+49 99 21 / 88 22 9000 info@datenbeschuetzerin.de

EU Data Act einfach erklärt: Was Unternehmen ab September 2025 wissen müssen

von | Sep. 14, 2025 | Allgemein | 0 Kommentare

EU Data Act - Was Unternehmen ab September 2025 jetzt wissen müssen

Stellen Sie sich vor, Ihr neues, schickes Auto sammelt fleißig Daten über Ihren Fahrstil, den Spritverbrauch und den technischen Zustand. Bisher gehörten diese Daten quasi dem Hersteller. Aber was wäre, wenn Sie diese Daten ganz einfach Ihrer freien Werkstatt zur Verfügung stellen könnten, um ein günstigeres Wartungsangebot zu erhalten? Genau hier setzt der neue EU Data Act an, der ab dem 12. September 2025 in der gesamten EU zur Anwendung kommt. Doch keine Sorge, das Expertenteam der Datenbeschützerin® erklärt Ihnen den Data Act einfach und zeigt Ihnen, was auf Ihr Unternehmen zukommt.

Bereits am 27.11.2023 hat der Rat der EU den Data Act verabschiedet, welcher am 11. Januar 2024 in Kraft trat. Direkt für alle EU Staaten ist die Verordnung nach einer Übergangsfrist von 20 Monaten ab dem 12. September 2025 nun anwendbar.

Wie man vom kurzen Namen „Data Act“ auf die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ kommt, ist wohl deutsche Bürokraten-Logik. Ich stelle mal die gewagte These auf, dass sich die deutsche Bezeichnung nicht durchsetzen wird.

Aber unabhängig von der Namensgebung stellen sich aus meiner Sicht drei Fragen für die Betroffenen:

  1. Welche Bedeutung und Relevanz hat die Verordnung?
  2. Um was geht’s denn eigentlich inhaltlich im Data Act?
  3. Wie verhält sich der Data Act in Bezug auf die DSGVO, also den Datenschutz und die Cybersecurity?

Auf den Punkt gebracht: Der EU Data Act

Auf den Punkt gebracht:
Auf den Punkt gebracht: EU Data Act
  • Was ist der EU Data Act? Eine neue EU-Verordnung, die den Zugang zu und die Nutzung von Daten regelt, die von vernetzten Produkten (IoT) erzeugt werden.
  • Für wen gilt der Data Act? Für Hersteller von vernetzten Produkten, Anbieter von damit verbundenen Diensten und die Nutzer dieser Produkte (sowohl Unternehmen als auch Verbraucher).
  • Was sind die wichtigsten Anforderungen? Unternehmen müssen Nutzern Zugang zu den von ihnen erzeugten Daten gewähren und diese auf Wunsch an Dritte weitergeben.
  • Was hat das mit Datenschutz und Cybersicherheit zu tun? Der Data Act ergänzt die DSGVO und stellt neue Anforderungen an die Informationssicherheit und den Schutz von Geschäftsgeheimnissen.
  • Gibt es neue Vertragsklauseln? Ja, die EU hat neue Mustervertragsklauseln (Model Contractual Terms) und Standardvertragsklauseln (SCCs) speziell für den Data Act veröffentlicht. Achtung, nicht zu verwechseln mit den SCC für die Datenübermittlung in Drittländer 🙂

Data Act einfach erklärt: Worum geht es wirklich?

Wir erfahren aktuell eine große Unsicherheit in dieser Thematik. Viele Kunden kommen auf uns zu und erhalten Unterlagen ihrer Dienstleister und Kunden, auf die sie teilweise ratlos blicken. Um Ihnen Klarheit und ein gutes Gefühl zu vermitteln, kommen wir kurz und prägnant auf den Punkt dieser Verordnung.

Stellen Sie sich den Data Act wie eine Art „Grundgesetz für Daten“ aus vernetzten Geräten vor. Bisher war oft unklar, wem die Daten gehören, die von intelligenten Thermostaten, Fitness-Trackern oder modernen Industriemaschinen gesammelt werden. Meistens lagen die Rechte beim Hersteller. Der Data Act will hier für mehr Fairness und Transparenz sorgen. Die Grundidee: Wer ein Produkt nutzt und dabei Daten erzeugt, soll auch darüber verfügen können.

Das Ziel der EU ist es, eine florierende Datenwirtschaft zu schaffen. Indem mehr Daten sicher und fair geteilt werden, sollen neue Geschäftsmodelle, mehr Wettbewerb und innovative Dienstleistungen entstehen. Denken Sie an die freie Werkstatt aus unserem Beispiel, die nun mit den Herstellern konkurrieren kann, oder an Versicherungen, die nutzungsbasierte Tarife anbieten.

Für wen gilt der Data Act? Die Anwendbarkeit für Unternehmen

Der EU Data Act betrifft eine ganze Reihe von Akteuren. Prüfen Sie genau, ob Ihr Unternehmen in eine dieser Kategorien fällt:

  1. Hersteller von vernetzten Produkten: Wenn Sie Produkte herstellen, die Daten sammeln und mit dem Internet verbunden sind (vom Auto über die Smartwatch bis zur Industriemaschine), sind Sie direkt betroffen.
  2. Anbieter von verbundenen Diensten: Bieten Sie eine App oder einen Service an, die mit einem vernetzten Produkt interagieren? Dann fallen Sie ebenfalls unter den Data Act.
  3. Nutzer von vernetzten Produkten: Das können sowohl Verbraucher als auch Unternehmen sein. Sie erhalten durch den Data Act neue Rechte.
  4. Datenempfänger: Das sind Dritte (z. B. die freie Werkstatt), die auf Wunsch des Nutzers Zugang zu den Daten erhalten.
  5. Anbieter von Datenverarbeitungsdiensten (Cloud-Anbieter): Der Data Act erleichtert den Wechsel zwischen verschiedenen Anbietern und stellt Anforderungen an die Interoperabilität.

Der Data Act gilt für alle Unternehmen, die ihre Produkte oder Dienstleistungen auf dem EU-Markt anbieten, unabhängig davon, wo das Unternehmen seinen Sitz hat. Die Regelungen sind also auch für viele Schweizer und internationale Unternehmen relevant.

Die konkreten Anforderungen des Data Act an Unternehmen

Die neuen Pflichten sind umfangreich. Im Kern geht es um den Datenzugang und die Datenweitergabe. Hier sind die wichtigsten Data Act Anforderungen im Überblick:

1. Datenzugang „by Design“

Hersteller müssen ihre Produkte und Dienste so gestalten, dass Nutzer einfach und sicher auf die von ihnen erzeugten Daten zugreifen können. Das Prinzip „Access by Design“ wird zur Pflicht. Die Daten müssen in einem gängigen, maschinenlesbaren Format bereitgestellt werden.

2. Pflicht zur Datenweitergabe

Nutzer können verlangen, dass der Dateninhaber (meist der Hersteller) die Daten an einen Dritten weitergibt. Dieser Datenempfänger darf die Daten für die mit dem Nutzer vereinbarten Zwecke nutzen. Wichtig: Geschäftsgeheimnisse müssen dabei geschützt werden. Der Dateninhaber kann entsprechende Schutzmaßnahmen verlangen.

3. Faire, angemessene und nicht diskriminierende (FRAND) Bedingungen

Wenn Daten an Dritte weitergegeben werden, muss dies zu fairen, angemessenen und nicht diskriminierenden Bedingungen geschehen. Für die Weitergabe an kleine und mittlere Unternehmen (KMU) darf die Vergütung die entstandenen Kosten nicht übersteigen.

4. Verbot unfairer Vertragsklauseln

Der Data Act verbietet missbräuchliche Vertragsklauseln, die einseitig von einer stärkeren Vertragspartei aufgezwungen werden. Dies soll insbesondere KMU schützen.

5. Einfacherer Wechsel zwischen Cloud-Anbietern

Anbieter von Datenverarbeitungsdiensten (z. B. Cloud-Provider) müssen den Wechsel zu einem anderen Anbieter erleichtern. Hindernisse technischer, vertraglicher oder organisatorischer Art sollen abgebaut werden. Ab dem 12. Januar 2027 dürfen für den Wechsel und den Datenexport (Data Egress) keine Gebühren mehr verlangt werden.

Data Act und Cybersicherheit: Neue Herausforderungen für die Informationssicherheit

Der Data Act ist kein reines Datennutzungsgesetz, er hat auch erhebliche Auswirkungen auf die Cybersicherheit und Informationssicherheit. Durch die neuen Schnittstellen für den Datenzugang und die Pflicht zur Datenweitergabe an Dritte entstehen neue potenzielle Angriffsvektoren. Unternehmen müssen sicherstellen, dass diese Prozesse sicher gestaltet sind.

Besonders der Schutz von Geschäftsgeheimnissen ist eine zentrale Herausforderung. Bevor Daten an einen Dritten weitergegeben werden, müssen angemessene Schutzmaßnahmen getroffen werden. Dies kann von vertraglichen Vereinbarungen (NDAs) bis hin zu technischen Maßnahmen wie der Anonymisierung oder Aggregation von Daten reichen.

Zudem stellt Kapitel VII des Data Act Anforderungen an den Schutz von nicht-personenbezogenen Daten vor unrechtmäßigem Zugriff durch Regierungen von Drittstaaten. Dies erinnert stark an die Schrems-II-Problematik aus dem Datenschutz und erfordert eine sorgfältige Prüfung der Datenflüsse.

Data Act und Datenschutz: Wie passt das zur DSGVO?

Eine der spannendsten Fragen ist das Zusammenspiel von Data Act und DSGVO. Die gute Nachricht vorweg: Die DSGVO bleibt das Leitgesetz für den Schutz personenbezogener Daten. Der Data Act gilt „unbeschadet“ der DSGVO. Das bedeutet:

  • DSGVO hat bei Widerspruch Vorrang: Wenn eine Anforderung des Data Act im Widerspruch zu einer Regelung der DSGVO steht, geht die DSGVO vor.
  • Rechtsgrundlage erforderlich: Für die Verarbeitung personenbezogener Daten im Rahmen des Data Act ist weiterhin eine Rechtsgrundlage nach Art. 6 DSGVO erforderlich (z. B. Einwilligung, Vertragserfüllung).
  • Betroffenenrechte bleiben unberührt: Die Rechte der betroffenen Personen nach der DSGVO (Auskunft, Löschung etc.) werden durch den Data Act nicht eingeschränkt.

Allerdings ergänzt und spezifiziert der Data Act die DSGVO in einigen Bereichen. So schafft der Data Act eine neue Rechtsgrundlage für die Datenweitergabe auf Verlangen des Nutzers. Es ist also kein pauschaler Vorrang, sondern ein komplexes Zusammenspiel. Eine Einzelfallprüfung wird oft unumgänglich sein.

EU Data Act - Was Unternehmen ab September 2025 jetzt wissen müssen
EU Data Act

Und was ist mit Auftragsverarbeitungsverträgen und SCCs?

Die Instrumente der DSGVO bleiben erhalten. Wenn ein Dritter im Auftrag Daten verarbeitet, ist weiterhin ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO notwendig. Die Standardvertragsklauseln (SCCs) für internationale Datentransfers gelten ebenfalls weiter.

Allerdings hat die EU-Kommission neue, freiwillige Mustervertragsklauseln (Model Contractual Terms) und Standardvertragsklauseln (SCCs) speziell für den Data Act veröffentlicht. Diese sind unabhängig von den DSGVO-SCCs und sollen Unternehmen dabei helfen, die Anforderungen des Data Act an faire Verträge und den Schutz von Geschäftsgeheimnissen umzusetzen. Sie ersetzen die DSGVO-Instrumente nicht, sondern ergänzen sie für den spezifischen Anwendungsbereich des Data Act.

Es ist grundsätzlich gut, dass es diese Vorlagen gibt. Im „alltäglichen“ Sprachgebrauch führt aus unserer Sicht die gleiche Namensgebung dieser Standardvertragsklauseln zu einem Durcheinander. Man muss also ganz klar kommunizieren, um welche SCCs es sich handelt.

Fazit: Der Data Act als Chance für Unternehmen

Der EU Data Act bringt ohne Frage neue, komplexe Anforderungen für viele Unternehmen. Die Vorbereitungszeit ist leider inzwischen verstrichen, um die eigenen Produkte, Dienstleistungen und Verträge zu analysieren und anzupassen. Insbesondere die Aspekte der Cybersicherheit und des Datenschutzes erfordern eine sorgfältige Planung. Daher stehen wir Ihnen natürlich jederzeit für Fragen und Unterstützung zu diesem Thema zur Verfügung.

Doch sehen Sie den Data Act nicht nur als Belastung, sondern auch als Chance. Er eröffnet neue Möglichkeiten für datengetriebene Geschäftsmodelle, fördert den fairen Wettbewerb und stärkt die Position Ihres Unternehmens im digitalen Binnenmarkt. Wir von der Datenbeschützerin® und unsere Schwester, die Weitblick GmbH, helfen Ihnen dabei, die Herausforderungen zu meistern und die Potenziale des Data Act sicher und rechtskonform zu nutzen.

Haben Sie Fragen zum Data Act oder benötigen Sie Unterstützung bei der Umsetzung? Buchen Sie jetzt einen unverbindlichen Termin mit uns!

Diesen Beitrag teilen

Das ist sicher auch interessant für Sie

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert