelte in diesem Sinne sind Standarddienstentgelte oder Sanktionen bei vorzeitiger Kündigung. Bis zum 12.01.2027 dürfen die Anbieter nur ermäßigte Entgelte erheben. Die ermäßigten Wechselentgelte dürfen die Kosten, die dem Anbieter durch den Wechsel entstanden sind, nicht übersteigen (Art. 29 Abs. 2, 3 Data Act).
• Art. 30 Data Act gibt technische Anforderungen an den Wechsel vor. Insbesondere müssen Anbieter von Infrastruktur as a Service Funktionsäquivalenz sicherstellen. Nach dem Wechsel müssen die Anbieter einen Mindestfunktionsumfang in Bezug auf die exportierbaren Daten und Vermögenswerte gewährleisten. Von altem und neuem Anbieter gemeinsam genutzte Funktionen müssen vergleichbare Ergebnisse liefern. Anbieter von Plattformen und Software-as-a-Services sind verpflichtet, offene Schnittstellen bereitzustellen, um den Export der Daten zu ermöglichen.

nach oben

15. Was gilt bei Datenübermittlungsanfragen ausländischer Behörden?

Sensible Daten, die in der EU verarbeitet werden, sollen nach dem Willen des europäischen Gesetzgebers vor unkontrolliertem oder ungerechtfertigtem Zugriff durch Drittstaaten geschützt werden. Nach Art. 32 Data Act dürfen nicht-personenbezogene Daten, die in der EU gespeichert und verarbeitet werden, daher nur dann auf Anfrage einer ausländischen Behörde offengelegt oder übermittelt werden, wenn:

• dies nicht gegen EU-Recht oder nationales Recht eines Mitgliedstaates verstößt und
• die Offenlegung mit den Grundrechten natürlicher Personen, der öffentlichen Sicherheit, dem Schutz von Geschäftsgeheimnissen oder geistigem Eigentum vereinbar ist.

Dienstanbieter, die solche Daten verarbeiten (z. B. Cloud-Anbieter), müssen:

• prüfen, ob die Drittstaatsanfrage rechtmäßig ist,
• gegen unrechtmäßige oder unverhältnismäßige Anfragen rechtlich vorgehen, sofern möglich,
• und den betroffenen Kunden über das Ersuchen informieren, es sei denn, sie sind gesetzlich zur Verschwiegenheit verpflichtet.

nach oben

16. Was gilt in Bezug auf Interoperabilität?

Der Data Act beschäftigt sich auch mit Anforderungen an Interoperabilität. Interoperabilität ist

„die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen“ (Art. 2 Nr. 40 Data Act).

Interoperabilität fördert die Datenübertragbarkeit aus verschiedenen Datenquellen und die parallele Nutzung verschiedener Dienste. Die Bestimmungen zur Interoperabilität richten sich an Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten und bei denen es sich um Stellen handelt, die die Weitergabe von Daten innerhalb gemeinsamer Datenräume erleichtern, Anbieter von Datenverarbeitungsdiensten und Anbieter von Smart Contracts.

Die Europäische Kommission erarbeitet zur Herstellung gemeinsamer Standards sogenannte delegierte Rechtsakte, in denen sie die Anforderungen des Data Acts präzisiert. Normierungsorganisationen entwickeln zu diesem Zweck einheitliche Normen. Art. 36 Data Act beschäftigt sich mit den Anforderungen an intelligente Verträge für die Ausführungen von Datenweitergabevereinbarungen. Das betrifft beispielsweise die Robustheit, Möglichkeiten der sicheren Beendigung oder Unterbrechung des Vertrags und Zugangskontrolle zu Daten. Der Anbieter von Smart Contracts hat hinsichtlich dieser Anforderungen eine Konformitätsbewertung durchzuführen.

nach oben

17. Welche Beschwerderechte und Sanktionen gibt es?

Natürlichen und juristische Personen steht bei Verstößen gegen den Data Act ein Beschwerderecht zu (Art. 38 Data Act). Die Beschwerde ist bei der jeweils zuständigen Behörde einzulegen. In Deutschland übernimmt die Bundesnetzagentur die Aufgabe der zentralen Aufsichtsbehörde. Zu den weiteren Aufgaben, die der Data Act der Bundesnetzagentur überträgt, gehören die Prüfung von Datenverlangen von öffentlichen Stellen, die Gewährleistung der Abschaffung von Wechselentgelten und die Förderung der Datenkompetenz der Adressaten des Data Acts. Die Mitgliedstaaten haben Gesetze auf den Weg zu bringen, die Sanktionen für Verstöße gegen den Data Act anordnen. Bestimmungen hierzu werden im Data-Act-Durchführungsgesetz enthalten sein.

nach oben

18. Wie ist das Verhältnis von Data Acts und DSGVO?

Der Data Act lässt die Vorschriften der DSGVO unberührt. Soweit personenbezogene Daten verarbeitet werden, ist also die DSGVO zu beachten. Im Kollisionsfall soll das Schutzniveau der DSGVO nicht geschmälert werden, so dass die DSGVO Vorrang vor dem Data Act genießt. Insbesondere muss jede automatisierte Verarbeitung von personenbezogenen Daten auf einen gesetzlichen Erlaubnistatbestand gemäß Art. 6 DSGVO bzw. Art. 9 DSGVO gestützt werden können.

Der Data Act bietet selbst keine Rechtsgrundlage. So muss beispielsweise das Datenzugangsverlangen eines Datennutzers gemäß Art. 4 Data Act auf eine Rechtsgrundlage der DSGVO gestützt werden (Art. 4 Abs. 12 Data Act). Kommt keine Rechtsgrundlage nach der DSGVO in Betracht, hat der Dateninhaber die Daten zu anonymisieren oder kann nur personenbezogene Daten herausgeben, die den Nutzer betreffen.

Hinweis: Dieser Beitrag wurde unter Mitwirkung unserer wissenschaftlichen Mitarbeiterin Laura Hellfeuer erstellt.

nach oben