Data Act 360°: Ihre Roadmap zur Compliance
Veröffentlicht am 12th September 2025
Ein Rundumblick auf die verschiedenen Vorgaben und Anforderungen, die mit dem EU Data Act auf Unternehmen zukommen.
Am 11. Januar 2024 ist die europäische Datenverordnung (Data Act – Verordnung (EU) 2023/2854) in Kraft getreten, die ab dem 12. September 2025 zur Anwendung kommt. Der Data Act umfasst ein Potpourri rechtlicher Vorschriften, die für Unternehmen unterschiedlich relevant sein können.
Ziel des Data Acts
Der Data Act ist Teil der Europäischen Digitalstrategie, die das Ziel verfolgt, einen Binnenmarkt für Daten zu schaffen. Im Kern soll der Data Act ein neues Zugangsregime für Daten etablieren: Diejenigen, die durch die Nutzung von vernetzten Geräten Daten erzeugen, sollen zu diesen Daten Zugang erhalten und die Weitergabe der Daten an Dritte veranlassen können.
Der Data Act ist keine umsetzungsbedürftige Richtlinie, sondern eine direkt geltende Verordnung, folgt aber dem aktuellen Trend des Europäischen Verordnungsgebers, untechnischer von einem „Act“ statt konkret von einer „Regulation“ zu sprechen.
Warum ist das wichtig?
Verstöße gegen den Data Act werden durch die EU-Mitgliedstaaten sanktioniert, wobei die Art der Sanktionen (einschließlich der Höhe etwaiger Bußgelder) nicht direkt im Data Act geregelt ist, sondern von den einzelnen Mitgliedstaaten im nationalen Recht festgelegt wird. Zudem können Unternehmen zivilrechtlich in die Pflicht genommen werden, Ansprüche nach dem Data Act zu gewähren, aber auch selbst Ansprüche erhalten.
Ihre Roadmap zur Compliance
Wir haben einen Überblick über die wichtigsten Regelungskomplexe des Data Act für Sie zusammengestellt. In unserem interaktiven Whitepaper finden Sie verschiedene Beiträge, in denen wir die einzelnen Regelungskomplexe im Detail vorstellen, die Auswirkungen auf Unternehmen analysieren und Umsetzungsmaßnahmen aufzeigen. Hier können Sie das Whitepaper herunterladen.
- Was regelt der Data Act überhaupt?
Der Data Act beinhaltet verschiedene Regelungskomplexe, die je nach Geschäftsmodell für Unternehmen unterschiedlich relevant sind. Dieser Insight bietet einen Überblick über die Regelungskomplexe des Data Act.
- Geltendmachung von Ansprüchen unter dem Data Act
Die Vorgaben des Data Act treffen nicht nur ausgewählte Unternehmen, sondern jeden Hersteller oder Anbieter von vernetzten Produkten und verbundenen Diensten. Auch dürften Unternehmen wechselseitig auf Basis des Data Acts erheblich Druck aufeinander aufbauen. Dieser Insight beleuchtet daher die wichtigsten Anspruchskonstellationen, die erforderlichen vertraglichen Regelungen zwischen den Akteuren und gibt praktische Hilfestellungen für Unternehmen.
- Data Act und DSGVO – (wie) geht das zusammen?
Für Anbieter vernetzter Produkte und verbundener Dienste kommt mit dem Data Act die Pflicht, bestimmten Akteuren Zugang zu Daten über die Nutzung zu gewähren, die bei der Nutzung anfallen. Hiervon sind prinzipiell personenbezogene und nicht personenbezogene Daten gleichermaßen betroffen, denn der Data Act findet auf beide Datenarten Anwendung. Damit ist aber leider nicht automatisch gewährleistet, dass man sich künftig für Zwecke des Data Act eine differenzierte Betrachtung sparen könnte. Dieser Insight analysiert das Zusammenspiel von Data Act und DSGVO.
- Cloud-Switching unter dem Data Act
Neben Regelungen zu Datenzugang und Datennutzung enthält der Data Act – etwas versteckt – auch komplexe Regelungen zum Wechsel von Cloud-Providern, die ebenso massive Auswirkungen für Provider wie für Kunden von Cloud-Diensten haben können. Dieser Insight beleuchtet die zentralen Pflichten.
- Datenbereitstellung an den Staat und die EU
Eine besondere Nuance im Data Act enthält das Kapitel V („Bereitstellung von Daten für öffentliche Stellen, die Kommission, die Europäische Zentralbank und Einrichtungen der Union wegen außergewöhnlicher Notwendigkeit“). Wie der Titel schon sagt, geht es um Pflichten von Dateninhabern, öffentlichen Stellen der Mitgliedstaaten oder der EU in bestimmten außergewöhnlichen Situationen Daten bereitzustellen. Dieser Insight erläutert die verschiedenen Herausgabepflichten und Rechtsgrundlagen.
- Der Dateninhaber und der Nutzer als Zentralfiguren der Datenverordnung
Die IoT-bezogenen Rechte und Pflichten des Data Acts bestehen insbesondere zwischen dem „Dateninhaber“ und dem „Nutzer“. Das Gesetz zeigt sich bei deren Definition sehr vage und missverständlich. Dieser Insight erläutert, wie diese beiden Zentralfiguren rechtssicher erfasst werden können.
- Was sind eigentlich „ohne Weiteres verfügbare Daten“?
Für mehrere Ansprüche aus dem „IoT-Teil“ des Data Acts sind die „ohne Weiteres verfügbaren Daten“ besonders relevant. Diese Daten sollten von Dateninhabern bereits im Vorfeld möglicherweise geltend gemachter Ansprüche herausgearbeitet werden, um die Ansprüche entsprechend der gesetzlichen Anforderungen „unverzüglich“ umsetzen zu können. Dieser Insight erklärt, wann solche Daten vorliegen und wofür dies relevant ist.
