Mit dem Data Act (Verordnung (EU) 2023/2854) führt die Europäische Union klare Regeln für den Umgang mit Daten ein. Die Verordnung gilt seit dem 12. September 2025. Nutzer vernetzter Produkte wie IoT-Geräten oder Maschinen erhalten dadurch mehr Kontrolle über die Daten, die bei der Nutzung entstehen. Unternehmen müssen diese Daten zugänglich machen und unter fairen Bedingungen teilen.
Ziel ist eine bessere Nutzung von Daten und mehr Raum für Innovation und Zusammenarbeit. Die Verordnung stellt zugleich klare Anforderungen an Hersteller und Diensteanbieter. Sie reiht sich damit in die wachsende EU-Cybersicherheitsregulierung ein. Für Unternehmen ergeben sich technische Herausforderungen, aber auch Chancen für neue Geschäftsmodelle.
Wichtig dabei: Nicht alle Pflichten greifen zum selben Zeitpunkt. Der Data Act sieht gestaffelte Fristen vor, einige Anforderungen gelten erst nach einer Übergangszeit.
| Datum | Was gilt |
|---|---|
| 11.01.2024 | Inkrafttreten der Verordnung |
| 12.09.2025 | Allgemeine Geltung des Data Act |
| 12.09.2026 | Designpflicht für neu in Verkehr gebrachte vernetzte Produkte (Art. 3) |
| 12.01.2027 | Cloud-Anbieterwechsel ohne Wechselentgelte (Art. 29) |
| 12.09.2027 | Faire B2B-Vertragsbedingungen auch für Altverträge (Kap. IV) |
Anwendungsbereich des Data Acts
Der Data Act ist bewusst weit gefasst, um die verschiedenen Akteure der modernen Datenwirtschaft abzudecken. Er gilt für Hersteller vernetzter Produkte und Anbieter verbundener Dienste, die ihre Produkte oder Dienste in der EU anbieten, unabhängig vom Sitz des Unternehmens. Erfasst sind außerdem Nutzer dieser Produkte und Dienste, Dateninhaber, Datenempfänger sowie Anbieter von Datenverarbeitungsdiensten wie Cloud- und Edge-Computing.
Zu den vernetzten Produkten zählen etwa Smart-Home-Geräte, industrielle Maschinen und Fahrzeuge. Verbundene Dienste sind die Software-Dienste, ohne die ein solches Produkt eine oder mehrere seiner Funktionen nicht ausführen könnte. Auch öffentliche Stellen können unter bestimmten Bedingungen Zugang zu Daten erhalten, wenn diese für Aufgaben im öffentlichen Interesse benötigt werden.
Der Data Act ergänzt die bestehende EU-Cybersicherheitsregulierung. Wer vernetzte Produkte herstellt, muss parallel die Sicherheitsanforderungen des Cyber Resilience Act erfüllen. Für Produkte mit KI-Komponenten kommen die Vorgaben des AI Act hinzu.
Zentrale Inhalte des Data Acts
Der Data Act legt eine Reihe zentraler Regelungen fest, die das Zusammenspiel zwischen Herstellern, Nutzern, Dateninhabern und Datenempfängern neu ordnen. Diese Anforderungen sollen eine faire Datenwirtschaft fördern und zugleich sensible Informationen schützen.
Rechte der Nutzer: Zugang zu ihren Daten
Der Data Act räumt Nutzern vernetzter Produkte und verbundener Dienste das Recht ein, auf die Daten zuzugreifen, die bei der Nutzung entstehen. Diese Daten müssen unverzüglich, einfach, sicher und unentgeltlich in einem maschinenlesbaren Format bereitgestellt werden, sofern technisch möglich auch kontinuierlich und in Echtzeit.
Bereits vor Vertragsschluss müssen Anbieter darüber informieren, welche Daten ein Produkt generiert, in welchem Format und Umfang, wie sie gespeichert werden und auf welchem Weg der Nutzer darauf zugreift. Auf Verlangen des Nutzers müssen Dateninhaber die Daten zudem an Dritte weitergeben.
Verpflichtungen bei der Datenweitergabe
Ist ein Dateninhaber gesetzlich verpflichtet, einem Datenempfänger Daten bereitzustellen, muss dies zu fairen, angemessenen und nichtdiskriminierenden Bedingungen (sog. FRAND-Grundsatz) geschehen. Damit soll verhindert werden, dass marktstarke Unternehmen den Datenzugang über überhöhte oder ungleiche Konditionen steuern.
Der Schutz von Geschäftsgeheimnissen bleibt gewahrt. Geschützte Daten sind nur offenzulegen, wenn zuvor die erforderlichen Schutzmaßnahmen vereinbart wurden. Bleibt der Geheimnisschutz gefährdet, kann der Dateninhaber die Weitergabe aussetzen oder verweigern. Die betroffenen Nutzer und gegebenenfalls die zuständige Behörde sind in diesen Fällen einzubeziehen.
Gesetzlich verpflichtender Datenaustausch
In bestimmten gesetzlich geregelten Situationen müssen Daten an andere Unternehmen (B2B) oder an öffentliche Stellen (B2G) weitergegeben werden. Für die Weitergabe an öffentliche Stellen verlangt der Data Act eine außergewöhnliche Notwendigkeit. Dazu zählt ein öffentlicher Notstand, der auch schwere Cybersicherheitsvorfälle umfasst, wie sie etwa unter die Meldepflichten der NIS-2 fallen. In anderen Fällen ist die Weitergabe auf nicht-personenbezogene Daten begrenzt, und Kleinst- sowie Kleinunternehmen sind ausgenommen.
Solche Verlangen müssen verhältnismäßig und spezifisch sein und dürfen nur die tatsächlich benötigten Daten betreffen. So bleibt der gesetzlich verpflichtende Datenaustausch an enge Voraussetzungen gebunden.
Förderung der Interoperabilität
Damit Daten zwischen Plattformen und Diensten fließen können, fördert der Data Act die Interoperabilität. Für gemeinsame europäische Datenräume gelten wesentliche Anforderungen, die den Datenaustausch über Sektorgrenzen hinweg erleichtern. Anbieter von Datenverarbeitungsdiensten müssen zudem den Wechsel zwischen Diensten und die Datenübertragbarkeit ermöglichen.
Beim Anbieterwechsel im Cloud-Bereich gilt eine gestaffelte Regelung. Ab dem 12. Januar 2027 dürfen für den Wechsel keine Wechselentgelte mehr erhoben werden. Bis dahin sind ermäßigte Entgelte zulässig, die die dem Anbieter entstehenden Kosten nicht übersteigen dürfen.
Schutz vor unrechtmäßigen Zugriffen aus Drittstaaten
Nicht-personenbezogene Daten, die in der EU gespeichert werden, sind vor rechtswidrigem Zugriff staatlicher Stellen aus Drittstaaten geschützt. Anbieter von Datenverarbeitungsdiensten müssen angemessene technische, organisatorische und rechtliche Maßnahmen treffen, um solche Zugriffe zu verhindern.
Entscheidungen von Gerichten oder Behörden aus Drittstaaten, die eine Übermittlung solcher Daten verlangen, werden nur anerkannt, wenn sie auf einer internationalen Übereinkunft beruhen. So bleibt der Datenschutz auch bei internationalen Anfragen gewahrt.
Implikationen für Produkthersteller
Der Data Act erfordert von Herstellern vernetzter Produkte klare Anpassungen, um die neuen Anforderungen zu erfüllen. Die Designpflicht aus Artikel 3 greift für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden.
- Technische Anforderungen: Produkte und verbundene Dienste müssen so gestaltet sein, dass die bei der Nutzung entstehenden Daten standardmäßig einfach, sicher und in einem maschinenlesbaren Format zugänglich sind, sofern technisch möglich auch direkt.
- Schutz von Geschäftsgeheimnissen: Der Zugang zu Daten darf nur verweigert oder ausgesetzt werden, wenn ohne die vereinbarten Schutzmaßnahmen ein Geschäftsgeheimnis gefährdet würde. Solche Fälle sind nachvollziehbar zu begründen, betroffene Nutzer und gegebenenfalls die zuständige Behörde sind einzubeziehen.
- Informationspflichten: Hersteller müssen Nutzer schon vor Vertragsschluss transparent über Art, Format und Umfang der Daten, ihre Generierung und Speicherung sowie die Zugangsmodalitäten informieren.
- Chancen für neue Geschäftsmodelle: Die geforderte Datenweitergabe eröffnet Potenziale für zusätzliche Services wie datenbasierte Wartung oder Optimierung. Hersteller können sich durch eine durchdachte Datennutzung im Wettbewerb differenzieren.
Wer vernetzte Maschinen herstellt, sollte den Data Act zusammen mit der Maschinenverordnung und dem Cyber Resilience Act betrachten. Die drei Rechtsakte greifen bei vernetzten Produkten ineinander und lassen sich in der Produktentwicklung gemeinsam adressieren.
Wie sich Sicherheits- und Konformitätsanforderungen dabei überschneiden, zeigt der Beitrag zu CRA und Maschinenverordnung.
Fazit und Ausblick
Der Data Act markiert einen Wendepunkt für den Umgang mit Daten in der EU. Mit klaren Regeln zu Zugang, Weitergabe und Interoperabilität schafft die Verordnung einen verbindlichen Rahmen, der die Rechte der Nutzer stärkt und zugleich Innovationen fördert. Für Unternehmen, insbesondere Maschinenbauer und IoT-Hersteller, bedeutet dies technische und organisatorische Anpassungen, aber auch Chancen durch neue datenbasierte Geschäftsmodelle.
Da die Pflichten gestaffelt greifen, lohnt sich ein Blick auf den eigenen Fristenplan: Die Designpflicht für neue Produkte, der entgeltfreie Cloud-Wechsel und die Vorgaben für Altverträge gelten zu unterschiedlichen Terminen. Die erfolgreiche Umsetzung hängt davon ab, wie gut Unternehmen die Anforderungen in ihre Produkte und Prozesse integrieren.