rechtec

Der EU Data Act tritt ab dem 12. September 2025 in Kraft – Handlungsbedarf für Unternehmen

Am 12. September 2025 wird der EU Data Act (Verordnung (EU) 2023/2854) unmittelbar in allen Mitgliedstaaten anwendbar. Ziel der Verordnung ist es, die Nutzung und Weitergabe von Daten, insbesondere aus vernetzten Geräten und IoT-Anwendungen, europaweit einheitlich zu regeln. Für Unternehmen bedeutet das: Sie müssen sich rechtzeitig auf neue Pflichten, Rechte und Verantwortlichkeiten einstellen.

Was regelt der Data Act?

Der Data Act schafft einen Rechtsrahmen für die Zugänglichkeit und Weitergabe von Daten, die durch vernetzte Produkte und Dienstleistungen generiert werden. Kernpunkte sind:

Nutzungsrechte: Nutzer erhalten einen Anspruch auf Zugang zu den Daten, die durch ihre Geräte erzeugt werden.
Datenweitergabe: Unternehmen müssen diese Daten auf Anfrage auch an Dritte weitergeben – unter fairen, transparenten und diskriminierungsfreien Bedingungen.
Vertragliche Fairness: Standardklauseln sollen verhindern, dass kleinere Unternehmen durch einseitige Vertragsgestaltungen benachteiligt werden.
Cloud-Wechsel: Anbieter von Cloud-Diensten müssen einen einfachen Wechsel zu anderen Anbietern ermöglichen.
Schutz sensibler Daten: Es gelten besondere Vorgaben zum Schutz von Geschäftsgeheimnissen und zur Vermeidung missbräuchlicher Datenverwertung.

Praxisbeispiele: Wann greift der Data Act?

Damit die neuen Vorgaben greifbarer werden, nachfolgend einige typische Anwendungsfälle, in denen Unternehmen künftig Pflichten aus dem Data Act erfüllen müssen:

1. Vernetzte Maschinen im industriellen Umfeld (Industrie 4.0)

Ein Maschinenhersteller verkauft eine Produktionsanlage, die während des Betriebs Daten über Auslastung, Verschleiß und Energieverbrauch generiert.

Bisher: Nur der Hersteller konnte diese Daten auswerten.
Neu: Der Kunde (z. B. ein produzierendes Unternehmen) hat das Recht, diese Daten direkt zu erhalten und sie auch an einen unabhängigen Wartungsdienstleister weiterzugeben.
Pflicht für den Hersteller: Technische Schnittstellen für den Datenzugang bereitstellen und vertraglich faire Bedingungen schaffen.

2. Smart-Home-Geräte und Verbraucherdaten

Ein Anbieter von smarten Haushaltsgeräten (z. B. Heizungen, Kühlschränke, Stromspeicher) speichert Nutzungsdaten in der eigenen Cloud.

Bisher: Der Anbieter konnte die Datennutzung weitgehend allein bestimmen.
Neu: Der Verbraucher darf die Daten einsehen und auch an einen Drittanbieter (z. B. einen Energieberater) weiterleiten.
Pflicht für den Anbieter: Kostenfreien Datenzugang gewährleisten, Missbrauch verhindern und Datenschutz sicherstellen.

3. Landwirtschaft und Smart-Farming

Ein Landwirt nutzt vernetzte Traktoren und Sensoren, die Daten über Bodenfeuchtigkeit, Erträge oder Maschinenleistung sammeln.

Bisher: Diese Daten waren oft nur dem Hersteller der Maschinen zugänglich.
Neu: Der Landwirt darf die Daten an Dritte (z. B. ein Start-up mit einer Software für Ertragsoptimierung) weitergeben.
Pflicht für den Hersteller: Offenlegung der Daten, Schutz von Betriebs- und Geschäftsgeheimnissen.

4. Cloud- und Plattformdienste

Ein Unternehmen möchte von einem Cloud-Anbieter zu einem anderen wechseln.

Neu durch den Data Act: Anbieter müssen den Wechsel erleichtern, indem sie Interoperabilität schaffen und überhöhte Wechselgebühren verbieten.
Pflicht für Cloud-Anbieter: Transparente Bedingungen für Datentransfer, Vermeidung von „Lock-in-Effekten“.

5. Datenweitergabe im öffentlichen Interesse

Bei einer Naturkatastrophe kann eine Behörde vom Betreiber eines IoT-Systems verlangen, bestimmte Daten für den Katastrophenschutz bereitzustellen.

Neu: Unternehmen müssen in klar definierten Ausnahmefällen Daten auch an staatliche Stellen weitergeben.
Pflicht für Unternehmen: Rechtssichere Prozesse zur Datenbereitstellung entwickeln.

Diese Beispiele zeigen: Der Data Act betrifft nicht nur große Konzerne, sondern alle Unternehmen, die Daten erzeugen, nutzen oder speichern – vom Maschinenbau über den Mittelstand bis hin zu Cloud- und Softwareanbietern.

Pflichten für Unternehmen

Mit Geltung des Data Acts sind Unternehmen verpflichtet:

Nutzerzugang zu gewährleisten: Kunden müssen Daten, die durch ein Produkt oder eine Dienstleistung generiert werden, einfach, sicher und kostenlos abrufen können.
Schnittstellen bereitzustellen: Technische Strukturen müssen geschaffen werden, um Daten zugänglich zu machen oder weiterzugeben.
Datenweitergabe zu organisieren: Unternehmen müssen Prozesse entwickeln, um auf Anfragen Dritter angemessen reagieren zu können.
Vertragsklauseln anzupassen: Bestehende und künftige Verträge müssen mit den Vorgaben des Data Acts in Einklang gebracht werden.
Compliance sicherzustellen: Es sind Vorkehrungen zum Schutz sensibler Daten, insbesondere von Geschäftsgeheimnissen, zu treffen.

Vorkehrungen und To-Dos schon jetzt

Damit Ihr Unternehmen rechtzeitig vorbereitet ist, empfehlen wir:

Bestandsaufnahme: Prüfen Sie, welche Produkte oder Dienstleistungen Daten erzeugen und wie diese bisher verarbeitet werden.
Technische Vorbereitung: Entwickeln Sie Schnittstellen und Datenzugangsmechanismen, die den gesetzlichen Anforderungen entsprechen.
Vertragsprüfung: Analysieren Sie bestehende Verträge auf Klauseln zur Datennutzung, -weitergabe und -schutz.
Datenschutz & Geschäftsgeheimnisse: Stimmen Sie die Vorgaben des Data Acts mit den bereits geltenden Regelungen der DSGVO und des Geschäftsgeheimnisgesetzes ab.
Compliance-Strukturen: Schulen Sie Mitarbeitende und legen Sie interne Prozesse für den Umgang mit Datenanfragen fest.

Fazit

Der Data Act eröffnet Chancen für Innovation und Wettbewerb, bringt aber auch erhebliche rechtliche und organisatorische Pflichten mit sich. Unternehmen sollten jetzt handeln, um zum 12. September 2025 compliant zu sein und rechtliche Risiken zu vermeiden.

Unsere Kanzlei unterstützt Sie gerne bei:

der Analyse Ihrer Datenstrukturen,
der Überarbeitung und Gestaltung Ihrer Verträge,
der Implementierung rechtssicherer Prozesse.

Sprechen Sie uns an – wir begleiten Sie auf dem Weg zur rechtssicheren Umsetzung des Data Acts.