Data-Act-Pflichten in der EU: Was kommt auf Unternehmen zu?
Der Data Act bildet die neue Leitplanke der europäischen Datenwirtschaft. Er beantwortet die Frage, auf welcher Grundlage Daten zwischen Herstellern, Nutzern und Dienstleistern fließen und er zwingt viele Akteure dazu, den Umgang mit sensiblen Informationen neu zu denken. Es geht dabei nicht um Randnotizen, sondern um praktische Konsequenzen im Produktdesign, in Verträgen und in der IT-Architektur, die Innovation ermöglichen und zugleich klare Spielregeln setzen.
Wer das nüchtern liest, erkennt schnell, wie sehr technische und rechtliche Fragen miteinander verschränkt sind, weshalb ein genauer Blick auf Geltung, Pflichten und Zeitplan lohnt. Am Ende entscheidet dieser Rechtsrahmen mit, ob Europa eine eigenständige Datenökonomie entwickeln kann oder im Schatten anderer digitaler Großmächte bleibt.
Ein neuer Rechtsrahmen: Geltung, Anwendungsbeginn und betroffene Akteure
Die Verordnung (EU) 2023/2854 ist seit Januar 2024 in Kraft, die Pflichten greifen ab September 2025. Dieser zeitliche Abstand sorgt bisweilen für Verwirrung, weshalb eine saubere Unterscheidung zwischen formaler Geltung und praktischer Anwendbarkeit hilfreich ist. Erfasst werden Hersteller vernetzter Produkte wie Maschinen oder Fahrzeuge, Anbieter verbundener Dienste sowie Cloud- und Edge-Anbieter, außerdem Dateninhaber und Datenempfänger entlang der Wertschöpfungskette.
Unternehmen außerhalb der EU geraten ebenfalls in den Anwendungsbereich, sofern Produkte oder Dienste in den Binnenmarkt gebracht werden. Für Kleinst- und kleine Unternehmen bestehen Erleichterungen, die jedoch von der konkreten Konstellation abhängen und keine generelle Freistellung bedeuten. Dadurch entsteht ein Flickenteppich an Betroffenheiten, der im Einzelfall genau analysiert werden muss, statt sich auf pauschale Aussagen zu verlassen.
KYC, Geldwäscheprävention und Glücksspiel
Regulierte Sorgfaltspflichten in der Geldwäscheprävention bleiben unberührt. Finanzdienstleister und Glücksspielanbieter führen Identitätsprüfungen, Transaktionsmonitoring und Aufbewahrungen weiterhin nach dem einschlägigen Fachrecht durch. Relevant wird der Data Act gleichwohl dort, wo KYC-Daten in Portabilitäts- oder Wechselprozesse einfließen.
Dann ist strikt zu trennen, denn personenbezogene Inhalte unterliegen der DSGVO und den spezialgesetzlichen Vorgaben, während technische Portabilität und Interoperabilität nach dem Data Act sicherzustellen sind. Gelingen beide Ebenen, entstehen reibungslose Prozesse, die rechtskonform bleiben. Der Prozess KYC fällt weg, wenn entsprechende Anbieter ausgewählt werden. Die Botschaft ist eindeutig, denn branchenspezifische Vorschriften behalten Vorrang, der Data Act ergänzt sie lediglich um eine zusätzliche Schicht technischer Pflichten.
Datenzugang und Weitergabe: Welche Rechte Nutzer nun haben
Künftige Käufer vernetzter Geräte und Nutzer zugehöriger Dienste erhalten Anspruch auf die Nutzungsdaten, die beim Betrieb entstehen. Gefordert wird eine Bereitstellung unentgeltlich, auf Wunsch kontinuierlich und in Echtzeit, wobei praktikable Schnittstellen maßgeblich sind. Auf Anweisung des Nutzers ist die Weitergabe an benannte Dritte zu ermöglichen, etwa an unabhängige Analyseanbieter.
Für Hersteller heißt das, Produkte und Dienste so zu konstruieren, dass ein Zugriff technisch möglich ist. Dieser Gedanke des „by design“ verschiebt den Fokus von nachträglichen Exportfunktionen hin zu frühzeitiger, planvoller Datenzugänglichkeit. Gleichzeitig bleibt der Schutz von Geschäftsgeheimnissen zentral. Zulässig sind technische und organisatorische Maßnahmen, die sensible Inhalte abschirmen, beispielsweise durch Anonymisierung oder abgestufte Zugriffsebenen.
So entsteht ein Gleichgewicht aus Transparenz und Geheimnisschutz, das im Tagesgeschäft tragfähig ist. Wer diese Balance nicht findet, läuft Gefahr, entweder regulatorische Vorgaben zu verletzen oder das eigene Geschäftsmodell zu schwächen.
DSGVO und Data Act im Zusammenspiel
Sobald personenbezogene Informationen betroffen sind, führt kein Weg an der DSGVO vorbei. Der Data Act ersetzt keine Rechtsgrundlage für die Verarbeitung, vielmehr bleibt die DSGVO der Prüfmaßstab. In der Praxis bedeutet das, dass Datenbereitstellungen nur auf Basis einer tragfähigen Rechtsgrundlage erfolgen, etwa durch Einwilligung oder Vertragserfüllung.
Das Verhältnis der beiden Regelwerke ist komplementär. Unternehmen mit etablierten Datenschutzprozessen können darauf aufsetzen, müssen aber zusätzliche Pflichten wie den unmittelbaren Datenzugang und die Drittweitergabe sauber in die Governance einweben.
Dadurch entsteht kein Widerspruch, vielmehr ein zweistufiges Modell, zuerst Datenschutzrecht klären, anschließend Data-Act-Pflichten erfüllen. Für die Unternehmenspraxis bedeutet das, dass Datenschutzbeauftragte und IT-Abteilungen enger zusammenrücken müssen, um Rechtsrahmen und Technik nicht als zwei getrennte Welten zu behandeln.
Cloud und Edge im Fokus: Anbieterwechsel, Interoperabilität und Entgelte
Der Data Act will Abhängigkeiten reduzieren, deshalb sollen Kunden Datenverarbeitungsdienste leichter wechseln. Notwendig sind vertragliche und technische Vorkehrungen, die Migrationen ohne Scherbenhaufen ermöglichen. Wechselentgelte werden stufenweise zurückgefahren und ab Januar 2027 untersagt, wodurch die Bindung an einen Anbieter über Qualität erfolgen muss, nicht über Ausstiegskosten.
Gleichzeitig gewinnt Interoperabilität an Gewicht. Verlangt werden übertragbare, nutzbare Formate und Schnittstellen, die den Übergang ermöglichen, ohne monatelange Migrationsprojekte auszulösen. Für Anbieter heißt das Investitionen in Portabilität und Kompatibilität, für Kunden ein robuster Exit-Plan, der nicht erst geschrieben wird, wenn es brennt. Langfristig kann dies sogar zu einem Innovationsschub führen, da Wettbewerb stärker über Servicequalität und nicht über Lock-in-Mechanismen definiert wird.
Außergewöhnlicher Bedarf: Wann Behörden Daten verlangen dürfen
Öffentliche Stellen können in eng umrissenen Ausnahmesituationen Zugriff auf Unternehmensdaten verlangen, beispielsweise bei Notlagen von erheblicher Tragweite. Die Schwelle liegt hoch, der Zugriff dient der Bewältigung außergewöhnlicher Lagen und darf nicht zum Regelfall werden. Unternehmen sollten Prozesse vorhalten, um solche Anfragen rechtlich und organisatorisch geordnet zu bearbeiten.
Parallel gilt es, sensible Inhalte zu schützen und nur das bereitzustellen, was rechtlich zwingend gefordert ist. Auf diese Weise entsteht Handlungsfähigkeit, ohne die Sorgfaltspflichten zu unterlaufen. Wichtig ist auch, dass ein solcher Zugriff Vertrauen in die Institutionen voraussetzt, da ohne Akzeptanz die Bereitschaft zur Kooperation schnell Schaden nehmen kann.
Die Verordnung verzichtet nicht auf Zähne. Mitgliedstaaten müssen wirksame Sanktionen vorsehen, die spürbar sind und die Einhaltung der Regeln absichern. In der Größenordnung orientieren sich die Erwartungen an bekannten Rahmenwerten, wie sie aus dem Datenschutz bekannt sind, was den Compliance-Druck erhöht.
Praktische To-dos für Unternehmen
Ein vollständiges Dateninventar ist der Ausgangspunkt. Nur ein sauberer Überblick zeigt, welche Daten entstehen, wem sie zugeordnet sind und in welchen Systemen sie liegen. Daran knüpfen klare Verfahren für Zugriffsanfragen an, einschließlich Authentifizierung, Protokollierung und Fristenmanagement.
Parallel gehören Verträge und AGB auf den Tisch, um Fairnessvorgaben abzubilden und missliche Altlasten zu entsorgen. Auf technischer Ebene sind Schnittstellen, Exportformate und API-Policies zu definieren, damit externe Empfänger tatsächlich arbeitsfähige Daten erhalten.
Schließlich lohnt sich ein belastbarer Exit-Plan für Cloud-Dienste, der Migrationspfade, Testläufe und Verantwortlichkeiten beschreibt. Wer all das zusammenführt, schafft eine Governance, die auch in turbulenten Situationen trägt. Es zeigt sich hier besonders, dass rechtliche und technische Umsetzung Hand in Hand gehen müssen, wenn der Data Act nicht nur erfüllt, sondern produktiv genutzt werden soll.