Daten neu denken – der EU Data Act

Der EU Data Act ist seit dem 12. September 2025 unmittelbar anwendbar. Für Unternehmen, Juristinnen und Juristen sowie IT-Verantwortliche bringt der Data Act weitreichende Pflichten und neue Chancen mit sich.

Univ.-Prof. Dr. Anne Paschke, Professorin für Öffentliches Recht, Technikrecht und Recht der Digitalisierung und Direktorin des Instituts für Rechtswissenschaften an der Technischen Universität Braunschweig, sowie Rechtsanwalt Pascal Schumacher, Partner bei der Kanzlei NOERR, beantworten gemeinsam die wichtigsten Fragen. Sie sind zugleich Herausgeber des Kommentars »EU Data Act«, der im Verlag C.H.BECK erscheint.

Was ist das zentrale Ziel des EU Data Act?

Der Data Act soll den Zugang zu Daten in Europa neu ordnen. Im Kern geht es darum, Daten als Wirtschaftsgut verfügbar zu machen, und zwar fair, interoperabel und unter Wahrung von Rechten Dritter. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der Data Act den Zugang zu nicht personenbezogenen und gemischten Daten. Ziel ist es, die enormen Datenmengen, die etwa durch vernetzte Produkte und IoT-Dienste entstehen, für Unternehmen, Verbraucher und den Staat besser nutzbar zu machen. Das ist ein Paradigmenwechsel: weg von exklusivem Datenbesitz, hin zu einer Pflicht zur Datenweitergabe in bestimmten Fällen. Der Data Act ist damit neben der DSGVO das »zweite große Regelwerk« der EU für die digitale Wirtschaft.

Welche konkreten Pflichten ergeben sich nun für Unternehmen?

Unternehmen müssen zunächst prüfen, ob sie Dateninhaber im Sinne des Data Act sind, also Kontrolle über Daten aus der Nutzung eines vernetzten Produkts oder eines verbundenen Dienstes haben. Solche Dateninhaber sind verpflichtet,

• Nutzerinnen und Nutzern Zugriff auf die beim Gebrauch erzeugten Daten zu gewähren oder diese bereitzustellen,
• auf Verlangen auch Dritten Zugang zu gewähren, wenn der Nutzer dies wünscht,
• und bei Datenweitergaben transparente, faire und diskriminierungsfreie Bedingungen einzuhalten.

Daneben treffen Hersteller neue Design- und Informationspflichten: Produkte müssen so konzipiert sein, dass die Datennutzung technisch überhaupt möglich ist. Schließlich enthält der Data Act besondere Regeln für Cloud-Anbieter, etwa zur Datenportabilität, Interoperabilität und zur Vermeidung von Lock-in-Effekten. Für viele Unternehmen heißt das: Bestehende Vertragswerke, technische Schnittstellen und Datenstrategien müssen grundlegend überarbeitet werden.

Welche Branchen sind besonders betroffen – und warum?

Am stärksten betroffen sind Branchen mit datenintensiven, vernetzten Produkten:

• Automobilindustrie: Hier entstehen täglich riesige Datenmengen über Fahrzeugzustände, Nutzung und Umgebung.
• Maschinen- und Anlagenbau: Betriebsdaten aus Sensoren werden bislang exklusiv von den Herstellern ausgewertet.
• Smart-Home- und Energiewirtschaft: Hier stellt sich die Frage, wem die Daten gehören und wer sie nutzen darf.
• Cloud- und Softwarebranche: Portabilitäts- und Interoperabilitätsvorgaben greifen direkt in ihre Geschäftsmodelle ein.

Gemeinsam ist all diesen Sektoren, dass Daten zur zentralen Ressource der Wertschöpfung werden, und der Data Act dazu zwingt, diese Ressource künftig zu teilen.

Haben Sie ein konkretes Beispiel?

Ein Beispiel ist das vernetzte Auto. Bislang fließen die Fahrdaten in der Regel ausschließlich an den Hersteller, der sie für Wartung, Entwicklung oder Versicherungsauswertungen nutzt. Nach dem Data Act muss der Fahrzeughersteller künftig auch dem Fahrzeughalter oder einer von ihm benannten Versicherung Zugriff auf diese Daten ermöglichen – etwa, um alternative Versicherungsangebote anzubieten. Für Hersteller bedeutet das zugleich, dass sie ihre Datenschnittstellen und Vertragsbedingungen neu gestalten müssen.

Gilt denn der EU Data Act für alle Unternehmen, oder gibt es Ausnahmen?

Der Data Act gilt grundsätzlich für alle Unternehmen, die in der EU vernetzte Produkte oder dazugehörige Dienste anbieten. Entscheidend ist nicht der Sitz des Unternehmens, sondern der Marktort: Wer Produkte oder Dienste in der EU vertreibt oder hier Datenzugang anbietet, fällt in den Anwendungsbereich – auch, wenn das Unternehmen außerhalb der EU ansässig ist.

Allerdings sieht der Data Act mehrere Ausnahmen und Differenzierungen vor. So sind etwa Kleinst- und kleine Unternehmen weitgehend von den Pflichten zur Datenbereitstellung befreit, um sie nicht unverhältnismäßig zu belasten. Ebenso gelten besondere Regeln für öffentliche Stellen, die Daten nur unter engen Voraussetzungen anfordern dürfen, etwa in Krisenfällen oder bei rechtlicher Verpflichtung.

Wie lässt sich der Data Act mit bestehenden Regelungen wie der DSGVO vereinbaren?

Der Data Act baut auf der DSGVO auf, soll aber nicht im Widerspruch zu ihr stehen. Beide Regelwerke sollen nach dem Willen des Gesetzgebers vielmehr ineinandergreifen. Wo personenbezogene Daten betroffen sind, bleibt die DSGVO vorrangig – etwa bei der Rechtsgrundlage der Verarbeitung oder bei Betroffenenrechten. Der Data Act ergänzt diese Perspektive um den Zugangs- und Nutzungsaspekt: Er schafft einen Anspruch, Daten überhaupt zu erhalten, und regelt, wie diese weitergegeben werden dürfen.

In der Praxis wird das nach unserer Erwartung zu erheblichen Überschneidungen und Abgrenzungsproblemen führen. Viele Datensätze, insbesondere im IoT-Umfeld, enthalten sowohl personenbezogene als auch nicht personenbezogene Elemente. Unternehmen müssen daher prüfen, ob sie Daten anonymisieren können, um sie im Rahmen des Data Act weiterzugeben, oder ob eine datenschutzrechtliche Einwilligung oder ein anderes Erlaubnistatbestandskonzept erforderlich ist. Auch Verantwortlichkeiten überschneiden sich: Wer ist »Dateninhaber« nach dem Data Act, wer »Verantwortlicher« im Sinne der DSGVO – und wie lassen sich beide Rollen vertraglich und organisatorisch trennen? Hier bestehen noch viele offene Fragen, etwa bei Cloud-Providern oder Herstellern vernetzter Geräte, die sowohl eigene als auch fremde Daten verarbeiten.Für Rechtsanwender bedeutet das: Der Data Act lässt sich nicht isoliert anwenden. Seine Umsetzung erfordert ein integriertes Compliance-Verständnis, das Datenschutz, Datenzugang, Vertragsgestaltung und IT-Sicherheit zusammenführt.

Welche rechtlichen Fallstricke sehen Sie aktuell bei der Umsetzung?

Die größten Risiken liegen in der praktischen Übersetzung der abstrakten Vorgaben in Unternehmensprozesse. Schon die Abgrenzung, welche Daten unter die Zugangs- und Bereitstellungspflichten fallen, ist komplex: Viele Datensätze sind »hybrid« und enthalten personenbezogene, technische und vertrauliche Informationen zugleich. Unternehmen müssen daher regelmäßig eine dreifache Prüfung nach Data Act, DSGVO und Geschäftsgeheimnisrecht vornehmen – ein erheblicher Aufwand in der Praxis. Ein weiterer Stolperstein ist die Rollenabgrenzung. Der Data Act unterscheidet Dateninhaber, Datennutzer und Empfänger; die DSGVO kennt Verantwortliche und Auftragsverarbeiter. Diese Kategorien decken sich selten. Wer etwa als Hersteller und Cloud-Anbieter agiert, kann in verschiedenen Rollen unterschiedlichen Pflichten unterliegen – das muss klar dokumentiert und vertraglich fixiert werden. Schließlich ist auch der Vollzug noch unklar. Die Mitgliedstaaten benennen unterschiedliche Aufsichtsbehörden – teils Datenschutz-, teils Wettbewerbsstellen. Das schafft ein fragmentiertes Umfeld und erschwert die Compliance-Planung. Unternehmen müssen ihre Daten-Governance ganzheitlich ausrichten, um Überschneidungen und Haftungsrisiken wirksam zu steuern.

Welche Strafen drohen bei Verstoß?

Der Data Act sieht Geldbußen vor, die sich an den Mechanismen der DSGVO orientieren. Die Mitgliedstaaten legen die genauen Bußgeldrahmen fest, die teilweise bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen können. Daneben drohen zivilrechtliche Ansprüche, etwa auf Herausgabe von Daten oder Unterlassung bei unzulässigen Klauseln.

Was empfehlen Sie Juristinnen und Juristen in Unternehmen jetzt konkret?

1. Zunächst: Transparenz schaffen. Unternehmen sollten ihre Datenflüsse kartieren: Welche Daten entstehen, wer hat Zugriff, wem werden sie überlassen?
2. Zweitens: Vertragliche und technische Strukturen prüfen. Bestehende AGB, Datenlizenzverträge und Cloud-Klauseln müssen auf Data-Act-Konformität überprüft werden.
3. Drittens: Compliance-Governance aufbauen. Die Schnittstellen zwischen Datenschutz, IT-Sicherheit und Datenmanagement müssen künftig enger verzahnt sein.
4. Und schließlich: Chancen nutzen. Der Data Act ist nicht nur eine Compliance-Pflicht, sondern eröffnet neue Geschäftsmodelle – etwa datengetriebene Kooperationen oder innovative Services. Wer frühzeitig investiert, kann aus der Pflicht zur Datenweitergabe eine strategische Stärke machen.

Vielen Dank für das Gespräch.

Prof. Dr. Anne Paschke

leitet an der TU Braunschweig den Lehrstuhl für Öffentliches Recht, Technikrecht und Recht der Digitalisierung und ist dort zugleich Direktorin des Instituts für Rechtswissenschaften. Ihre Forschungsschwerpunkte liegen im Recht der Digitalisierung, im Daten(schutz)recht, im Medienrecht und im IT-Sicherheitsrecht.

Pascal Schumacher

ist Partner bei der Kanzlei NOERR und leitet die Praxisgruppe Data, Tech & Telecoms.Er berät Industrieunternehmen ebenso wie Tech-Start-ups zu Projekten, Kooperationen und Transaktionen mit den Schwerpunkten Daten, Technologie, Telekommunikation und Infrastruktur.

Mit dem kostenlosen beck-shop.de-Newsletter speziell zum Datenschutz informieren wir Sie aktuell und kompetent über wichtige Neuerscheinungen, Toptitel und Neuauflagen. Des Weiteren haben Sie die Möglichkeit, den wöchentlichen Neuerscheinungsdienst so zu gestalten, dass Sie nur über die für Sie relevanten Rechtsgebiete informiert werden.

Stand: Januar 2026