Zum Inhalt springen Zur Navigation springen
Was regelt der Data Act?

Was regelt der Data Act?

Artikel von Dr. Datenschutz·25. September 2025

Die Verordnung (EU) 2023/285 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (kurz: Data Act) trat am 11. Januar 2024 in Kraft und seit dem 12.09.2025 in Teilen anzuwenden. Unternehmen der Technologiebranche sollten daher prüfen, im welchem Maße sie von den Regelungen des Data Acts sind betroffen und wie sie diese umsetzen können. Der folgende Beitrag hierfür in gebotener Kürze dar, was der Data Act denn alles regelt.

Der Data Act – ein Potpourri von Regelungen

Mit 119 Erwägungsgründen und 50 Artikeln ist der Data Act sehr umfangreich. Grundsätzlich ist er schnell erklärt, im Einzelnen jedoch komplex. Der Data soll eine Grundlage für den Zugang zu Daten und deren Teilen schaffen, um das Wertschöpfungspotenzial der Digitalwirtschaft besser auszuschöpfen. Aus Sicht der EU-Kommission besteht hier noch viel Potenzial, da Unternehmen häufig Datensilos schaffen, anstatt Daten zu teilen. In seinen einzelnen Kapiteln enthält der Data Act eine Vielzahl unterschiedlicher Regelungen – eben fast wie ein Potpourri.

Die Einzelnen Kapitel des Data Acts werden im Folgenden für einen Überblick in aller Kürze dargestellt.

Data Act Kapitel II und III: Recht auf Datenzugang

Nach den allgemeinen Regelungen in Kapitel I regeln die Kapitel II und III des Data Acts das Recht auf Datenzugang. Hiernach sind Anbieter von vernetzten Produkten und damit verbundenen Diensten gemäß Art. 3 ff. Data Act verpflichtet, auf Verlangen des Nutzers die durch die Nutzung des vernetzten Produkts oder des verbundenen Dienstes generierten Daten zugänglich zu machen. Wie für eine Verordnung üblich, definiert der Data Act in Art. 2 Nr. 5 und 6 in leichter Sprache, was vernetztee Produkt bzw. verbundene Dienste sind. So lautet die Definition für vernetzte Produkte wie folgt:

„[…] ein Gegenstand, der Daten über seine Nutzung oder Umgebung erlangt, generiert oder erhebt
und der Produktdaten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen
geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung oder
Übertragung von Daten im Namen einer anderen Partei – außer dem Nutzer – ist.“ (Art. 2 Nr. 5 Data Act).

Und welche Technologien sollen unter diese Definition fallen? Auch die Definition des verbundenen Dienstes in Art. 2 Nr. 6 Data Act ist ein sprachliches Meisterwerk:

„[…] ein digitaler Dienst, bei dem es sich nicht um einen elektronischen Kommunikationsdienst
handelt, – einschließlich Software –, der zum Zeitpunkt des Kaufs, der Miete oder des Leasings so mit dem Produkt
verbunden ist, dass das vernetzte Produkt ohne ihn eine oder mehrere seiner Funktionen nicht ausführen könnte oder
der anschließend vom Hersteller oder einem Dritten mit dem Produkt verbunden wird, um die Funktionen des
vernetzten Produkts zu ergänzen, zu aktualisieren oder anzupassen.“

Zumindest beispielhaft kann man erklären, welche Produkte als vernetzte Dienste und Produkte gelten:

  • Vernetzte Produkte sind mit dem Internet verbundene Produkte, etwa Smart Cars, bestimmte Medizinprodukte, Smart Meter, Smart TVs, Smart Watches oder smarte Küchengeräte.
  • Verbundene Dienste sind z. B. Apps, mit denen sich ein vernetztes Produkt steuern lässt, wie eine App zur Steuerung von Smart-Home-Geräten.

Anbieter müssen auf Verlangen des Nutzers die durch das vernetzte Produkt oder den verbundenen Dienst generierten Daten dem Nutzer selbst sowie einem von ihm benannten Dritten zugänglich machen. Für den Nutzer ist dieser Datenzugang kostenlos. Gegenüber Dritten kann der Anbieter hingegen ein angemessenes Entgelt verlangen.

Die Nutzung dieser Daten durch Dritte ist jedoch beschränkt. So ist es Dritten beispielsweise nicht gestattet, die Daten zu verwenden, um ein mit dem vernetzten Produkt konkurrierendes Produkt zu entwickeln. Ebenso ist es verboten, dadurch Einblicke in die wirtschaftliche Lage, die Vermögenswerte und die Produktionsmethoden des Anbieters zu gewinnen. Zudem kann die teilweise bereits geltende DSGVO das Recht auf Datenzugang einschränken.

Data Act Kapitel IV: Verbot missbräuchlicher Vertragsklauseln

Wenn ein Anbieter einem Dritten auf Verlangen eines Nutzers Zugriff auf generierte Daten gewähren muss, kann er mit dem Dritten einen Vertrag über den Datenzugang und die Datennutzung abschließen. Kapitel IV des Data Acts sieht hierzu eine Art eigenes „AGB-Recht” mit Klauseln vor, deren Nutzung in Verträgen strikt oder bei Unangemessenheit verboten ist.

Data Act Kapitel V: Datenbereitstellung an öffentliche Stellen und EU-Institutionen

Öffentliche Stellen und EU-Institutionen können gemäß Art. 14 ff. Data Act vom Anbieter eines vernetzten Produkts oder Dienstes die Bereitstellung von Daten verlangen, wenn eine „außergewöhnliche Notwendigkeit“ besteht. Diese Regelungen sind aufgrund der Erfahrungen aus der Corona-Pandemie entstanden. Über ihre Praxisrelevanz lässt sich streiten.

Data Act Kapitel VI: „Cloud Switching“

Cloud-Kunden soll es gemäß Art. 23 ff. Data Act erleichtert werden, kurzfristig und ohne Hindernisse von einem Cloud-Anbieter zum anderen oder zu einer On-Premises-Lösung wechseln können. Zweck der Regelungen ist es, den Wettbewerb zu fördern und Marktzutrittsschranken für neue Anbieter zu senken.

Die Regelungen gelten nicht nur für klassische Cloud-Dienste, sondern auch für andere Dienste wie IaaS, PaaS und SaaS. Die Anbieter solcher Dienste sind verpflichtet, ihre Kunden beim Wechsel zu unterstützen, insbesondere beim Exportieren und Übertragen von Daten und digitalen Vermögenswerten. Die diesbezüglichen Rechte der Kundinnen und Kunden müssen in einem Vertrag festgelegt werden. Ab dem 12. Januar 2027 muss diese Unterstützung kostenlos erbracht werden.

Data Act Kapitel VII: Herausgabe von nicht-personenbezogenen Daten an ausländische Behörden

In Anlehnung an Kapitel V der DSGVO, insbesondere Art. 48 DSGVO, enthält Art. 32 Data Act Anforderungen an Anbieter, wenn sie nicht-personenbezogene Daten an ein Gericht oder eine Behörde außerhalb der EU übermitteln.

Data Act Kapitel VIII: Interoperabilität bei europäischen Datenräumen

Nach Art. 33 ff. Data Act gelten besondere Anforderungen an die Interoperabilität für die Nutzung europäischer Datenräume. Interoperabilität bezeichnet die Fähigkeit von zwei oder mehr Datenräumen, Daten auszutauschen und zu nutzen (Art. 2 Nr. 40 Data Act). Teilnehmer an europäischen Datenräumen müssen künftig bestimmte Informationen offenlegen, darunter Angaben zum Inhalt von Datensätzen, zu Datenstrukturen sowie zu den technischen Mitteln, die für den Datenzugang und die Übermittlung genutzt werden. Das Ziel dieser Regelungen ist es, die Weitergabe und den Austausch von Daten zwischen verschiedenen Datenräumen zur Innovationsförderung zu ermöglichen.

Kapitel VIII: Smart Contracts

Zudem gelten künftig besondere Vorgaben für den Einsatz von Smart Contracts. Als Smart Contracts werden Computerprogramme bezeichnet, die für die automatisierte Ausführung einer Vereinbarung oder eines Teils davon verwendet werden (Art. 2 Nr. 39 Data Act). Gemäß Art. 36 Data Act müssen Smart Contracts so robust gestaltet sein, dass Funktionsfehler vermieden werden und eine Zugangskontrolle möglich ist, um Manipulationen durch Dritte zu verhindern.

Kapitel IX und X und XI,: Anwendung, Durchsetzung, Datenbankrechte und Schlussbestimmung

In Kapitel IX werden die Struktur und die Kompetenzen der Aufsichtsbehörden über den Data Act auf EU-Ebene sowie auf Ebene der Mitgliedstaaten geregelt. Kapitel X enthält eine Sonderregelung zur Nichtanwendbarkeit des Datenbankschutzrechts gemäß der Richtlinie 96/9/EG. Kapitel XI, das letzte des Data Acts, enthält die Schlussbestimmungen, insbesondere die Regelungen zum Inkrafttreten und Geltungsbeginn. Demnach gilt der Großteil des Data Acts ab September 2025, wobei es Ausnahmen für die Datenzugangsregeln nach Artikel 3 Data Act gibt.

Der Data Act: Ein buntes Potpourri, aber mit steigender Relevanz

Wie man sieht, führt der Data Act auf verschiedenen Ebenen neue Pflichten für Anbieter digitaler Dienste und Produkte ein. Insofern ist es für Anbieter von Produkten mit Zugang zum Internet, ratsam wenn nicht imperativ zu prüfen, welche Änderungen aus dem Data Act für sie folgen. Überblick über die Regelungen verschaffen auch Gesetzesseiten zum Data Act. Es bleibt zu hoffen, dass der Data Act wirklich Wertschöpfung generiert. Jedenfalls wäre das mal eine schöne Überraschung – ist Brüssel insoweit doch weniger als Wirtschaftsförderer bekannt.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.