EU Data Act: Neue Spielregeln für den Umgang mit Daten

Newsletter – 16.12.2025

Seit dem 12. September 2025 gilt die Verordnung (EU) 2023/2854 („Data Act“) unmittelbar in allen EU-Mitgliedstaaten. Ziel des Data Act ist es, den fairen Zugang zu und die Nutzung von Daten zu fördern und die Wertschöpfung aus Daten gerechter zwischen den Beteiligten zu verteilen.

Damit erhalten Unternehmen in der EU einen erleichterten Zugriff auf Daten, welche sie generiert haben. Andererseits entstehen hierdurch aber auch umfangreiche Pflichten im Umgang mit Daten.

Anwendungsbereich des Data Act

Die Verordnung betrifft personenbezogene und nicht-personenbezogene Daten, die bei der Nutzung vernetzter Produkte (zB IoT-Geräte) oder verbundener Dienste (zB Software von Industriemaschinen) entstehen. Sie regelt insbesondere:

den Zugang von Nutzern zu Daten, die durch die Nutzung derartige Produkte und Dienste erzeugt werden (inklusive Metadaten),
die Pflicht von Dateninhabern, Rohdaten oder bereits aufbereitete Daten zugänglich zu machen bzw bereitzustellen,
den Wechsel zwischen Datenverarbeitungsdiensten („Cloud Switching“) und
Maßnahmen zum Schutz vor unrechtmäßigem Datenzugriff (zB bei Geschäftsgeheimnissen und personenbezogenen Daten)

Was müssen Unternehmen künftig beachten?

Der Data Act führt für Unternehmen neue Rechte und Pflichten ein:

Datenbereitstellungspflicht: Nutzer (Verbraucher oder Unternehmer) haben das Recht, auf die von ihnen erzeugten Daten zuzugreifen oder deren Weitergabe an Dritte zu verlangen.
Informationspflichten: Unternehmen müssen für Transparenz hinsichtlich der generierten Daten und bestehender Nutzerrechte sorgen
Vertragliche Fairness: Daten müssen zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitgestellt werden. Missbräuchliche Vertragsklauseln in Bezug auf Datenzugang und Datennutzung sind unwirksam.
Kleine Unternehmen (KMU): Für Kleinst- und Kleinunternehmen gelten Erleichterungen – sie sind von bestimmten Pflichten ausgenommen, um unverhältnismäßige Belastungen zu vermeiden
Behördliche Datennutzung: In Fällen außergewöhnlicher Notwendigkeit (z. B. Krisen, Cybersicherheitsvorfälle) können öffentliche Stellen die Herausgabe bestimmter Daten verlangen
Cloud-Portabilität: Anbieter von Datenverarbeitungsdiensten müssen den Wechsel von Diensten erleichtern, indem sie technische, vertragliche und organisatorische Hindernisse beseitigen

Sanktionen bei Verstößen

Verstöße gegen den Data Act können teuer werden: Die Mitgliedstaaten müssen wirksame, verhältnismäßige und abschreckende Sanktionen vorsehen. Bei Verstößen mit personenbezogenen Daten können die zuständigen Behörden Geldbußen nach den Maßstäben der Datenschutz-Grundverordnung (DSGVO) verhängen – also bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes.

Fazit: Jetzt aktiv werden

Der Data Act verändert die Datenökonomie in der EU grundlegend. Unternehmen sollten jetzt:

Datenflüsse und Datennutzung intern analysieren und überprüfen, ob sie Zugang zu generierten Daten erhalten können oder verpflichtet sind, diese zugänglich zu machen,
Nutzungs- und Datenbereitstellungsverträge anhand der Vorgaben des EU Data Acts überprüfen,
sicherstellen, dass Geschäftsgeheimnisse wirksam geschützt werden,
prüfen, dass die Bereitstellung personenbezogener Daten im Rahmen des Data Acts DSGVO-konform erfolgt
Cloud-Strategien und Schnittstellen auf Portabilität überprüfen

Wer frühzeitig handelt, sichert sich nicht nur Compliance, sondern auch neue Geschäftschancen in einer zunehmend datengetriebenen Wirtschaft.

Sie haben Fragen zur Umsetzung des Data Act?

Unsere Expert:innen Simone Tober und Daniel Gilhofer-Lenglinger beraten Sie gerne zu den praktischen Auswirkungen und unterstützen bei der rechtssicheren Gestaltung Ihrer Datenstrategie.