Newsletter

1 Monat bis zum EU Data Act: Was jetzt wichtig ist

Die digitale Transformation schreitet unaufhaltsam voran und Daten entwickeln sich zum zentralen Rohstoff unserer Zeit. Inmitten dieser Entwicklung steht der EU Data Act (Verordnung (EU) 2023/2854), der ab dem 12. September 2025 EU-weit direkt anwendbares Recht sein wird. Das bedeutet: Es bleibt nur noch rund ein Monat, um die Weichen für die umfassenden Neuerungen zu stellen.

Datenzugang nach dem Data Act

Der Data Act wurde geschaffen, um den Austausch und die Nutzung von Daten in der gesamten wirtschaftlichen Wertschöpfungskette zu verbessern und zu ermöglichen. Er zielt darauf ab, den Zugang zu Daten, die durch vernetzte Produkte oder deren Dienste generiert werden, zu vereinfachen und fairere Wettbewerbsbedingungen zu schaffen. Ein Kernanliegen ist, Nutzern vernetzter Produkte und verbundener Dienste die Kontrolle über die von ihnen generierten Daten zu geben. Dies stärkt nicht nur die Rechte Einzelner, sondern soll auch Innovationen fördern und Wettbewerbsverzerrungen vermeiden.

Das Gesetz regelt die Datenweitergabe zwischen Unternehmen (B2B), zwischen Unternehmen und Verbrauchern (B2C) sowie zwischen Unternehmen und Behörden (B2G). Zudem werden klare Anforderungen an die Vertragsgestaltung gestellt, und es gibt Vorgaben für den Wechsel zwischen Datenverarbeitungsdiensten (Cloud-Dienste) sowie für die internationale Übermittlung nicht-personenbezogener Daten.

Wer ist vom Data Act betroffen?

Der Data Act betrifft eine breite Palette von Unternehmen und Akteuren:

  • Hersteller vernetzter Produkte oder digitaler Dienste
  • Anbieter verbundener digitaler Dienste.
  • Unternehmen, die Daten aus solchen Produkten erheben und nutzen.
  • Unternehmen, die Cloud-Dienste anbieten oder nutzen, sowie solche, die im Bereich Datenverarbeitung und -speicherung tätig sind.

Dies umfasst insbesondere Branchen wie das Internet of Things (IoT), Smart-Home-Technologie, Medizintechnik, die Automobilindustrie und industrielle Fertigung. Zudem gilt der Data Act unabhängig vom Unternehmenssitz aufgrund des Marktortprinzips. Kleine und Kleinstunternehmen (<50 Mitarbeitende und Jahresumsatz <10 Mio. EUR) sind vom Anwendungsbereich des Kapitels II des Data Acts befreit, es sei denn, es gibt größere Partner- oder verbundene Unternehmen, oder sie sind als Unterauftragnehmer mit Herstellung/Konzeption beauftragt.

Handlungsbedarf: Das müssen Unternehmen jetzt tun!

Angesichts der kurzen verbleibenden Zeit ist es entscheidend, jetzt aktiv zu werden. Zu den Maßnahmen zählen unter anderem:

Hersteller und Dateninhaber vernetzter Produkte

  • Handeln, nicht warten: Wenn Sie weiterhin auf Sensordaten zugreifen möchten (z. B. für Predictive Maintenance oder KI-Training), benötigen Sie Datenlizenzvereinbarungen oder bei personenbezogenen Daten eine Rechtsgrundlage nach der DSGVO.
  • Prozesse schaffen: Etablieren Sie Prozesse, um Zugriffsanfragen auf Daten rechtssicher beantworten zu können.
  • Lizenzmodelle vorbereiten: Eine einfache und transparente Bereitstellung anfallender Daten wird zu einem Verkaufsargument. Suchen Sie das Gespräch mit Marktteilnehmern.
  • Transparenz gewährleisten: Analysieren Sie intern, welche Daten für Ihr Geschäft relevant sind. Nutzer vernetzter Produkte erhalten Zugang zu den bei der Nutzung dieser Geräte anfallenden Daten – auch für bereits betriebene Anlagen.
  • Informationspflichten erfüllen: Vor Vertragsabschluss (Kauf, Miete, Leasing) müssen Sie Kunden klar und verständlich über Art, Umfang, Format und Zugriffsmöglichkeiten der generierbaren Produktdaten informieren.
  • Access by Design (ab Sept. 2026): Für Produkte, die ab dem 12. September 2026 auf den Markt kommen, gilt die Pflicht, sie so zu konzipieren, dass Nutzer direkt und einfach auf ihre Daten zugreifen können.
  • Geschäftsgeheimnisse schützen: Treffen Sie technische und organisatorische Maßnahmen zum Schutz sensibler Daten. Eine Verweigerung der Datenherausgabe ist nur in Ausnahmefällen zulässig und muss begründet sowie der zuständigen Behörde gemeldet werden.
  • Keine neue Datenspeicherungspflicht: Der Data Act verpflichtet nicht zur Speicherung zusätzlicher Daten; er bezieht sich nur auf Daten, die bereits vorhanden sind.

Nutzer vernetzter Produkte

  • Datenansprüche aktiv nutzen: Machen Sie den Data Act zum Vertragsthema, wenn Sie neue Maschinen oder Systeme beschaffen. Regeln Sie Datenzugang, klären Sie die Weiterverwendung und legen Sie Formate fest.
  • Vertragsverhandlungen nutzen: Schließen Sie sich mit anderen Nutzern zusammen (z. B. über Verbände oder gemeinsame Initiativen), um Ihren Hebel gegenüber Herstellern zu erhöhen.

Anbieter von Cloud-Diensten

  • Cloud-Switching ermöglichen: Sie müssen ab dem 12. September 2025 neue vertragliche und technische Vorgaben umsetzen, um einen einfachen und transparenten Anbieterwechsel zu ermöglichen.
  • Wechselentgelte abbauen: Ab dem 12. September 2027 sind Wechselentgelte vollständig verboten, bis dahin müssen sie objektiv gerechtfertigt und verhältnismäßig sein.
  • Vertragsanpassung: Bestehende Verträge über Datenverarbeitungsdienste müssen bis zum 12. September 2025 angepasst und aktualisiert werden.
Die neuen Anforderungen des Data Act treten in Kürze in Kraft.

Der EU Data Act ist ab dem 12. September 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar.

Lassen Sie uns unverbindlich sprechen
Data Act

Komplexität der digitalen Compliance

Die Anforderungen des Data Acts greifen tief in bestehende Datenstrategien und digitale Prozesse ein. Besonders die Verzahnung mit der DSGVO, dem Digital Markets Act (DMA) und der KI-Verordnung macht eine systematische Betrachtung notwendig. Nur so lassen sich Widersprüche vermeiden und Synergien sinnvoll nutzen.

Unternehmen stehen dabei vor unterschiedlichen Herausforderungen: etwa bei der Anpassung bestehender Cloud- oder Lizenzverträge, der Entwicklung strategischer Datenmodelle oder beim Schutz sensibler Informationen im Rahmen von Zugangsrechten. Auch operative Fragen wie die technische Umsetzung von Bereitstellungspflichten oder die Bewertung, welche Daten überhaupt betroffen sind, erfordern fundierte Auseinandersetzung. Wer strategisch denkt, erkennt zudem mögliche Chancen. Mit passgenauen Compliance-Konzepten lassen sich nicht nur Risiken minimieren, sondern auch Potenziale für Datenmonetarisierung und digitale Geschäftsmodelle erschließen. Auch die frühzeitige Einbindung externer Expertise oder interner Teams – etwa durch gezielte Schulungen – kann sich als wertvoll erweisen.

Übergreifende Maßnahmen für alle betroffenen Unternehmen

  • Dateninventur und -analyse: Schaffen Sie einen vollständigen Überblick über alle vorhandenen Daten, sowohl personenbezogene als auch nicht-personenbezogene Daten. Dies kann auch neue Potenziale zur optimierten Auswertung des eigenen Datenbestands aufzeigen.
  • Differenzierung von Personenbezug: Prüfen Sie vor jeder Datenweitergabe trennscharf, ob ein Personenbezug vorliegt. Mischdatensätze sollten getrennt werden.
  • DSGVO bleibt anwendbar: Der Data Act schafft keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Die Datenschutz-Grundverordnung (DSGVO) bleibt uneingeschränkt anwendbar und ist im Konfliktfall vorrangig. Eine gültige Rechtsgrundlage gemäß Art. 6 DSGVO ist für die Weitergabe personenbezogener Daten stets erforderlich. Gegebenenfalls müssen Daten vor der Bereitstellung anonymisiert oder pseudonymisiert werden.
  • Verträge und Prozesse anpassen: Bereiten Sie Verträge für die Datenweitergabe vor und sichern Sie die Übertragung rechtlich ab, oft durch eine Einwilligung. Standardisierte Lizenzverträge sollten entwickelt werden.
  • Datenarchitektur optimieren: Überprüfen Sie Ihre bestehende Datenarchitektur, um den Datenaustausch zu erleichtern und die Datenqualität zu verbessern.
  • Data Governance Richtlinien einführen: Definieren Sie klare Verantwortlichkeiten und Prozesse für die Datennutzung und -verwaltung, um Transparenz und Sicherheit zu schaffen.
  • KI-Readiness prüfen: Der Data Act kann als Katalysator dienen, um Ihr Datenmanagement für die Integration von KI-Systemen zu optimieren.

Fazit

Der EU Data Act ist ein bedeutender Schritt hin zu einer gerechteren und innovativeren Datenwirtschaft. Er verspricht nicht nur günstigere Reparaturen und Serviceleistungen durch Drittanbieter, sondern erschließt auch neues Marktpotenzial durch besseren Datenzugang für Unternehmen.

Die verbleibenden Wochen bis zum 12. September 2025 sind entscheidend. Unternehmen sind gut beraten, diese Zeit zu nutzen, um die notwendigen technischen und organisatorischen Maßnahmen zu ergreifen. Die Komplexität der Materie erfordert eine sorgfältige Analyse und gegebenenfalls spezialisierte Beratung, um die Compliance sicherzustellen und die sich bietenden Chancen optimal zu nutzen.

Gerne unterstützen wir Sie dabei, die Auswirkungen des EU Data Acts auf Ihr Unternehmen zu verstehen und maßgeschneiderte Lösungen für eine rechtssichere Datenstrategie zu entwickeln.

Bereit, den EU Data Act zu bewältigen und Ihre Daten-Compliance zu optimieren?

Die neuen Anforderungen des EU Data Act treten in Kürze in Kraft. Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenzugangs- und Nutzungsrechtes sowie der Datenschutz-Compliance unterstützen können. 

Jetzt unverbindliches Angebot anfordern
Data Act

Das könnte Sie auch interessieren..

Im Trend

Keine App-gesteuerte-Klingel in Mietgebäuden ohne Einwilligung
Kalifornien verabschiedet KI-Gesetz SB 53
SB 53: Kalifornien verabschiedet KI-Gesetz
KI-Kompetenz im Unternehmen: Schulungslücke bei 80 % der Mitarbeitenden
KI-Kompetenz im Unternehmen: Schulungslücke bei 80 % der Mitarbeitenden
Anthropic untersagt Nutzung seiner KI für Überwachung & Strafverfolgung
Anthropic untersagt Nutzung seiner KI für Überwachung & Strafverfolgung