Der Data Act (VO (EU) 2023/2854) ist seit dem 12. September 2025 in weiten Teilen anwendbar – mit dem erklärten Ziel, Datennutzung in Europa einfacher, fairer und interoperabler zu machen. Er richtet sich vor allem an Hersteller vernetzter Produkte, Dateninhaber und Nutzer, außerdem an Anbieter von Datenverarbeitungsdiensten (Cloud, PaaS, SaaS, IaaS). Die Verordnung ergänzt die DSGVO, sie ersetzt sie nicht: Wo personenbezogene Daten betroffen sind, gelten weiterhin die DSGVO-Spielregeln; der Data Act zielt primär auf nicht-personenbezogene Nutzungsdaten und damit verbundene Metadaten ab.
Wer in diesen Kategorien fällt? Praktisch jedes Unternehmen, das smarte, datenproduzierende Güter herstellt oder betreibt – vom Industriegerät über Fahrzeuge bis zum Haushaltssystem – und alle, die entsprechende Cloud-Leistungen anbieten oder beziehen. Für Start-ups und Kleinstunternehmen gibt es punktuelle Ausnahmen, die Grundlinie bleibt aber: Datenzugang und -weitergabe sollen rechtlich und technisch möglich werden.
Kernmechanik: Nutzerrechte und Pflichten der Dateninhaber
Herzstück sind Zugangs- und Bereitstellungsrechte rund um vernetzte Produkte und verbundene Dienste (Kapitel II/III). Hersteller müssen Daten direkt am Produkt zugänglich machen oder sie indirekt bereitstellen – die Kommission stellt klar, dass hier ein Wahlrecht besteht. In der Praxis entscheiden sich viele für die indirekte Bereitstellung über eine Online-Ressource: Das stärkt die Zugriffskontrolle, erleichtert Vertragsgestaltung und schützt Geschäftsgeheimnisse. Zudem entfällt dann eine (Re-)Designpflicht für Produkte, die ab dem 12. September 2026 in der EU in Verkehr gebracht werden, sofern die indirekte Bereitstellung gewählt wird.
Wird an Dritte weitergegeben, greift ein vertraglicher Rahmen: Bereitstellungsvertrag zwischen Dateninhaber und Datenempfänger mit Zweckbindung, Transparenz und – im B2B-Verhältnis – FRAND-Bedingungen (fair, angemessen, nicht-diskriminierend). Für KMU-Empfänger sind Erleichterungen vorgesehen. Ohne Zustimmung des Nutzers dürfen nicht-personenbezogene Daten künftig nicht mehr an Dritte fließen; umgekehrt braucht der Dateninhaber ab 12.9.2025 eine vertragliche Basis, um diese Daten selbst weiter zu nutzen.
Geschäftsgeheimnisse bleiben geschützt: Der Data Act erlaubt eine Art „Handbrake“ – wenn trotz Schutzmaßnahmen mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht, darf selektiv zurückgehalten werden; das ist zu begründen und der zuständigen Behörde zu melden (in Deutschland voraussichtlich BNetzA).
DSGVO bleibt „obenauf“: Unternehmen müssen bei Auskunfts- oder Weitergabeverlangen prüfen, ob personenbezogene Daten miterfasst sind. Fehlt eine DSGVO-Rechtsgrundlage, kann (und muss) die Herausgabe beschränkt werden. Das Zusammenspiel erzeugt spürbaren Compliance-Aufwand, vor allem bei gemischten Datenbeständen.
Cloud-Wechsel („Switching“): Neue Pflichtarchitektur für Verträge und Technik
Der Data Act adressiert Anbieterwechsel bei Datenverarbeitungsdiensten. Zentrale Leitplanke: Wechselhindernisse – ob technischer, vertraglicher oder organisatorischer Art – sind künftig zu beseitigen. Das Gesetz verpflichtet Anbieter, die Wechselrechte und -prozesse in schriftlicher Form (elektronisch genügt) vor Vertragsunterzeichnung transparent zu regeln.
Schutz vor unzulässigen Drittlandszugriffen auf nicht-personenbezogene Daten
Anbieter müssen Maßnahmen treffen und öffentlich beschreiben, wie sie staatliche Zugriffe aus Drittländern abwehren, wenn diese Unionsrecht widersprechen – eine Parallele zur DSGVO-Übermittlungssystematik.
Wechselentgelte werden gedeckelt und laufen aus
Bis 12. Januar 2027 sind nur kostendeckende Entgelte erlaubt; danach sind Wechselentgelte verboten. Standardentgelte (laufende Nutzungsgebühren) und angemessene Sanktionen bei vorzeitiger Kündigung bleiben – im Rahmen des nationalen Rechts – möglich; die Abgrenzung verlangt Sorgfalt.
Differenzierungen
IaaS-nahe Dienste müssen den Nutzer auf Funktionsäquivalenz beim Zielanbieter hinführen; bei anderen Diensten ist eine offene Schnittstelle für Daten und digitale Vermögenswerte bereitzustellen – jeweils ohne in fremde Systeme eingreifen zu müssen.
Fristen
maximal zwei Monate Ankündigungsfrist und eine verbindliche 30-Tage-Übergangsfrist für die Ermöglichung des Wechsels; der Kunde soll bis zum Ende der Ankündigungsfrist entscheiden, ob Wechsel, Wechsel in eigene IT oder Löschung durchgeführt werden.
Bestandsverträge vs. Neugeschäft: Was gilt nun?
Die praktische Gretchenfrage: Müssen Altverträge (Cloud) jetzt sofort umgestellt werden? Maßgebliche Stimmen in der Literatur sprechen gegen eine Rückwirkung von Kapitel VI. Ergebnis: Die neuen Wechsel- und Vertragsinhalte greifen für Verträge ab dem 12.9.2025; eine Pflicht zur Nachverhandlung bestehender Verträge besteht nicht – sinnvoll bleibt sie gleichwohl häufig aus kommerziellen Gründen.
Anders bei der Unfairness-Kontrolle zum Schutz von KMU: Hier sieht der Gesetzgeber ausdrücklich eine zeitversetzte Anwendung auch auf bestimmte Bestandsverträge vor – der Fairness-Test gilt für Verträge, die am oder vor dem 12.9.2025 geschlossen wurden, erst ab zwei Jahre später.
Sonderfragen: IoT & Maschinenbau
Zugang zu IoT-Daten: Der Data Act verschiebt die Kontrolle über Nutzungsdaten vernetzter Produkte und verbundener Dienste deutlich in Richtung der Nutzer:innen. Erfasst sind primär Rohdaten samt erforderlicher Metadaten, die bei der Nutzung generiert werden und die Dateninhaber:innen ohne unverhältnismäßigen Aufwand erlangen können. Ableitungen und Aggregationen bleiben außen vor. Ab dem 12. September 2026 gilt „Accessibility by Design“. Neue IoT-Produkte und verbundene Dienste müssen einen direkten, einfachen und unentgeltlichen Zugriff ermöglichen. Andernfalls entsteht ein gesetzlicher Anspruch auf Bereitstellung und (auf Verlangen) Weitergabe an Dritte – möglichst kontinuierlich und in Echtzeit. Flankierend benötigt der Dateninhaber für die Nutzung nicht personenbezogener Daten eine Datennutzungsvereinbarung mit dem Nutzer. Inhaltliche Schranken sind dabei begrenzt, was in der Praxis bis hin zu sehr weitreichenden Lizenzen führen kann. Grenzen setzen unter anderem der Schutz von Geschäftsgeheimnissen, Sicherheitsanforderungen, der Gatekeeper-Ausschluss sowie Transparenz- und Zweckvorgaben im Dreiecksverhältnis Nutzer–Dateninhaber–Datenempfänger. Die Rechte werden individuell, über Behördenbeschwerde und – in verbrauchernahen Konstellationen – auch kollektivrechtlich durchgesetzt. Besondere Praxisfragen entstehen bei Mehr-Nutzer-Situationen und im Second-Hand-Markt (Lizenzketten, Identitätswechsel).
Auswirkungen gibt es auch im Maschinen- und Anlagenbau: Hersteller industrieller Maschinen werden regelmäßig als Dateninhaber adressiert und müssen sich auf strukturierte Zugangs- und Weitergabeverlangen einstellen – einschließlich eines Kontrahierungszwangs gegenüber Datenempfängern zu fairen, angemessenen und nicht diskriminierenden Bedingungen. Dies erfordert eine Neuordnung des Produkt- und Vertragsdesigns: Vorvertragliche Informationspakete zu Datenflüssen, standardisierte Prozesse für die Artikel 4/5-Anfragen, belastbare Datennutzungsverträge mit Nutzern (Artikel 4 Absatz 13), FRAND-Gerüste samt Vergütungslogik für B2B-Empfänger, Geheimnisschutz- und Sicherheitskonzepte sowie Weitergabesperren und Zweckbindungen in der Liefer- und Servicekette sind notwendig. Strategisch wichtig sind außerdem die Abgrenzung „ohne Weiteres verfügbarer“ Rohdaten von wertschöpfenden abgeleiteten Daten, die Governance für Mehr-Nutzer-Maschinen (Leasing, Betreiber/Owner-Split) sowie praktische Themen wie Inbetriebnahme-Workflows, Konto-/Identitätswechsel und Second-Hand-Vertrieb. Da bisherige Geschäftsmodelle oft auf exklusivem Datenzugriff beruhten, ist mit Reibungen und Auseinandersetzungen zu rechnen. Umso mehr empfiehlt sich ein frühzeitiger Umbau von IT-Schnittstellen, Vertragsmustern und AGB-Logiken statt der Abwarten von Einzelfallverhandlungen.
Nationale Durchsetzung: Wer kontrolliert – und wie hart?
Deutschland arbeitet an einem Data-Act-Durchführungsgesetz. Diskutiert wird eine Kompetenzbündelung bei BNetzA (u.a. für Cloud-Switching/Interoperabilität) und BfDI (Schnittstellen zur DSGVO), flankiert von Streitbeilegungsstellen und möglichen Sanktions- und Abhilfebefugnissen. Die Leitlinien und Musterklauseln der EU-Kommission (Art. 41) sind angekündigt; die Expertengruppe hat bereits einen Final Report vorgelegt – formale Annahme steht aus.
Parallel haben Landesdatenschutzbehörden signalisiert, Data-Act-Belange mit Personenbezug vorläufig mitzuprüfen. Insgesamt drohen – je nach Verstoß – erhebliche Bußgelder (Richtwerte: bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. €).
Was heißt das konkret für Ihr Unternehmen?
Unternehmen sollten den Data Act nicht als isoliertes IT-Projekt behandeln, sondern als Vertrags-, Produkt- und Organisationsrecht zugleich. In der Praxis haben sich vier Baustellen herauskristallisiert: präzise Datenschnittstellendefinition, Gestaltung direkter vs. indirekter Bereitstellung, Umgang mit nicht-„always-on“-fähigen Produkten und ein robustes Geheimnisschutz-Konzept bei der Datenbereitstellung. Diese Punkte sind lösbar – erfordern aber Entscheidungen vor dem nächsten Produkt- oder Vertragszyklus.
Sofortprogramm (kompakt):
- Portfolio-Screening: Welche Produkte/Dienste sind „vernetzt“? Welche In-Scope-Daten fallen an (inkl. Metadaten)? Wo mischen sich personenbezogene und nicht-personenbezogene Daten?
- Bereitstellungsstrategie: Direkt am Produkt oder indirekt via Portal/API? Indirekt stärkt Governance und kann Re-Design-Pflichten vermeiden (ab 12.9.2026).
- Vertragslandschaft:
– Nutzungsvertrag mit dem Nutzer (Art. 4 Abs. 13) als Basis eigener Datennutzung.
– Bereitstellungsverträge mit Dritten (Art. 8/9) inkl. FRAND, Zweckbindung, Sicherheits-/Geheimnisschutz. - Cloud-Verträge: Art. 25-Mindestinhalte implementieren (Ankündigungsfrist max. 2 Monate, 30-Tage-Übergangsfrist, Entscheidungs-/Verlängerungsmechanik, Datenabruf nach Wechsel). Wechselentgelte sauber abgrenzen; Auslaufen bis 12.1.2027 planen.
- Trade-Secrets-Shield: Technische/vertragliche Maßnahmen, Eskalation nach Art. 4 Abs. 8 („Handbrake“), interne Nachweis-Dossiers und Meldeprozess an die zuständige Behörde.
- Third-Country-Access-Kontrollen: Maßnahmen definieren, öffentliche Darstellung auf der Website verankern, vertraglich referenzieren (Art. 28/32).
Typische Fallstricke – und wie Sie sie vermeiden
Viele unterschätzen die Verzahnung mit der DSGVO: Ohne Rechtsgrundlage bleiben personenbezogene Segmente blockiert – Data-Act-Rechte laufen dann ins Leere. Frühzeitige Datenklassifizierung und Pseudonymisierung/Kappung helfen, die bereitstellbaren Teile sauber zu trennen.
Bei Cloud-Wechseln ist die Zeitlogik heikel: Ohne klare vertragliche Entscheidungs-Deadlines des Kunden kollidiert die 30-Tage-Frist mit dem praktischen Ablauf. Verträge sollten den Zeitstrahl explizit modellieren (Ankündigung → Entscheidung → Übergangsfrist → Datenabruf).
Wechselentgelt ≠ Standardentgelt: Dokumentieren Sie sauber, welche Kosten tatsächlich wechselinduziert sind. Ab 2027 entfällt das Entgelt – die Übergangszeit verlangt Kosten-Allokationslogik, die einer Prüfung standhält.
Bestandsverträge: Auch wenn Kapitel VI nicht rückwirkt, kann eine freiwillige Harmonisierung wirtschaftlich sinnvoll sein (z. B. um spätere Friktionen oder Bilanz-Unsicherheiten zu vermeiden). Wer umbauen will, braucht wegen AGB-Recht und Sanktionsklauseln belastbare Klauselstrategie – pauschale Vertragsstrafen bleiben im B2C heikel.
Ausblick
Die Kommission arbeitet an Leitlinien (u. a. Vergütungslogik, internationale Zugriffe) und an Musterklauseln nach Art. 41; der Expertenbericht liegt vor, die offizielle Annahme steht aus. National wird das Durchführungsgesetz die Zuständigkeiten schärfen. Unternehmen gewinnen damit mehr Rechtssicherheit – die Hausaufgaben bleiben jedoch im eigenen Court: Datenhaushalt ordnen, Verträge modernisieren, Schnittstellen und Prozesse operationalisieren.
FAQ zum Data Act
Was ist der Data Act – und warum betrifft er (fast) jedes Unternehmen?
Der Data Act (VO (EU) 2023/2854) ist das horizontale EU-Grundgesetz für Datennutzung: Er verteilt Zugriffs-, Nutzungs- und Portierungsrechte neu, setzt Leitplanken für Verträge rund um IoT-Daten und verpflichtet Cloud-Anbieter zum einfacheren Wechsel. Herzstück ist ein vertraglich geprägtes Zugangs- und Nutzungsregime statt exklusiver „Dateneigentums“-Rechte.
Ab wann gilt der Data Act?
Die Verordnung ist seit 12. September 2025 weitgehend anwendbar. Zeitliche Übergänge betreffen u.a. Cloud-Wechselentgelte (schrittweise Absenkung bis hin zum Verbot ab 12. Januar 2027).
Wen addressiert der Data Act?
Vor allem Hersteller „verbundener Produkte“ (IoT-Hardware), Anbieter verbundener Dienste (z. B. Apps zur Geräte-Steuerung), Dateninhaber und Cloud-/Datenverarbeitungsdienste. „Verbunden“ ist ein Produkt, wenn es Daten über Nutzung/Leistung/Umwelt erzeugt und (auch kabelgebunden) kommunizieren kann; der Dienst muss die Gerätefunktionen beeinflussen.
Welche Daten sind in Scope – und welche nicht?
In den Anwendungsbereich fallen Roh- und vorverarbeitete (‚raw but usable‘) Daten samt nötiger Metadaten; abgeleitete/erschlossene Daten und typisches „Content“ (textlich, audio-/audiovisuell) sind ausgenommen. Persönliche Daten sind umfasst, werden aber vollständig nach DSGVO gehandhabt; Geschäftsgeheimnisse bleiben geschützt (inkl. spezieller „Handbrake“).
Was gilt bei Edge-Processing?
Lokale Verarbeitung am Gerät entbindet nicht automatisch: Sobald Roh-/Vorverarbeitungsdaten irgendwann gespeichert/abrufbar/übertragbar waren, gilt der Data-Act-Zugriff. Nur wenn ein Design keine externe Speicherung/Übertragung vorsieht, liegt regelmäßig keine „readily available“-Datenlage vor.
Direkter vs. indirekter Zugang – wer entscheidet?
Der Hersteller kann direkten Zugriff (z. B. API/Interface ohne Mitwirkung des Dateninhabers) oder indirekten Zugriff (on-request über Portal/Workflow) vorsehen. Nutzer müssen vor Vertragsschluss informiert werden, wie sie an die Daten kommen; beide Modelle sind zulässig, solange der Zugriff „leicht, sicher und ohne unangemessene Verzögerung“ funktioniert.
Mehrnutzer-Szenarien & Second-Hand: Was ist besonders?
Es kann mehrere „User“ pro Gerät geben (Eigentümer, Leasingnehmer, Mieter). Beim Weiterverkauf muss der Verkäufer die Transparenzinformationen liefern, damit der neue Nutzer seine Rechte ausüben kann – praktisch relevant im gesamten Second-hand-Markt.
Was ist mit Verbrauchern?
Für Verbraucher sollen Dateneinsicht und Weitergabe (z. B. für Reparaturservices) einfacher werden. Kritisch angemerkt wird aber, dass Ausnahmen und Unklarheiten die praktische Wirkung schmälern könnten; zudem monieren Verbände die bislang diffuse nationale Zuständigkeitslage.
Wie spielt der Data Act mit der DSGVO zusammen?
Die DSGVO bleibt vorrangig: Jede Verarbeitung personenbezogener Daten unterliegt weiterhin deren Rechtsgrundlagen und Aufsicht. Die neuen Portierungs-/Zugangsrechte ergänzen Art. 15/20 DSGVO (insb. Echtzeit-/IoT-Kontexte) und sorgen für Behörden-Kooperation, damit Betroffene nicht „zwischen Stühlen“ landen.
Darf der Dateninhaber „eigene“ (nicht-personenbezogene) Nutzungsdaten einfach weiterverwenden?
Nein – ab jetzt braucht es eine Datennutzungsvereinbarung mit dem Nutzer (de-facto Datenlizenz). Ohne diese vertragliche Basis darf der Dateninhaber nicht-personenbezogene Nutzungsdaten nicht mehr „einfach so“ wirtschaftlich heben.
Wie werden Geschäftsgeheimnisse konkret geschützt?
Zunächst über vorab vereinbarte Schutzmaßnahmen (NDA, Zugriffskonzepte, technische Standards). Wenn diese nicht greifen oder eine Offenlegung hochwahrscheinlich schweren wirtschaftlichen Schaden verursachen würde, darf der Dateninhaber die Weitergabe aussetzen oder ausnahmsweise verweigern – mit Begründung und Meldung an die zuständige Behörde.
Cloud-Wechsel im Data Act
Vertraglich müssen Wechselprozesse und Fristen klar geregelt sein: Ankündigungsfrist max. 2 Monate, danach 30-Tage-Übergangsphase bis zum Abschluss des Wechsels. Exit-/Egress-Entgelte sind seit 11.01.2024 auf Kosten begrenzt und ab 12.01.2027 verboten (Ausnahme: fortlaufende Parallel-Nutzung in Multi-Cloud). Technisch sind offene Schnittstellen, Export „in gängigen, maschinenlesbaren Formaten“ und – je nach Dienst – Portierung von „digital assets“ (z. B. VM/Container, Rechte-/Konfigurationen) gefordert.
Was bedeutet „exportable data“ vs. „digital assets“ beim Wechsel?
„Exportable data“ umfasst Ein- und Ausgabedaten inkl. Metadaten aus der Nutzung (ohne IP-/Trade-Secrets des Providers). „Digital assets“ sind die zusätzlichen Bausteine, die der Kunde braucht, um Daten beim Zielanbieter sinnvoll zu betreiben (u. a. Konfiguration, Security-/Zugriffsmodelle, VMs/Container) – portierbar, sofern der Kunde Nutzungsrechte daran hat.
Greift der Staat auf Unternehmensdaten zu?
Ja – ausnahmsweise bei „außergewöhnlichem Bedarf“ (z. B. Naturkatastrophen, Gesundheitsnotstand, großflächige Cyberangriffe). Das ist ein enger B2G-Ausnahmezugriff mit Zweckbindung; KMU sind teils ausgenommen.
Was sind die größten organisatorischen Data-Act-Hausaufgaben jetzt?
Erstens: Transparenzpakete und Zugangsprozesse für IoT-Produkte aufsetzen (direkt vs. indirekt; Self-Service vs. Request-Portal; Mehrnutzer-Fälle). Zweitens: Datenlizenzen mit Nutzern standardisieren (eigene Nutzung, Drittweitergabe, Zweckbindung, Vergütung). Drittens: Geheimnisschutz- und Sicherheitskonzepte operationalisieren (inkl. Handbrake-Prozess & Meldung). Viertens: Cloud-Verträge an die Wechsel-Architektur anpassen (Fristen, Formate, Digital-Assets, Entgeltlogik). Dass Branchenverbände eine gewisse Unsicherheit bei nationaler Umsetzung schildern, ändert nichts am sofortigen Handlungsbedarf in Produkt-, Prozess- und Vertragswelt.
Müssen wir auch bei Bestandsgeräten/-verträgen handeln?
Ja, bei der eigenen Datennutzung: Dateninhaber brauchen ab Anwendungstag eine vertragliche Zustimmung der Nutzer, um nicht-personenbezogene Gerätedaten weiter zu verwenden – das betrifft auch Produkte, die bereits am Markt sind (soweit Nutzer identifizierbar). Bei Cloud-Verträgen gelten die Switching-Pflichten vorrangig für neue/angepasste Verträge; die Kostendeckelung/-freiheit greift aber anbieterseitig unabhängig von individueller Umstellung.
Er beschäftigt sich intensiv im technologischen Bereich mit Fragen der Softwareentwicklung, KI und Robotik - nicht nur als Jurist, sondern eben auch selbst als Entwickler. In diesem Blog werden Inhalte vor allem rund um Robotik bzw. Roboterrecht und ergänzend zum Thema K geteiltI. Es werden Unternehmen im gesamten IT-Recht beraten und vertreten, dies vor allem strategisch und nicht juristisch nach "Schema F".
- Entwicklung der Robotik 2025 - Oktober 24, 2025
- Weltmodelle und Datenrecht - Oktober 10, 2025
- Entwicklung der Robotik im Jahr 2025 - Oktober 5, 2025
