EU Data Act – Handlungsbedarf für datenverarbeitende Unternehmen

Am 12. September 2025 wird der EU Data Act (Verordnung (EU) 2023/2854) nach einer zwanzigmonatigen Umsetzungsfrist in allen EU-Mitgliedstaaten unmittelbar anwendbar. Die Verordnung ist bereits am 11. Januar 2024 in Kraft getreten und bildet einen zentralen Baustein der europäischen Datenstrategie. Ziel ist es, die Nutzung von Daten in der EU fairer, sicherer und nutzerfreundlicher zu gestalten – sowohl im Verhältnis zwischen Unternehmen (B2B) als auch gegenüber Verbrauchern (B2C) und Behörden (B2G).

Der Data Act regelt insbesondere den Zugriff auf und die Weitergabe von Nutzungsdaten aus vernetzten Produkten und damit verbundenen Diensten – etwa bei IoT-Geräten, Smart-Home-Technologien oder Industrieanlagen. Betroffen sind damit zahlreiche Unternehmen, die Daten generieren, speichern oder verarbeiten – unabhängig davon, ob sie Hersteller, Dienstleister oder Plattformanbieter sind.

 

Kerninhalte und Pflichten für Unternehmen:

  • Zugangsrechte zu Nutzungsdaten: Nutzer – sowohl Privatpersonen als auch Unternehmen – erhalten umfassende Rechte auf Zugang zu den von ihnen erzeugten Daten. Diese Daten müssen in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden.
  • Nutzungsrechte: Unternehmen sollten vertragliche Regelungen aufsetzten, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen und um Geschäftsgeheimnisse zu schützen.
  • Pflichten zur Datenweitergabe: Unternehmen können verpflichtet werden, bestimmte Daten auf Anforderung an Dritte oder öffentliche Stellen weiterzugeben – unter Wahrung von Geschäftsgeheimnissen und angemessenen Schutzmechanismen.
  • Vertragsgestaltung: Der Data Act enthält Vorgaben zur fairen Vertragsgestaltung bei der Datenweitergabe zwischen Unternehmen. Missbräuchliche Vertragsklauseln sind unwirksam.
  • Cloud-Portabilität: Anbieter von Cloud-Diensten müssen es ihren Kunden erleichtern, ihre Daten zwischen verschiedenen Diensten zu übertragen (Data Portability). Langfristige Lock-in-Effekte sollen dadurch vermieden werden.

 

Was Unternehmen jetzt tun sollten:

Der Data Act betrifft eine Vielzahl von Wirtschaftsbereichen – von der Industrie über den Gesundheitssektor bis hin zum E-Commerce. Unternehmen sollten daher frühzeitig prüfen, ob und in welchem Umfang sie von den neuen Regelungen betroffen sind, insbesondere, wenn sie:

  • vernetzte Produkte oder digitale Dienste anbieten,
  • Kundendaten oder Gerätedaten speichern,
  • Cloud- oder Edge-Computing-Dienste bereitstellen oder nutzen,
  • in B2B-Partnerschaften Daten austauschen oder analysieren.

Wir empfehlen, bestehende Prozesse zur Datennutzung, Vertragswerke und technische Schnittstellen jetzt auf Konformität mit dem Data Act zu überprüfen. Der Anpassungsaufwand kann erheblich sein, insbesondere im Hinblick auf IT-Systeme, Schnittstellen und die Gestaltung von Nutzerrechten.

Ab dem 12. September 2026 müssen nach dem EU Data Act neu in Verkehr gebrachte, vernetzte Produkte von vornherein so gestaltet werden, dass der Zugang zu den von ihnen generierten Daten für den Nutzer technisch möglich ist ("Access by Design").  Dies gilt für alle neuen Produkte, die ab diesem Stichtag auf den Markt kommen

 

Fazit:
Der EU Data Act markiert einen Paradigmenwechsel im europäischen Datenrecht. Unternehmen sind gut beraten, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen, um zum Stichtag am 12. September 2025 rechtskonform agieren zu können.

Bei Fragen zur Umsetzung des Data Act oder zur datenschutzrechtlichen und IT-rechtlichen Ausgestaltung Ihrer Datenstrategien stehen wir Ihnen jederzeit gerne zur Verfügung.

Zurück