Der EU Data Act ist die „Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung“ und gilt seit dem 12. September 2025 in der gesamten EU direkt. Er ist eine zentrale Säule der europäischen Datenstrategie und ergänzt den Data Governance Act.
Kernidee: Daten, die in der EU – insbesondere durch vernetzte Produkte und Dienste – entstehen, sollen leichter, fairer und rechtssicher nutzbar werden. Die Verordnung legt fest, wer auf diese Daten zugreifen darf und zu welchen Konditionen dies möglich ist.
Welche Produkte und Daten sind betroffen?
Im Mittelpunkt stehen vernetzte Produkte („Internet of Things“), also Geräte, die Daten über ihre Nutzung oder Umgebung erfassen und elektronisch übermitteln können. Beispiele sind vernetzte Fahrzeuge, Maschinen, Smart‑Home‑Geräte, Fitness-Tracker, Sprachassistenten oder smarte Haushaltsgeräte.
Erfasst werden sowohl personenbezogene als auch nicht‑personenbezogene Gerätedaten, wobei die DSGVO für personenbezogene Daten weiter gilt. Kommunikationsdienste (z.B. klassische Telekommunikationsdienste) gehören ausdrücklich nicht in den Anwendungsbereich.
Zentrale Rechte der Nutzer
Nutzer vernetzter Produkte (Verbraucher und Unternehmen) erhalten ein Recht auf Zugang zu den von ihren Geräten erzeugten Daten. Sie können verlangen, dass ihnen diese Daten einfach und möglichst in einem nutzbaren, standardisierten Format bereitgestellt werden.
Zudem dürfen Nutzer diese Daten Dritten (z.B. einem anderen Dienstleister oder Reparaturbetrieb) zur Verfügung stellen lassen, um neue Services zu nutzen oder den Anbieter zu wechseln. Der Data Act rückt damit die Nutzer in den Mittelpunkt der datenbasierten Wertschöpfung.
Pflichten für Unternehmen
Hersteller und Anbieter vernetzter Produkte und verbundener Dienste müssen technische und vertragliche Vorkehrungen treffen, damit der Datenaustausch überhaupt möglich ist. Dazu gehören u.a. klare Informationen, wie Daten entstehen, welche Daten verfügbar sind und wie der Zugang gewährt wird.
Zwischen Unternehmen gelten Regeln gegen missbräuchliche Vertragsklauseln beim Datenzugang und der Datennutzung, etwa einseitig vorgegebene, unangemessen benachteiligende Bedingungen. Außerdem soll der Wechsel zwischen Cloud‑Diensten („Cloud Switching“) rechtlich und technisch erleichtert werden.
Rolle des Staates und Schutz vor Drittstaatenzugriff
In Situationen „außergewöhnlicher Notwendigkeit“ (z.B. Naturkatastrophen) können Behörden verlangen, dass bestimmte Daten bereitgestellt werden, um öffentliche Aufgaben zu erfüllen. Zugleich enthält der Data Act Schutzmechanismen gegen unrechtmäßige Zugriffe von Behörden aus Drittstaaten auf in der EU gespeicherte nicht‑personenbezogene Daten.
Damit soll eine sichere Datenverarbeitungsumgebung gewährleistet und das Vertrauen von Unternehmen in europäische Dateninfrastrukturen gestärkt werden.
Zeitlicher Anwendungsbeginn
Die Verordnung ist am 11. Januar 2024 in Kraft getreten und gilt seit dem 12. September 2025 nach Ablauf einer Übergangsfrist. Für bestimmte Pflichten, z.B. zur Gestaltung vernetzter Produkte und Dienste, laufen zusätzliche Übergangsfristen bis zum 12. September 2026.
Unternehmen, die vernetzte Produkte oder Datenverarbeitungsdienste in der EU anbieten, sollten daher spätestens jetzt prüfen, ob ihre Verträge, Prozesse und technischen Schnittstellen den Vorgaben des Data Act entsprechen.
