Mit dem Data Act, der am 11. Januar 2024 in Kraft getreten ist, hat die EU die rechtlichen Weichen für einen fairen und sicheren Datenzugang gestellt. Ziel ist es, Daten besser nutzbar zu machen, Innovation und Wettbewerb zu fördern und die Rechte der Nutzerinnen und Nutzer zu stärken. Seit dem 12. September 2025 sind die zentralen Regelungen verbindlich anzuwenden. Für Unternehmen heißt das: Die Umsetzungsphase ist beendet und die Anforderungen gelten jetzt unmittelbar. Mit dem Datenverordnungs-Anwendungs- und Durchsetzungsgesetz (DADG) soll nun die konkrete Umsetzung des Data Act in Deutschland geregelt werden.
Zentrale Inhalte und Neuerungen
Der Data Act regelt den Zugang zu und die Nutzung von Daten sektorenübergreifend. Betroffen sind insbesondere Hersteller vernetzter Geräte wie Maschinen, Fahrzeuge, Haushaltsgeräte oder Medizinprodukte, Anbieter verbundener Dienste und Datenverarbeitungsdienste wie Cloud-Provider, dazu Nutzer, Dateninhaber und Datenempfänger in B2B-, B2C- und B2G-Konstellationen.
Kernidee ist, dass Nutzer vernetzter Produkte bestimmen, wie mit den bei der Nutzung entstehenden Daten umgegangen wird. Sie können diese auswerten und unter bestimmten Bedingungen an Dritte weitergeben. Damit das praktisch funktioniert, verlangt der Data Act Access by Design, also Produkte und Dienste, die den technischen Datenzugang ermöglichen. Diese Pflicht gilt allerdings erst für Produkte, die ab dem 12. September 2026 neu in Verkehr gebracht werden.
Seit September 2025 gelten bereits die folgenden Kernpflichten:
- Anspruch der Nutzer auf Zugang zu ihren (nichtpersonenbezogenen) Daten und deren Weitergabe an Dritte
- Pflicht zur Bereitstellung in gängigen, maschinenlesbaren Formaten
- Verbot missbräuchlicher Vertragsklauseln in B2B-Verträgen
- faire, angemessene und nichtdiskriminierende Bedingungen (FRAND) für Datennutzung
- neue Regeln für Cloud Switching und Interoperabilität
- Datenzugangsrechte öffentlicher Stellen in Notfällen
Ein besonderer Schwerpunkt des Data Act liegt auf dem Cloud Switching. Anbieter von Datenverarbeitungsdiensten (z. B. Cloud- und Edge-Dienste) müssen künftig sicherstellen, dass Kundinnen und Kunden ihre Daten und Anwendungen einfach, sicher und ohne unzumutbare Unterbrechungen zu einem anderen Anbieter übertragen können.
Technische, vertragliche und organisatorische Hindernisse, die bislang zu einem sogenannten Vendor Lock-in geführt haben, sind schrittweise zu beseitigen (Art. 23 ff. Data Act). Zudem müssen Wechselgebühren (Switching Charges) über einen Zeitraum von drei Jahren progressiv reduziert und anschließend vollständig abgeschafft werden.
Abgrenzung zur DSGVO und Umgang mit personenbezogenen Daten
Data Act und DSGVO gelten nebeneinander. Der Data Act schafft Zugangs- und Nutzungsrechte, die DSGVO regelt weiterhin jede Verarbeitung personenbezogener Daten. Liegen im Datensatz personenbezogene Informationen, ist eine Weitergabe nur zulässig, wenn eine DSGVO-Rechtsgrundlage besteht, etwa Einwilligung, Vertrag oder berechtigtes Interesse. Ohne eine solche Grundlage bleibt der Zugang zu personenbezogenen Daten trotz Data-Act-Anspruchs versagt. Für nichtpersonenbezogene Daten greift die DSGVO nicht. Hier ist der Zugang zu gewähren, wenn die Voraussetzungen des Data Act erfüllt sind.
In der Praxis erfordert das eine saubere Trennung zwischen personenbezogenen, nichtpersonenbezogenen und gemischten Datensätzen, geeignete Anonymisierungs- oder Pseudonymisierungsverfahren und eine klare Dokumentation, warum ein bestimmter Zugang zulässig oder abzulehnen ist.
Data Act Umsetzung in Deutschland
Mit der unmittelbaren Anwendbarkeit des Data Act ändert sich auch die Rolle der Aufsichtsbehörden. Bei Streit über die Herausgabe personenbezogener Daten kann die Datenschutzaufsicht anordnen, dass ein Zugang nach den Voraussetzungen des Data Act zu gewähren ist, sofern die DSGVO dies erlaubt.
Der deutsche Gesetzgeber hat den Kabinettentwurf eines Datenverordnungs-Anwendungs- und Durchsetzungsgesetzes (DADG) vorgelegt, der die nationale Umsetzung und den Vollzug des Data Act regeln soll. Danach soll die Bundesnetzagentur (BNetzA) als zentrale Aufsichts-, Beschwerde- und Vollzugsbehörde fungieren. Sie wird zur nationalen Anlaufstelle und ist unter anderem auch für die Zulassung von Streitbeilegungsstellen zuständig.
Für den Datenschutz im Rahmen des Data Act bleibt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zuständig. Die BNetzA ist verpflichtet, den BfDI bei Verfahren zu beteiligen und dessen datenschutzrechtliche Bewertung zu übernehmen. Diese wird Bestandteil der abschließenden Entscheidung der BNetzA. Eine getrennte Anfechtung ist nicht möglich (§ 3 Abs. 5 DADG-E).
Zudem ist eine enge Zusammenarbeit der BNetzA mit sektoralen Bundesbehörden vorgesehen, um Fachwissen einzubinden und die Einheitlichkeit der Vollzugspraxis sicherzustellen. Die gesetzliche Begründung betont das Ziel, verkürzte Beschwerdewege und einheitliche Entscheidungen zu schaffen und die bisherige Aufteilung auf 17 Datenschutzbehörden zu ersetzen.
Die BNetzA erhält weitreichende Ermittlungs- und Durchsetzungsbefugnisse, kann Abhilfemaßnahmen anordnen und Zwangsgelder bis zu 500.000 Euro verhängen. Für Verstöße sieht das DADG-E zudem Bußgelder bis zu 2 % des weltweiten Jahresumsatzes oder bis zu 5 Mio. Euro vor, wobei – anders als im BDSG – auch wirtschaftliche Vorteile abgeschöpft werden dürfen. Der BfDI bleibt Bußgeldbehörde für Datenschutzverstöße.
Diese zentralisierte Aufsicht soll widersprüchliche Vorgaben vermeiden und den Vollzug effizienter machen. Für Unternehmen bedeutet sie aber auch: erhöhte Transparenzpflichten, schnellere Verfahren und ein verschärftes Sanktionsrisiko.
Auswirkungen und Handlungsbedarf für Unternehmen
Der Data Act verändert den Umgang mit Daten grundlegend. Unternehmen müssen technische, organisatorische und vertragliche Voraussetzungen schaffen, um die neuen Zugangs-, Nutzungs- und Weitergaberechte zu erfüllen – und gleichzeitig die DSGVO einzuhalten.
Hersteller vernetzter Produkte sollten Schnittstellen für den unmittelbaren oder erleichterten Zugriff auf Nutzungsdaten vorsehen und sicherstellen, dass Geschäftsgeheimnisse angemessen geschützt sind. In B2B-Konstellationen entscheidet künftig die tatsächliche Nutzerin über die Weitergabe der Daten, was bestehende Exklusivmodelle verschiebt. Im B2G-Bereich sind Prozesse für behördliche Anfragen vorzuhalten. Für kleine und mittlere Unternehmen ist eine pragmatische, klar dokumentierte Umsetzung entscheidend, um Komplexität beherrschbar zu halten.
Anbieter von Cloud- und Datenverarbeitungsdiensten müssen ihre Systeme so ausgestalten, dass ein Anbieterwechsel technisch und organisatorisch möglich ist und keine unzulässigen Vertragsbeschränkungen bestehen. Ziel ist eine größere Interoperabilität und Portabilität im europäischen Datenmarkt.
Unternehmen sollten ihre Vertragslandschaft und Governance-Strukturen auf Data-Act-Konformität überprüfen. Dazu gehört die Erstellung einer Datenlandkarte, die auch nichtpersonenbezogene und gemischte Datensätze erfasst, die Klärung von Personenbezug und Geschäftsgeheimnissen sowie der Aufbau sicherer Schnittstellen und Zugriffskontrollen.
Hilfreich ist, dass die Europäische Kommission bereits unverbindliche Mustervertragsbedingungen (MCTs) und Standardklauseln für Cloud-Verträge veröffentlicht hat. Diese können als Orientierung dienen, ersetzen aber keine individuelle Anpassung an die DSGVO und an die konkrete Vertragssituation. Der Europäische Datenschutzausschuss (EDPB) betont, dass MCTs nicht automatisch DSGVO-konform sind und bei personenbezogenen Daten ergänzende Regelungen erforderlich bleiben.
Fazit
Der Data Act markiert einen Wendepunkt im europäischen Datenrecht. Er verbindet wirtschaftliche Datenöffnung mit rechtlichen Schutzmechanismen und fordert von Unternehmen eine sorgfältige Abstimmung zwischen Datenstrategie, Vertragsmanagement und Datenschutz.
Mit dem geplanten nationalen Vollzugsrahmen durch BNetzA und BfDI wird die Aufsicht zentralisiert – was die Verfahren vereinheitlicht, aber auch neue Compliance-Risiken bringt. Unternehmen sollten die Entwicklung des DADG-E weiter beobachten und ihre Prozesse rechtzeitig an die Praxisanforderungen der Aufsichtsbehörden anpassen.
