Der Data Act verändert die Spielregeln der europäischen Datenwirtschaft und schafft neue Vorgaben für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und digitalen Diensten. Die Vorgaben gelten branchenübergreifend für zahlreiche Hersteller, Anbieter, Nutzer und Dritte (inklusive Wettbewerber) über viele vernetzte Produkte und digitale Services hinweg.

Dieser fünfteilige Leitfaden zeigt konkret, was jetzt zu tun ist: Er erklärt die wichtigen Regelungen, ihre praktischen Auswirkungen und gibt praxisnahe Tipps für Hersteller, Anbieter, Nutzer und Datenempfänger.

Business sichern, Risiken minimieren, Chancen nutzen.

Sie können auch hier klicken, um die Präsentation als PDF-Datei herunterladen.

1. Gamechanger für vernetzte Produkte und datengetriebene Dienste

Der Data Act, der ab dem 12. September 2025 gültig ist, schafft neue Spielregeln für den Umgang mit Daten und beeinflusst die gesamte digitale Wirtschaft.

Datenzugangsrechte: Der Data Act regelt klar, wer auf welche Daten von vernetzten Produkten und Diensten zugreifen darf.

Datennutzungsbedingungen: Es wird neu festgelegt, wer Daten unter welchen Bedingungen nutzen darf, um Transparenz und Fairness zu gewährleisten.

Wechsel von Diensten: Der Wechsel zwischen Cloud- und Edge-Services wird vereinfacht.

Veränderte Rahmenbedingungen: Die technischen, kommerziellen und rechtlichen Spielregeln werden grundlegend verändert und gesetzlich vorgeschrieben.

Auswirkungen auf nahezu alle Marktteilnehmer: Die Vorgaben gelten für Anbieter, Nutzer und Dritte (inklusive Wettbewerber) über viele vernetzte Produkte und digitale Services hinweg.

2. Data Act: Herausforderung und Chance zugleich

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich. Alle betroffenen Unternehmen sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Produkte, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

Die wichtigsten Termine im Überblick:

  • 12.09.2025: Datenzugangsrechte, eingeschränkte Datennutzungsrechte und Missbrauchskontrolle treten in Kraft.
  • Einfacherer Wechsel von Cloud/Edge: Regelungen für den Dienstleisterwechsel gelten vom 12.09.2025 bis 12.01.2027.
  • Access-by-Design Pflichten ab 12.09.2026: Ab diesem Datum müssen neue Produkte den direkten Datenzugang standardmäßig ermöglichen.

3. Ziele des Data Act

Der Data Act verfolgt mehrere zentrale Ziele, um den Datenmarkt in der EU zu stärken und zu regulieren:

  • Einheitliche Vorgaben: Er schafft faire Business-to-Consumer (B2C), Business-to-Business (B2B) und Business-to-Government (B2G) Regelungen für Datenzugang und Datennutzung.
  • Faire Vergütung: Die einfachere Datennutzung wird mit einer gerechten Entlohnung des Mehrwerts verbunden.
  • Investitionsanreize: Der Act fördert datengestützte Investitionen zur Wertschöpfung.
  • Dienstleisterwechsel: Der Wechsel zwischen Cloud- und Edge-Diensten wird erleichtert.
  • Interoperabilität: Standards für die Datenweiterverwendung werden entwickelt.
  • Gatekeeper-Grenzen: Es werden Beschränkungen für den Datenzugriff durch marktbeherrschende Gatekeeper eingeführt.
  • KMU-Vorteile: Kleine und mittlere Unternehmen erhalten vorteilhafte Bedingungen für den Datenzugang.
  • B2G Datenaustausch: Der Datenaustausch mit Behörden in Notfällen und Krisen wird geregelt.
  • Drittland-Schutz: Es wird Schutz vor unrechtmäßiger Datenübermittlung in Drittländer gewährleistet.

4. Wesentliche Inhalte

Der Data Act regelt umfassend und komplex den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten.

  • Die Regelungen enthalten umfassende Datenzugangspflichten und Informationspflichten für Daten von vernetzten Produkten und verbundenen Diensten gemäß Artikel 3 bis 6.
  • Es werden zwingende Anforderungen an Datennutzungsverträge, Allgemeine Geschäftsbedingungen (AGB) und Vertragsbestimmungen gestellt (Artikel 4 Nummer 13).
  • Zudem gelten Beschränkungen für Datennutzungsrechte von Anbietern, Nutzern und Dritten nach Artikel 4 bis 10.
  • Eine Missbrauchskontrolle unfairer, nicht verhandelbarer Vertragsklauseln ist in Artikel 13 vorgesehen.
  • Die Vergütungsregelungen für den Datenzugang für Nutzer oder Dritte können kostenlos oder fair und angemessen gestaltet sein, wie in Artikel 8 bis 10 geregelt.
  • Schließlich wird die Erleichterung des Wechsels zwischen Datenverarbeitungsdiensten wie Cloud, Edge, Infrastructure-as-a-Service (IaaS) oder Platform-as-a-Service (PaaS) in den Artikeln 23 bis 26 geregelt.

5. Anwendungsbereich – Vernetzte Produkte

Der Data Act erfasst alle vernetzten Produkte und Systeme, die durch Sensoren, Software oder Netzwerkverbindungen bei ihrer bestimmungsgemäßen Nutzung Daten generieren, sammeln oder verarbeiten.

  • Dazu gehören vernetzte Fahrzeuge, Flugzeuge, Schiffe und Züge sowie Smart Homes und Consumer Devices.
  • Baumaschinen und Baugeräte fallen unter die Regelung, ebenso wie Industriemaschinen, Fertigungsanlagen, Robotik und Automatisierungssysteme.
  • Landwirtschaftliche Maschinen sind ebenfalls erfasst, genauso wie medizinische Geräte und Wearables.
  • Virtuelle Assistenten und IoT Hubs gehören zum Anwendungsbereich, und im Bereich Energie und Infrastruktur werden Smart Meter, Energiemanagementsysteme und Building Management erfasst.

6. Anwendungsbereich – Verbundene Dienste

Ein verbundener Dienst ist jeder digitale Dienst – einschließlich Software –, der so mit einem vernetzten Produkt verknüpft ist, dass er dessen Funktionen, Verhalten oder Betrieb beeinflusst. Der Dienst kann bereits beim Kauf oder Leasing bestehen oder nachträglich hinzugefügt werden, um Funktionen zu ergänzen oder zu aktualisieren.

  1. Kernkriterien: Bidirektionalität Ein wesentliches Merkmal verbundener Dienste ist, dass ein wechselseitiger Datenaustausch zwischen Produkt und Dienst stattfindet.
  2. Kernkriterien: Funktionale Relevanz Ohne den Dienst könnte das Produkt eine oder mehrere seiner Funktionen nicht ausführen.

Erfasst:

  • Steuerung Dazu gehören beispielsweise Apps zur Fernbedienung wie für Heizung oder Thermostat.
  • Optimierung Navigationsdienste, die Routen auf das Fahrzeugdisplay senden, fallen ebenfalls darunter.
  • Wartung Remote-Update-Dienste für Firmware, die Funktionen anpassen, sind verbundene Dienste.
  • Analyse Fitness-Apps, die Uhrendaten visualisieren und so die Gerätefunktion ergänzen, gehören zum Anwendungsbereich.

NICHT erfasst:

  • Reine Info-Anzeige Apps, die Daten nur abrufen, ohne das Gerät zu steuern, fallen nicht unter die Regelung.
  • Infrastruktur und Kommunikationsdienste Dienste wie Internetzugang oder Stromversorgung sind ausgenommen.
  • Finanzdienste Versicherungen, die Daten nur zur Tarifberechnung nutzen, werden nicht erfasst.

7. Anwendungsbereich – Erfasste Produktdaten

Der Data Act erfasst viele Daten, die während der Nutzung vernetzter Produkte und verbundener Dienste generiert oder gesammelt werden. Die genaue Abgrenzung ist entscheidend für die Anwendung der Zugangs- und Teilungspflichten.

  1. Produktdaten (Product Data): Dies sind alle Daten, sowohl personenbezogen als auch nicht-personenbezogen, die durch die Nutzung eines vernetzten Produkts generiert und abrufbar sind.
  2. Verbundene Dienstdaten (Related Service Data): Hierzu zählen Daten aus Nutzeraktionen oder Ereignissen, die bei der Bereitstellung eines Online-Dienstes in Verbindung mit einem vernetzten Produkt oder Dienst generiert werden.
  3. “Ohne Weiteres verfügbare” Daten: Dies sind Produktdaten und verbundene Dienstdaten, die während des Betriebs durch direkten Abruf vom Produkt oder verbundenen Dienst ohne unverhältnismäßigen Aufwand rechtmäßig gewonnen werden können.

Konkrete Produktdaten

Produktdaten umfassen verschiedene Kategorien von Informationen, die während der Nutzung vernetzter Produkte generiert werden.

  • Umgebungs- und Interaktionsdaten: Dies sind Daten zur Umgebung des Produkts oder seiner Interaktionen mit Nutzern und anderen Geräten.
  • Sensordaten und Nutzerinteraktionen: Hierzu gehören automatisch generierte Sensordaten und abgeleitete Daten aus Nutzeraktionen.
  • Status- und Fehlerdaten: Vom Gerät selbst generierte Informationen über dessen technischen Zustand oder aufgetretene Fehler fallen in diese Kategorie.
  • Standortdaten: Geografische Positionsangaben und ähnliche ortsbezogene Informationen werden erfasst.
  • Rohdaten und Metadaten: Unverarbeitete Messwerte sowie beschreibende Informationen wie API-Dokumentationen für deren Interpretation gehören zu den Produktdaten.

8. Anwendungsbereich – Nicht erfasste Daten

Der Data Act definiert auch wichtige Ausnahmen, bei denen die Zugangs- und Teilungspflichten nicht greifen.

  • Abgeleitete “veredelte” Daten mit Zusatzinvestitionen: Abgeleitete oder derivative Daten, die das Ergebnis zusätzlicher substanzieller Investitionen sind, genießen besonderen Schutz. Dateninhaber sind nicht verpflichtet, solche durch erheblichen zusätzlichen Aufwand gewonnenen Daten zu teilen.
  • Content-Daten: Daten, die während der Nutzung von Content generiert werden – etwa beim Aufzeichnen, Übertragen, Anzeigen oder Abspielen von Inhalten – fallen nicht unter die Datenteilungspflichten.
  • Daten im Auftrag Dritter: Daten, die von vernetzten Produkten oder verbundenen Diensten im Auftrag Dritter (nicht des Nutzers) zur Speicherung oder Verarbeitung auf Servern oder in der Cloud abgerufen, generiert, darauf zugegriffen oder dorthin übertragen werden, sind ausgenommen.
  • Test- und Entwicklungsdaten: Daten aus Tests neuer Produkte oder Verfahren, die noch nicht auf dem Markt platziert sind (Artikel 5 Absatz 2 des Data Act), sind vom Anwendungsbereich ausgenommen.

9. Anwendungsbereich – Adressaten der Regelungen

Der Data Act definiert verschiedene Akteure und ordnet ihnen spezifische Rechte und Pflichten zu. Das Verständnis dieser Rollen ist fundamental für die Erfüllung der Anforderungen und die Gestaltung von Verträgen und Geschäftsprozessen.

  1. Hersteller und Anbieter: Dies sind Unternehmen, die vernetzte Produkte herstellen, vertreiben oder verbundene Dienste anbieten. Sie tragen die Hauptverantwortung für die Implementierung der Datenzugangspflichten.
  2. Nutzer: Natürliche oder juristische Personen, die vernetzte Produkte erwerben, mieten oder nutzen, erhalten umfassende Rechte auf Zugang zu den durch die Nutzung generierten Daten.
  3. Dateninhaber: Jede Partei, die rechtmäßigen Zugang zu Daten hat und technisch in der Lage ist, diese Daten bereitzustellen, wird als Dateninhaber bezeichnet – typischerweise Hersteller, Verkäufer, Anbieter oder Service-Provider.
  4. Datenempfänger: Dritte Parteien, die vom Nutzer autorisiert werden, Zugang zu den Produktdaten zu erhalten, etwa für Wartung, Reparatur oder die Entwicklung komplementärer Dienste.

10. Der Nutzer – Rechteinhaber

Der Begriff des “Nutzers” ist weit gefasst und umfasst alle Personen oder Organisationen, die ein vernetztes Produkt oder einen verbundenen Dienst auf Grundlage einer rechtlichen Beziehung verwenden.

  • Käufer (Eigentümer): Personen oder Unternehmen, die ein vernetztes Produkt erworben haben und dessen Eigentümer sind.
  • Mieter (Pächter): Parteien, die ein Produkt im Rahmen eines Mietvertrags nutzen und während der Mietdauer Zugangsrechte besitzen.
  • Leasingnehmer: Unternehmen oder Privatpersonen, die Produkte im Rahmen von Leasingvereinbarungen nutzen.
  • Lizenznehmer: Nutzer, die auf Basis von Softwarelizenzen oder Nutzungsrechten Zugang zu vernetzten Diensten haben.
  • Dienstleistungsempfänger: Kunden, die Cloud-Services, Software-as-a-Service-Lösungen oder andere vernetzte Dienste in Anspruch nehmen.

11. Der Dateninhaber – Verpflichteter zur Datenbereitstellung

Der Dateninhaber trägt die zentrale Verantwortung für die Umsetzung der Datenzugangspflichten. Dateninhaber sind verschiedene Akteure in der Wertschöpfungskette, die faktischen oder rechtlichen Zugang zu den Produktdaten haben und diese technisch bereitstellen können.

  • Hersteller: Produzenten vernetzter Produkte, die über Backend-Systeme direkten Zugang zu den Nutzungsdaten haben.
  • Verkäufer: Vertriebspartner, die im Rahmen ihrer Geschäftstätigkeit Zugang zu Produktdaten erhalten oder verwalten.
  • Lizenzgeber: Anbieter von Software und Plattformen, die die Datengenerierung und -speicherung technisch ermöglichen.
  • Leasinggeber: Unternehmen, die vernetzte Produkte verleasen und dabei als Datenintermediäre fungieren.
  • Service-Provider: Cloud-Dienste und Plattformbetreiber, die Daten im Auftrag von Herstellern oder Nutzern verarbeiten und speichern.

12. Komplexe Rollen: Das Automobil-Leasing-Beispiel

Wer als Nutzer (User), Dateninhaber (Data Holder) oder Datenempfänger gilt, ist in der Praxis hochkomplex. Ein Unternehmen kann gleichzeitig mehrere Rollen innehaben und je nach Konstellation unterschiedliche Rechte und Pflichten haben.

  • Fahrzeughersteller: Seine Rolle ist die des Dateninhabers für technische Fahrzeugdaten, da er die Datenerfassung und Backend-Systeme kontrolliert.
  • Leasinggesellschaft: Sie hat eine Doppelrolle: Sowohl Nutzer (als Eigentümerin mit Datenzugangsrechten gegenüber Hersteller) als auch Dateninhaber (für eigene Flottenmanagementdaten) mit Herausgabepflicht an Nutzer oder Dritte Datenempfänger.
  • Leasingnehmer: Seine Rolle ist die des Users mit eigenständigen Datenzugangsrechten, obwohl ihm nur temporäre Nutzungsrechte vertraglich übertragen wurden.
  • Familienangehörige: Ihre Rolle ist ungeklärt: Sind Ehepartner oder andere Familienangehörige, die das Fahrzeug faktisch nutzen, ebenfalls User mit eigenen Datenzugangsrechten?
  • Dritte (Versicherungen, Werkstätten): Ihre Rolle ist die potenzieller Datenempfänger, die auf Verlangen des Nutzers Datenzugang verlangen können.

13. Datenzugangspflichten: Der Überblick

Der Data Act unterscheidet drei zentrale Datenzugangskonzepte, die jeweils unterschiedliche Rechte und Pflichten mit sich bringen:

  1. Datenzugang für Nutzer: Der Nutzer muss ab dem 12. September 2026 direkten, kostenlosen und kontinuierlichen Zugang zu Daten auf Gerät oder Dienst haben (Access-by-Design) oder auf Anfrage Zugang erhalten.
  2. Datenzugang für Dritte (Datenempfänger): Der Nutzer kann verlangen, dass der Dateninhaber die Daten an Dritte weitergibt – auch an Wettbewerber des Dateninhabers. Dies ermöglicht neue Geschäftsmodelle, birgt jedoch auch erhebliche Risiken.
  3. Datenzugang für Behörden: Bei öffentlichem Interesse, in Notfällen und Krisensituationen wie Naturkatastrophen oder Pandemien können Behörden die unentgeltliche Herausgabe bestimmter nicht-personenbezogener Daten verlangen.

14. Datenzugang für Nutzer und Dritte – Varianten

Der Data Act verpflichtet zu drei Varianten des Datenzugangs, die unterschiedliche Anforderungen und Verpflichtungen mit sich bringen.

  1. Direkte Zugänglichkeit durch Design – “Access-by-Design” (Artikel 3): Nutzer müssen standardmäßig direkten Zugang zu Daten auf vernetzten Geräten oder verbundenen Diensten haben. Erfasste Daten sind Produktdaten und verbundene Dienstdaten.
  2. Zugang für Nutzer auf Anfrage (Artikel 4): Der Dateninhaber muss Daten auf Anfrage des Nutzers zur Verfügung stellen. Erfasste Daten sind “ohne Weiteres verfügbare” Produktdaten und “ohne Weiteres verfügbare” verbundene Dienstdaten.
  3. Zugang für Dritte auf Anfrage des Nutzers (Artikel 5, 6): Der Dateninhaber muss Daten auf Anfrage des Nutzers an Dritte (Datenempfänger) zur Verfügung stellen. Erfasste Daten sind “ohne Weiteres verfügbare” Produktdaten.

15. Sanktionen bei Verstößen

Bei Verstößen gegen den Data Act können empfindliche Bußgelder verhängt werden. Die EU-Mitgliedstaaten legen die konkreten Sanktionen fest, die jedoch wirksam, verhältnismäßig und abschreckend sein müssen.

  • Deutschland: In Deutschland können Bußgelder bis zu 500.000 Euro verhängt werden.
  • Gatekeeper (DMA): Für Gatekeeper im Sinne des Digital Markets Act können Bußgelder bis zu 4 Prozent des EU-Jahresumsatzes festgesetzt werden.
  • Europäische Bußgelder: Auf europäischer Ebene sind Bußgelder bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes möglich.

16. Zeitplan und Umsetzung

  • 12.09.2025: Ab diesem Datum gelten Datenzugangsrechte, eingeschränkte Datennutzungsrechte und Missbrauchskontrolle bereits.
  • 12.09.2026: Access-by-Design wird verpflichtend. Alle neuen Produkte müssen konform sein.
  • Laufend: Informationspflichten, Herausgabepflichten und Schutzmaßnahmen müssen umgesetzt werden.

Der Data Act bringt Herausforderungen und Chancen – technisch, kommerziell und rechtlich. Alle betroffenen Unternehmen sollten dringend mit der Implementierung beginnen, um Compliance sicherzustellen und Produkte, Geschäftsmodelle und wertvolle Assets angemessen zu schützen.

Fortsetzung folgt: Ihr Weg durch die Data-Act-Transformation

Die kommenden Teile dieses Leitfadens beleuchten entscheidende Details und Praxistipps für die erfolgreiche Umsetzung des Data Act.

Teil 2: Datennutzungsverträge bietet einen Leitfaden zur rechtssicheren Gestaltung von Datennutzungsverträgen.

Teil 3: Unfaire Klauseln behandelt die Erkennung und Anpassung unwirksamer Vertragsbedingungen.

Teil 4: Datenzugangsansprüche gibt Praxistipps zu Access-by-Design, Datenzugang für Nutzer und Herausgabe an Dritte sowie zum Schutz Ihrer wertvollen Assets.

Teil 5: Wechsel von Datenverarbeitungsdiensten präsentiert vertragliche, operative und kommerzielle Lösungen beim Anbieterwechsel.

Bleiben Sie dran!