EU Data Act

1. Was ist der EU Data Act?

Der Data Act ist das zentrale Regelwerk der Europäischen Union für den Zugang zu und die Nutzung von nicht-personenbezogenen Daten. Er ergänzt die DSGVO, die für personenbezogene Daten gilt, und schafft erstmals einen klaren Rechtsrahmen für Industriedaten – also Daten, die etwa durch IoT-Geräte, Maschinen, Fahrzeuge oder smarte Alltagsprodukte erzeugt werden.

Ziel der Verordnung ist es, Datensilos aufzubrechen und den freien Datenfluss im europäischen Binnenmarkt zu fördern. Nutzerinnen und Nutzer – ob Verbraucher oder Unternehmen – sollen mehr Kontrolle über die von ihnen generierten Daten erhalten.

2. Wen betrifft der Data Act?

Der Data Act richtet sich an drei Hauptgruppen:

• Hersteller vernetzter Produkte (z. B. Maschinen- und Anlagenbau, Automobilindustrie oder Smart-Home- und Energiewirtschaft) und deren Serviceanbieter
• Anbieter datenverarbeitender Dienste (insbesondere Cloud- und Edge-Computing-Anbieter)
• Öffentliche Stellen, die unter bestimmten Voraussetzungen Zugang zu Daten verlangen können

Wichtig: Auch kleine und mittlere Unternehmen (KMU) sowie Startups sind erfasst – für sie gelten jedoch in Teilen erleichterte Pflichten.

3. Die zentralen Pflichten im Überblick

a) Datenzugangsrecht für Nutzer

Wer ein vernetztes Produkt nutzt oder einen datenbasierten Dienst in Anspruch nimmt, hat das Recht auf Zugang zu den dabei generierten Daten – und zwar in Echtzeit, kostenlos und in einem maschinenlesbaren Format. Hersteller und Anbieter müssen diesen Zugang technisch ermöglichen und bereits bei der Produktgestaltung berücksichtigen („Data by Design“).

b) Daten-Sharing mit Dritten

Nutzer können verlangen, dass ihre Daten an Dritte – etwa alternative Dienstleister – weitergegeben werden. Dies soll den Wettbewerb fördern und Anbieter-Lock-in verhindern. Für das Daten-Sharing gelten jedoch strenge Anforderungen an Transparenz und Fairness.

c) Faire Vertragsgestaltung (B2B)

Der Data Act enthält erstmals verbindliche Regelungen zu Daten-Sharing-Verträgen zwischen Unternehmen. Unfaire Vertragsbedingungen, die einem Vertragspartner einseitig aufgezwungen werden, sind untersagt. Die Verordnung enthält eine Klausel-Blacklist und ermächtigt die EU-Kommission, Mustervertragsbedingungen herauszugeben.

d) Wechsel zwischen Cloud-Anbietern

Cloud-Anbieter müssen den Wechsel zu einem anderen Anbieter aktiv unterstützen. Übermäßige technische oder vertragliche Hürden sowie Switching-Gebühren sollen bis 2027 vollständig entfallen.

e) Datenzugang für Behörden

In Ausnahmesituationen – etwa bei Naturkatastrophen oder öffentlichen Notlagen – können Behörden von Unternehmen die Herausgabe von Daten verlangen. Dieser Zugang ist an strenge Voraussetzungen geknüpft und zeitlich begrenzt.

4. Verhältnis zur DSGVO

Der Data Act und die DSGVO ergänzen sich gegenseitig. Enthalten Nutzungsdaten auch personenbezogene Informationen – was in der Praxis häufig der Fall ist –, müssen beide Regelwerke gleichzeitig eingehalten werden. Die DSGVO geht dabei vor, soweit sie spezifischere Anforderungen enthält. Unternehmen sollten daher eine integrierte Datenstrategie entwickeln, die beide Verordnungen abdeckt.

5. Sanktionen

Die Mitgliedstaaten sind verpflichtet, wirksame, verhältnismäßige und abschreckende Sanktionen festzulegen. Sie orientieren sich an den Mechanismen der DSGVO. Für Verstöße gegen Kernanforderungen sind empfindliche Bußgelder vorgesehen. Die genaue Ausgestaltung obliegt dem nationalen Gesetzgeber, die teilweise bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes betragen können – in Deutschland ist die entsprechende Umsetzungsgesetzgebung derzeit in Vorbereitung.

6. Fazit & nächste Schritte

Der EU Data Act markiert einen Paradigmenwechsel im Umgang mit Industriedaten. Unternehmen sollten die verbleibende Zeit nutzen, um ihre Compliance-Strukturen anzupassen.