Der EU Data Act kommt: Was Unternehmen ab September 2025 wissen müssen

19.08.2025

Die digitale Landschaft der Europäischen Union steht vor einem weiteren grundlegenden Wandel. Nach der Datenschutz-Grundverordnung (DSGVO) tritt nun der EU Data Act (Datengesetz) auf den Plan. Diese neue Verordnung, die ab dem 12. September 2025 in vollem Umfang anwendbar sein wird, zielt darauf ab, die Wertschöpfung aus Daten fair zu verteilen und die digitale Souveränität von Unternehmen und Verbrauchern zu stärken. Für Unternehmen ist es höchste Zeit, sich mit den weitreichenden Implikationen dieses Gesetzes auseinanderzusetzen.

Was ist der Data Act und was bezweckt er?

Im Kern bricht der Data Act die bisher oft exklusiven “Datensilos” von Herstellern vernetzter Produkte auf. Bislang lagen die Daten, die von intelligenten Thermostaten, modernen Fahrzeugen oder komplexen Industriemaschinen generiert werden, fast ausschließlich in den Händen der Hersteller. Der Data Act will diese Asymmetrie beseitigen und legt fest, wer unter welchen Bedingungen auf diese Daten zugreifen und sie nutzen darf.

Das Hauptziel ist die Förderung von Innovation und Wettbewerb. Indem Nutzer – seien es Privatpersonen oder Unternehmen – die Kontrolle über die von ihnen erzeugten Daten erhalten, sollen neue Dienstleistungen, fairere Preise (z. B. bei Reparaturen) und eine stärkere europäische Datenwirtschaft gefördert werden.

Die Kernregelungen des Data Acts im Überblick

Für Unternehmen ergeben sich aus dem Data Act vier zentrale Regelungsbereiche mit direkten Handlungspflichten:

  1. Datenzugangs- und -weitergaberechte für Nutzer: Das Herzstück der Verordnung. Nutzer von vernetzten Produkten (z.B. Käufer einer Maschine, Mieter eines Fahrzeugs) erhalten das Recht, kostenlos auf die Daten zuzugreifen, die durch ihre Nutzung entstehen. Wichtiger noch: Sie können den Dateninhaber (meist den Hersteller) anweisen, diese Daten einem Dritten – beispielsweise einem unabhängigen Reparaturbetrieb oder einem Anbieter für vorausschauende Wartung – zur Verfügung zu stellen.
  • Praxisbeispiel Automotive: Ein Speditionsunternehmen least eine LKW-Flotte. Mithilfe des Data Acts kann es vom Fahrzeughersteller verlangen, die Telemetrie- und Betriebsdaten der Fahrzeuge direkt an ein externes Flottenmanagement-Tool weiterzuleiten, um Routen und Wartungsintervalle herstellerunabhängig zu optimieren.
  • Praxisbeispiel Industrie 4.0: Ein produzierendes Unternehmen kann die Sensordaten seiner Fertigungsanlagen einem spezialisierten IT-Dienstleister zugänglich machen, um Prozesse zu analysieren und die Effizienz zu steigern, ohne auf die Software des Maschinenherstellers angewiesen zu sein.
  1. Schutz von Geschäftsgeheimnissen: Die Pflicht zur Datenweitergabe ist nicht grenzenlos. Der Data Act erkennt den Schutz von Geschäftsgeheimnissen explizit an. Bevor sensible Daten geteilt werden, müssen und sollen alle erforderlichen Maßnahmen zum Schutz dieser Geheimnisse getroffen werden, in der Regel durch vertragliche Vertraulichkeitsvereinbarungen (NDAs) mit dem Datenempfänger. Nur in absoluten Ausnahmefällen, wenn ein hohes Risiko eines schweren wirtschaftlichen Schadens droht, kann die Datenweitergabe verweigert werden.
  2. Verbot missbräuchlicher Vertragsklauseln: Der Data Act schiebt einseitig auferlegten, unfairen Vertragsklauseln im B2B-Datenverkehr einen Riegel vor. Eine Klausel, die beispielsweise die Haftung des Daten bereitstellenden Unternehmens für grobe Fahrlässigkeit ausschließt oder einem KMU das Recht zur Kündigung eines Vertrags über Datendienste verwehrt, wird als missbräuchlich und somit als unwirksam angesehen. Die EU-Kommission entwickelt hierzu Mustervertragsklauseln.
  3. Erleichterter Wechsel von Cloud-Anbietern: Um den sogenannten “Lock-in-Effekt” zu bekämpfen, etabliert der Data Act strenge Regeln für Anbieter von Datenverarbeitungsdiensten (Cloud-Provider). Sie müssen Kunden den Wechsel zu einem anderen Anbieter technisch und vertraglich erleichtern. Hindernisse wie unverhältnismäßige Wechselgebühren werden schrittweise abgeschafft, und die Interoperabilität zwischen den Diensten wird gefördert.

Das Spannungsfeld: Data Act und die DSGVO

Eine der zentralen juristischen Herausforderungen ist das Zusammenspiel des Data Acts mit der DSGVO. Der Data Act stellt klar, dass er die DSGVO unberührt lässt – die strengen Regeln zum Schutz personenbezogener Daten gelten uneingeschränkt weiter.

Das bedeutet in der Praxis:

  • Wenn die von einem Gerät erzeugten Daten einen Personenbezug aufweisen (z.B. GPS-Daten eines Fahrzeugs, Nutzungsdaten einer Smartwatch), muss für den Zugriff und die Weitergabe eine gültige Rechtsgrundlage nach Art. 6 DSGVO vorliegen.
  • Die Betroffenenrechte nach der DSGVO (Auskunft, Löschung etc.) bleiben vollständig erhalten.
  • Unternehmen müssen bei der Umsetzung der Data-Act-Pflichten stets auch ihre datenschutzrechtlichen Verpflichtungen prüfen und einhalten. Eine Anonymisierung oder Pseudonymisierung von Daten wird, wo immer möglich, an Bedeutung gewinnen.

Handlungsbedarf für Unternehmen: Was ist jetzt zu tun?

Der Stichtag 12. September 2025 rückt näher. Unternehmen, die vernetzte Produkte herstellen, entsprechende Dienstleistungen anbieten oder solche Produkte in großem Umfang nutzen, sollten umgehend handeln:

  1. Datenströme identifizieren: Verschaffen Sie sich einen Überblick: Welche Daten werden von Ihren Produkten oder Diensten generiert? Wer ist aktuell der “Dateninhaber”? Gibt es darunter personenbezogene Daten oder Geschäftsgeheimnisse?
  2. Technische Infrastruktur prüfen: Sind Ihre Systeme in der Lage, die anfallenden Daten “by Design” zugänglich zu machen und sicher an Dritte zu übermitteln?
  3. Verträge analysieren und anpassen: Überprüfen Sie Ihre Allgemeinen Geschäftsbedingungen, Kauf-, Miet- und Dienstleistungsverträge. Entsprechen sie den neuen Transparenzpflichten und dem Verbot missbräuchlicher Klauseln? Bereiten Sie Standard-Vertraulichkeitsvereinbarungen für die Datenweitergabe vor.
  4. Geschäftsmodelle überdenken: Betrachten Sie den Data Act nicht nur als Belastung, sondern auch als Chance. Können Sie als “Dritter” neue datengetriebene Dienstleistungen anbieten, wenn Sie nun Zugang zu bisher verschlossenen Datenquellen erhalten?

Fazit:

Der Data Act ist mehr als nur eine weitere Regulierung. Er ist ein Paradigmenwechsel in der europäischen Datenwirtschaft. Er zwingt Hersteller zur Offenheit und stärkt die Position der Nutzer. Gleichzeitig schafft er komplexe rechtliche und technische Herausforderungen, insbesondere an der Schnittstelle zum Datenschutz und zum Schutz von Geschäftsgeheimnissen. Eine frühzeitige und strategische Auseinandersetzung mit den neuen Pflichten ist für betroffene Unternehmen unerlässlich, um rechtssicher aufgestellt zu sein und die Chancen des neuen Datenmarktes nutzen zu können.

 

 

Piotr Stojgniew Maluszczak

Piotr Stojgniew Maluszczak

RECHTSANWALT/WIRSTSCHAFTSMEDIATOR

Profil ansehen
Justyna Rulewicz

Justyna Rulewicz

RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)

Profil ansehen

Weitere Artikel

10.11.2025

Ethik als Kern der unternehmerischen KI-Nutzung

Warum “KI-Ethik” geschäftskritisch ist Die Debatte um Künstliche Intelligenz (KI)…

Weiterlesen
28.10.2025

Das Hinweisgeberschutzgesetz (HinSchG) und digitale Meldesysteme: Anforderungen an Informationssicherheit und Datenschutz

Das Hinweisgeberschutzgesetz verpflichtet Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung…

Weiterlesen
13.10.2025

Der relative Anonymisierungsbegriff und seine Folgen für die Praxis

Im Zuge der Entwicklung der Datenwirtschaft in Europa spielen Anonymisierungen…

Weiterlesen
ALLE ARTIKEL

Bleiben Sie auf dem Laufenden!

Alle wichtigen Neuigkeiten zu DataLaw einmal im Monat in Ihrem Postfach.