Mit der Verordnung (EU) 2023/2854, besser bekannt als Data Act (Datenverordnung), hat die Europäische Union einen weiteren zentralen Baustein ihres digitalen Rechtsrahmens geschaffen. Die Verordnung ist am 12. September 2025 in Kraft getreten und gilt unmittelbar in allen Mitgliedstaaten. Ziel des Data Act ist es, den fairen Zugang zu Daten zu fördern, Innovationshemmnisse abzubauen und zugleich klare rechtliche Leitplanken für Unternehmen zu schaffen.
Für viele Organisationen bedeutet dies neue Pflichten – aber auch neue Gestaltungsmöglichkeiten im Umgang mit Daten.
Zielsetzung und Einordnung des Data Act
Der Data Act ist Teil der europäischen Datenstrategie und ergänzt bestehende Regelwerke wie die DSGVO, den Digital Markets Act (DMA) und den Digital Services Act (DSA). Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der Data Act vor allem den Zugang zu und die Nutzung von Daten, insbesondere von nicht-personenbezogenen Daten, ohne dabei den Datenschutz zu relativieren.
Im Fokus stehen Daten, die durch vernetzte Produkte und digitale Dienste erzeugt werden – etwa Maschinen-, Sensor- oder Nutzungsdaten aus dem Internet der Dinge (IoT).
Zentrale Inhalte der Datenverordnung
Zugang zu Produkt- und Nutzungsdaten
Nutzerinnen und Nutzer vernetzter Produkte und digitaler Dienste erhalten ein gesetzlich verankertes Recht auf Zugang zu den von ihnen erzeugten Daten. Auf Wunsch müssen diese Daten auch an Dritte weitergegeben werden können – etwa an Wartungsdienstleister oder Analyseanbieter.
Pflichten für Hersteller und Anbieter
Unternehmen, die vernetzte Produkte oder datenbasierte Dienste anbieten, müssen ihre Systeme so gestalten, dass ein strukturierter, sicherer und verständlicher Datenzugang möglich ist. Zudem sind klare Informationen darüber bereitzustellen, welche Daten entstehen und wie sie genutzt werden.
Schutz vor missbräuchlichen Vertragsklauseln
Der Data Act enthält Vorgaben zur Verhinderung unfairer Vertragsbedingungen, insbesondere in Datenlizenzverträgen zwischen Unternehmen. Ziel ist ein ausgewogener Interessenausgleich, vor allem zum Schutz kleiner und mittlerer Unternehmen.
Datenzugang für öffentliche Stellen
In außergewöhnlichen Situationen – etwa bei Naturkatastrophen oder öffentlichen Notlagen – können Behörden unter bestimmten Voraussetzungen Zugang zu relevanten Daten verlangen. Auch hier gelten strenge Zweckbindungen und Sicherheitsanforderungen.
Cloud-Wechsel und Interoperabilität
Die Verordnung soll den Wechsel zwischen Cloud- und Datenverarbeitungsdiensten erleichtern. Anbieter müssen technische und vertragliche Hürden abbauen und Transparenz über Wechselkosten schaffen.
Verhältnis zur DSGVO
Der Data Act ändert nichts an den Grundprinzipien der DSGVO. Sobald personenbezogene Daten betroffen sind, bleibt das Datenschutzrecht uneingeschränkt anwendbar. Unternehmen müssen daher weiterhin sicherstellen, dass:
- eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten besteht,
- Zweckbindung und Datenminimierung eingehalten werden,
- technische und organisatorische Maßnahmen zum Schutz der Daten umgesetzt sind.
In der Praxis erfordert dies eine sorgfältige Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten sowie klare Governance-Strukturen.
Bedeutung für Unternehmen und Geschäftsleitungen
Für Geschäftsführungen und Leitungsorgane ist der Data Act kein rein technisches Thema. Die Verordnung berührt strategische Fragen der Datenhoheit, Vertragsgestaltung, IT-Architektur und Compliance. Unternehmen sollten insbesondere prüfen:
- welche Produkte und Dienste unter den Anwendungsbereich fallen,
- welche Daten erzeugt und weitergegeben werden müssen,
- wie bestehende Verträge anzupassen sind,
- ob interne Prozesse und Sicherheitskonzepte den neuen Anforderungen entsprechen.
Ein frühzeitiger Handlungsbedarf ergibt sich insbesondere dort, wo datenbasierte Geschäftsmodelle eine zentrale Rolle spielen.
Fazit
Der Data Act markiert einen weiteren Schritt hin zu einer europäischen Datenwirtschaft mit klaren Spielregeln. Er schafft mehr Transparenz und Fairness im Umgang mit Daten, erhöht aber zugleich die regulatorischen Anforderungen an Unternehmen.
Für Organisationen empfiehlt es sich, die Vorgaben der Datenverordnung nicht isoliert zu betrachten, sondern in bestehende Datenschutz- und Informationssicherheitsstrukturen zu integrieren. So lassen sich rechtliche Risiken minimieren und zugleich neue Potenziale der Datennutzung verantwortungsvoll erschließen.
Als Kanzlei für Datenschutz und Informationssicherheit unterstützen wir Unternehmen dabei, die Anforderungen des Data Act praxisnah einzuordnen und rechtssicher umzusetzen.