1 Einführung
Regelt Zugang zu Daten
Der EU Data Act (Verordnung (EU) 2023/2854) – im Deutschen auch als EU-Datenverordnung bezeichnet – verfolgt das Ziel, einheitliche Regeln für den fairen Zugang zu und die Nutzung von Daten innerhalb der EU zu schaffen. Der Data Act ergänzt die bestehende Rechtslandschaft im Bereich Datenschutz, etwa die DSGVO und den Data Governance Act, und fördert den Zugang zu Daten aus vernetzten Produkten und Diensten. Dabei wird sichergestellt, dass Datenschutz, Geschäftsgeheimnisse und Informationssicherheit gewahrt bleiben.
Der EU Data Act (Verordnung (EU) 2023/2854) – im Deutschen auch als EU-Datenverordnung bezeichnet – verfolgt das Ziel, einheitliche Regeln für den fairen Zugang zu und die Nutzung von Daten innerhalb der EU zu schaffen. Der Data Act ergänzt die bestehende Rechtslandschaft im Bereich Datenschutz, etwa die DSGVO und den Data Governance Act, und fördert den Zugang zu Daten aus vernetzten Produkten und Diensten. Dabei wird sichergestellt, dass Datenschutz, Geschäftsgeheimnisse und Informationssicherheit gewahrt bleiben.
Gültigkeit und Einordnung
Die Verordnung ist am 11. Januar 2024 in Kraft getreten und gilt seit dem 12. September 2025. Einzelne Pflichten zur Umsetzung der gesetzlichen Anforderungen greifen in einem gestaffelten Zeitplan (siehe Abschnitt 3). So gelten die Pflichten zur Zugänglichkeit „by design” von Daten aus vernetzten Produkten z. B. erst für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden. Im Gegensatz zur DSGVO erstreckt sich der EU Data Act auf personenbezogene und nicht personenbezogene Daten; im Konfliktfall geht jedoch das Datenschutzrecht vor. Rechte der Betroffenen nach der DSGVO – etwa das Recht auf Auskunft (DSGVO, Art. 15) und das Recht auf Datenübertragbarkeit (DSGVO, Art. 20) – werden durch den EU Data Act ergänzt.
Die Verordnung ist am 11. Januar 2024 in Kraft getreten und gilt seit dem 12. September 2025. Einzelne Pflichten zur Umsetzung der gesetzlichen Anforderungen greifen in einem gestaffelten Zeitplan (siehe Abschnitt 3). So gelten die Pflichten zur Zugänglichkeit „by design” von Daten aus vernetzten Produkten z. B. erst für Produkte, die nach dem 12. September 2026 in Verkehr gebracht werden. Im Gegensatz zur DSGVO erstreckt sich der EU Data Act auf personenbezogene und nicht personenbezogene Daten; im Konfliktfall geht jedoch das Datenschutzrecht vor. Rechte der Betroffenen nach der DSGVO – etwa das Recht auf Auskunft (DSGVO, Art. 15) und das Recht auf Datenübertragbarkeit (DSGVO, Art. 20) – werden durch den EU Data Act ergänzt.
2 Zielsetzung Data Act
Die Zielsetzung im Data Act lässt sich wie folgt zusammenfassen:
| • | Stärkung von Nutzerrechten (Unternehmen und Verbraucher, die vernetzte Produkte nutzen), damit sie Zugriff auf die von ihnen generierten Daten erhalten und diese mit Dritten ihrer Wahl teilen können. |
| • | Fairness und Verhandlungsparität im B2B-Datenzugang durch Regeln zu FRAND-Bedingungen (fair, angemessen, nicht diskriminierend) und durch Schranken gegen unfaire (benachteiligende) Vertragsklauseln. |
| • | B2G-Zugang: Bereitstellung von Daten für öffentliche Stellen in Fällen „außergewöhnlichen Bedarfs” (z. B. bei öffentlichen Notlagen) unter Wahrung der Verhältnismäßigkeit, der Transparenz und des Schutzes von Geschäftsgeheimnissen. |
| • | Cloud-/Edge-Portabilität und Interoperabilität: Hindernisse beim Wechsel zwischen Datenverarbeitungsdiensten abbauen, Switching(Wechsel)-Gebühren schrittweise abschaffen und offene Schnittstellen zum Datenaustausch fördern. |
| • | Rechtssicherheit gegenüber Drittstaatenzugriffen auf nicht personenbezogene Daten bei Cloud-Anbietern. |
| • | Anpassungen beim speziellen (urheberrechtlichen) Schutzrecht für Datenbanken (Sui-generis-Recht), damit es nicht den gesetzlich vorgesehenen Zugang zu Daten aus vernetzten Geräten (IoT) oder Produktdaten blockiert. |
3 Wesentliche Inhalte
Geltungsbereich und Rollen
Die Verordnung gliedert die Pflichten der durch den Data Act Verpflichteten entsprechend den jeweils einschlägigen in der Praxis auftretenden Konstellationen, die im Nachfolgenden zunächst im Überblick und dann einzeln zusammenfassend dargestellt werden.
Die Verordnung gliedert die Pflichten der durch den Data Act Verpflichteten entsprechend den jeweils einschlägigen in der Praxis auftretenden Konstellationen, die im Nachfolgenden zunächst im Überblick und dann einzeln zusammenfassend dargestellt werden.
| • | Data Act Kapitel II – B2C/B2B-Zugang zu Daten aus vernetzten Produkten und verbundenen Diensten |
| • | Data Act Kapitel III – Datenzugang aufgrund gesetzlicher Pflichten |
| • | Data Act Kapitel IV – B2B-Vertragsfairness |
| • | Data Act Kapitel V – B2G bei außergewöhnlichem Bedarf |
| • | Data Act Kapitel VI bis VIII – Wechsel/interoperable Nutzung von Datenverarbeitungsdiensten inkl. internationaler Zugriffe |
| • | Data Act Kapitel IX – DurchsetzungEs wird klargestellt, dass die Verordnung gegenüber Herstellern/Anbietern vernetzter Produkte, Dateninhabern, Nutzern, Datenempfängern und Anbietern von Datenverarbeitungsdiensten – jeweils mit EU-Bezug – gilt und damit durchgesetzt werden kann. Kleinst- und Kleinunternehmen sind in Teilen (Kap. II) ausgenommen. Diese Erleichterungen gelten für sie jedoch nicht (mehr), wenn sie als Subunternehmer für größere Partner tätig werden. Gatekeeper nach dem Digital Markets Act sind keine zulässigen Drittparteien für den Datenerhalt auf Nutzerwunsch. |
3.1 Zugang zu Daten aus vernetzten Produkten
Hersteller müssen vernetzte Produkte/Dienste so gestalten, dass Produkt- und Servicedaten (inkl. notwendiger Metadaten) leicht, sicher, kostenlos und in einem strukturierten, gängigen, maschinenlesbaren Format für den Nutzer zugänglich sind (data by design/by default). Nutzer dürfen diese Daten in Echtzeit an Dritte ihrer Wahl weitergeben (z. B. für Wartung, Reparatur, Analytik). Für neue Produkte (Inverkehrbringen nach dem 12.09.2026) gilt die Designpflicht zwingend. Dateninhaber dürfen im B2B-Pflichtzugang (sei es unter dem EU Data Act oder sektorspezifischem Recht) angemessene, nicht diskriminierende Vergütung verlangen; die Berechnungsbasis ist offenzulegen. Dispute-Settlement-Stellen (Streitbeilegungsstellen) müssen für Betroffene zugänglich sein.