Beratungstermin

Data Act gilt: Neue Pflichten und Chancen für Unternehmen

  • EU-Recht
Bild: markus-winkler-kA7zREkzrBw-unsplash

Seit dem 12. September 2025 ist der Data Act (Verordnung (EU) 2023/2854) in allen EU-Mitgliedstaaten unmittelbar anwendbar. Ziel ist es, das Potenzial bislang ungenutzter Daten – insbesondere aus dem Bereich vernetzter Produkte – besser nutzbar zu machen. Für Unternehmen bedeutet dies: mehr Transparenz, neue Rechte für Nutzer, aber auch zusätzliche Pflichten für Hersteller, Anbieter und Cloud-Dienste.

 

Ziel des Data Act

Bisher bleiben rund 80 % der Industriedaten ungenutzt. Der Data Act soll dies ändern, indem er den Zugang zu Daten erleichtert, Innovation fördert und verhindert, dass nur wenige große Anbieter Kontrolle über Daten ausüben. Besonders Nutzer von IoT-Geräten (Internet of Things) sollen künftig selbst entscheiden können, wie mit den von ihnen erzeugten Daten umgegangen wird.

 

Wer ist betroffen?

Die Verordnung gilt für:

  • Hersteller und Anbieter vernetzter Produkte (z. B. Maschinen, Fahrzeuge, Smart-Home-Geräte)
  • Nutzer dieser Produkte (Unternehmen und Verbraucher)
  • Anbieter digitaler Dienste, die mit IoT-Produkten verbunden sind (z. B. Apps)
  • Cloud- und Plattformanbieter

Kleinst- und Kleinunternehmen (bis 50 Mitarbeiter und bis 10 Mio. € Umsatz/Bilanzsumme) sind grundsätzlich ausgenommen. Für mittlere und große Unternehmen greifen die Pflichten dagegen umfassend.

 

Rechte und Pflichten im Überblick

1. Datenzugang für Nutzer

  • Nutzer erhalten kostenlosen, direkten und ggf. Echtzeit-Zugang zu den durch Produkte und Dienste generierten Daten.
  • Hersteller müssen ihre Produkte so gestalten, dass dieser Zugriff technisch möglich ist („Access by Design“).
  • Vor Vertragsabschluss besteht eine Pflicht zur umfassenden Information (Datenumfang, Zugriffsmöglichkeiten, Weitergabeoptionen).

2. Datenweitergabe an Dritte

  • Nutzer können verlangen, dass Daten auch an Dritte – sogar an Wettbewerber – weitergegeben werden.
  • Dafür ist ein Datenlizenzvertrag erforderlich.
  • Eine angemessene Gegenleistung darf verlangt werden, nicht jedoch von Kleinst- und Kleinunternehmen.

3. Cloud-Anbieter

  • Wechsel zwischen Cloud-Anbietern muss künftig einfach, schnell und kostenlos möglich sein.
  • Wechselentgelte sind bis 2027 schrittweise abzuschaffen.
  • Anbieter müssen Interoperabilität und Datenportabilität gewährleisten.

4. Öffentliche Stellen

  • Erhalten in bestimmten Fällen Zugriffsrechte auf Unternehmensdaten, etwa bei Naturkatastrophen oder anderen Notlagen.
  • In solchen Fällen kann die Datenbereitstellung auch unentgeltlich verlangt werden.

5. Geschäftsgeheimnisse

  • Auch wenn Daten Geschäftsgeheimnisse enthalten, sind sie bereitzustellen.
  • Voraussetzung: technische und organisatorische Schutzmaßnahmen sowie Geheimhaltungsvereinbarungen.

6. Personenbezogene Daten

  • Die DSGVO bleibt unverändert gültig.
  • Für personenbezogene Daten ist weiterhin eine Rechtsgrundlage erforderlich (z. B. Art. 6 oder 20 DSGVO).
  • Unternehmen sollten wo möglich Anonymisierung oder Pseudonymisierung einsetzen.

 

Sanktionen

Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.
In Deutschland wird die Bundesnetzagentur (BNetzA) für die Durchsetzung zuständig sein, während der BfDI weiterhin die Einhaltung der DSGVO überwacht.

 

Was Unternehmen jetzt tun sollten

  • Datenströme analysieren: Welche Daten entstehen, wo werden sie gespeichert, wer hat Zugriff?
  • Technische Umsetzung prüfen: Ist ein Echtzeit-Zugriff möglich?
  • Verträge anpassen: Lizenzverträge, AGB und Nutzungsbedingungen überarbeiten – keine missbräuchlichen Klauseln.
  • Geschäftsgeheimnisse sichern: Schutzmaßnahmen und NDAs integrieren.
  • DSGVO einhalten: Rechtsgrundlagen prüfen, Prozesse dokumentieren.
  • Cloud-Strategie überprüfen: Wechselmöglichkeiten, Schnittstellen und Portabilität vorbereiten.

 

Der Data Act bringt Unternehmen Chancen, aber auch erhebliche Pflichten. Er verändert den Umgang mit Daten grundlegend – technisch, organisatorisch und vertraglich. Für betroffene Unternehmen gilt jetzt: Nicht abwarten, sondern handeln.

Wir unterstützen Sie bei der Umsetzung der neuen Vorgaben – von der Analyse Ihrer Datenströme über die Anpassung Ihrer Verträge bis hin zur Integration in Ihre Datenschutz- und IT-Sicherheitskonzepte.

Zurück

Sichern Sie Ihr Unternehmen ab!

Sie haben Fragen zum Thema Datenschutz? Dann kontaktieren Sie uns oder machen Sie direkt online unseren Datenschutz Check für Ihr Unternehmen

Das könnte Sie auch interessieren:

„Pay or OK“: Zahlen oder Tracking – was heißt das für Cookie-Banner?

  • Datenschutz

„Entweder bezahlen oder Tracking akzeptieren“: Diese Modelle sind wieder im Gespräch. Was bedeutet das für Unternehmen, die Cookies, Marketing und…

Weiterlesen

DSA trifft DSGVO: Was Unternehmen bei Plattformdaten und Werbung beachten müssen

  • Datenschutz

Plattformen, Ads, Targeting, Insights: Wer Daten aus Plattformen nutzt, landet schnell in der Schnittstelle aus DSA und DSGVO. Hier erhalten Sie einen…

Weiterlesen

KI-Chatbots im Unternehmen (RAG): Datenschutz-Check für die Praxis

  • Datenschutz

Interne KI-Assistenten werden schnell zum Produktivitäts-Booster. Datenschutz wird dabei oft zu spät gedacht. So prüfst du RAG-Chatbots…

Weiterlesen

Was ist die NIS2-Richtlinie?

  • Datenschutz

Die neue EU-Richtlinie NIS2 verpflichtet ab 2024 deutlich mehr Unternehmen zu erhöhter Cyber- und Informationssicherheit. Kritische Branchen sowie…

Weiterlesen
Cookie Extension Logo