Zurück zur Übersicht
11.09.2025 Fachbeitrag

Data Act: Ab dem 12. September gelten neue Pflichten für die Datenherausgabe

Update Datenschutz Nr. 214

Der Data Act bildet einen zentralen Baustein der europäischen Datenstrategie. Mit dem 11. September 2025 endet die Übergangsfrist, die mit dem Inkrafttreten der Verordnung im Januar 2024 in Gang gesetzt wurde. Viele Unternehmen haben es während der vergangenen 20 Monate jedoch verpasst, ihre internen Prozesse, Verträge und technischen Systeme an die neuen Vorgaben anzupassen – dabei müssen die wesentlichen Pflichten des Data Act ab dem 12. September umgesetzt sein. Unternehmen, die ihre Datenzugriffs- und Nutzungsrechte noch nicht geregelt haben, riskieren nicht nur Bußgelder, sondern auch erhebliche rechtliche Unsicherheiten und Reputationsschäden, wenn sie nicht in der Lage sind, Daten an ihre Kunden herauszugeben. Im Folgenden wird dargestellt, welche Akteure in den Anwendungsbereich der Verordnung fallen und welche Pflichten damit verbunden sind.

I. Anwendungsbereich

Am wichtigsten ist die Prüfung der eigenen Betroffenheit, denn nach unserer Erfahrung ist vielen Unternehmen gar nicht bewusst, dass ihre – personenbezogenen und nicht-personenbezogenen Daten – vom Data Act betroffen sind. Der sachliche Anwendungsbereich Act konzentriert sich vor allem auf Daten, die im Umfeld des Internet of Things (IoT) entstehen. Gemeint sind dabei vernetzte Produkte und zugehörige Dienste, die während der Nutzung Daten erzeugen, sammeln oder übertragen. Damit richtet sich die Verordnung nicht nur an klassische IT-Unternehmen, sondern an eine Vielzahl von Branchen, in denen digitale Schnittstellen und vernetzte Technologien längst zum Alltag gehören.

1. Hersteller vernetzter Produkte

Hersteller im Sinne des Data Act sind alle Unternehmen, die Produkte auf den Markt bringen, die im Betrieb Daten erzeugen. Das beginnt bei Automobilherstellern, deren Fahrzeuge mit Telematiksystemen, Fahrassistenzfunktionen und zahlreichen Sensoren ausgestattet sind, die Daten über Geschwindigkeit, Motorleistung, Verbrauch oder Standort generieren. Ebenso betroffen sind Hersteller von Baumaschinen oder sogar Gabelstaplern, die längst nicht mehr nur mechanische Geräte sind, sondern durch digitale Steuerungen und vernetzte Plattformen wertvolle Informationen über Betrieb und Nutzung sammeln. Auch in der Konsumgüterbranche fallen zahlreiche Produkte in den Anwendungsbereich: Smarte Haushaltsgeräte wie Waschmaschinen, Kühlschränke oder Saugroboter protokollieren Laufzeiten und Energieverbrauch, Unterhaltungselektronik wie Smart-TVs oder Spielkonsolen analysiert Nutzungsdaten, und Fitness-Tracker oder Smartwatches erheben kontinuierlich Gesundheits- und Bewegungswerte. Hinzu kommen Maschinen und Anlagen im industriellen Umfeld, bei denen Hersteller durch eingebettete Software die Nutzung dokumentieren und über Cloud-Schnittstellen Datenflüsse kontrollieren.

2. Dateninhaber

Neben den Herstellern stehen sog. Dateninhaber im Fokus, also Akteure, die rechtlich berechtigt oder verpflichtet sind die generierten Daten zu nutzen oder bereitzustellen – wobei der Hersteller gleichzeitig auch Dateninhaber sein kann. Dazu zählen Plattformbetreiber, die Daten aus einer Vielzahl von Geräten bündeln und für smarte Services verfügbar machen, etwa in Smart-Home-Ökosystemen oder industriellen IoT-Plattformen. Händler und Leasinggesellschaften sind ebenfalls typische Dateninhaber, wenn sie Produkte nur zeitweise an Kunden überlassen, sich aber die Auswertung der dabei generierten Informationen vorbehalten, etwa im Rahmen von Carsharing- oder Mietmodellen. Auch Dienstleister, die ergänzende digitale Angebote rund um ein Produkt schaffen, treten regelmäßig als Dateninhaber auf. Ein Anbieter von Flottenmanagement-Lösungen kann beispielsweise auf die Betriebsdaten der Fahrzeuge zugreifen, ohne selbst Hersteller zu sein. Ähnlich ein Anbieter von Predictive-Maintenance-Services, der Maschinendaten auswertet, um Wartungsintervalle vorherzusagen.

Schließlich können auch Konzernunternehmen, die innerhalb einer Unternehmensgruppe als zentrale Datenhubs agieren, Dateninhaber im Sinne des Data Act sein, selbst wenn die Produktion in einer anderen Gesellschaft liegt. Damit ist der Kreis der betroffenen Unternehmen weit größer als die klassischen Hersteller und reicht hinein in Handels-, Leasing-, Service- und Plattformmodelle.


3. Datenverarbeitungsdienste

Eine weitere Gruppe, die vom Data Act erfasst wird, sind die Datenverarbeitungsdienste. Betroffen sind vor allem Anbieter von Cloud-Diensten, Rechenzentren und anderen Infrastrukturleistungen, die Daten für ihre Kunden speichern, verarbeiten und zugänglich machen. Das Spektrum reicht von internationalen Hyperscalern, die riesige Cloud-Plattformen betreiben, über spezialisierte Anbieter von branchenspezifischen Cloud-Lösungen bis hin zu regionalen IT-Dienstleistern, die kleine und mittelständische Unternehmen bei der sicheren Datenverarbeitung unterstützen. Betroffen sind sowohl klassische Infrastructure-as-a-Service-Anbieter, die Rechenleistung und Speicher zur Verfügung stellen, als auch Plattformbetreiber im Bereich Platform-as-a-Service oder Anbieter von Software-as-a-Service-Lösungen, die Daten unmittelbar im Rahmen ihrer Dienste verarbeiten. Auch Anbieter von Edge-Computing-Services, die Datenverarbeitung nah am Ort der Entstehung ermöglichen, oder Betreiber von branchenspezifischen Datenräumen, wie sie etwa im Gesundheitswesen oder in der Industrie entstehen, fallen in diese Kategorie.

4. Datenempfänger

Schließlich spielen auch die Datenempfänger eine wichtige Rolle. Das sind alle Unternehmen, die von einem Dateninhaber auf Grundlage einer Aufforderung des Nutzers Daten erhalten, die bei der Nutzung eines Produktes generiert wurden. Eine Vielzahl von Unternehmen kann als Datenempfänger gelten – typische Beispiel sind etwa Zulieferer oder Wartungsunternehmen, die anhand der Nutzungsdaten Reparaturen besser vorbereiten oder Ersatzteile rechtzeitig bestellen können, oder aber Dienstleister, die auf datengetrieben Geschäftsmodelle setzen, wie Anbieter von Versicherungen oder Finanzierungsmodellen.

II. Pflichten

Der Data Act enthält ein breites Bündel an Pflichten für die oben genannten Akteure. Von den Anforderungen weitgehend ausgenommen sind nur Kleinst- und kleine Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz oder einer Bilanzsumme unter 10 Millionen Euro.

Dateninhaber haben gegenüber den Nutzern vernetzter Produkte und Dienste umfassende Informations- und Transparenzpflichten. Bereits vor Vertragsschluss müssen sie offenlegen, welche Daten ein Produkt generiert, wie diese gespeichert werden und auf welche Weise der Nutzer darauf zugreifen kann. Zudem ist der direkte Zugang zu den vom Produkt erzeugten Daten entweder unmittelbar über das Gerät oder, falls dies nicht möglich ist, über eine unentgeltliche, maschinenlesbare und zeitnahe Bereitstellung sicherzustellen. Eine Weitergabe oder Nutzung der Daten ist nur dann zulässig, wenn der Nutzer eingewilligt hat. Für personenbezogene Daten gelten darüber hinaus weiterhin die Maßstäbe der DSGVO. Gleichzeitig darf der Dateninhaber den Zugang nicht missbräuchlich einschränken, sondern muss nur in Ausnahmefällen, etwa zum Schutz von Geschäftsgeheimnissen, bestimmte Daten zurückhalten.

Auch Datenempfänger, also Dritte, denen Nutzer den Zugang zu Daten einräumen, unterliegen spezifischen Regeln. Sie dürfen die erhaltenen Daten ausschließlich für die vereinbarten Zwecke verwenden und nicht ohne Zustimmung an weitere Dritte weitergeben. Eine exklusive Kontrolle über die Daten soll verhindert werden, ebenso wie Vertragsklauseln, die Nutzer in ihrer Weitergabe beschneiden. Für personenbezogene Daten gilt, dass deren Verarbeitung nur auf einer Rechtsgrundlage der DSGVO erfolgen darf.

Darüber hinaus verpflichtet der Data Act Dateninhaber und Datenempfänger, den Zugang auf einer fairen, angemessenen und nicht-diskriminierenden Basis zu gewähren. Preise dürfen sich lediglich an den tatsächlichen Kosten orientieren. Für kleine und mittlere Unternehmen ist der Zugang gebührenfrei. Technische und organisatorische Schutzmaßnahmen sind zulässig, dürfen aber nicht als Vorwand genutzt werden, um den gesetzlich vorgesehenen Datenzugang zu verhindern. Einen weiteren Schwerpunkt bilden die Vorgaben zur Vertragsgestaltung im B2B-Bereich. Missbräuchliche Vertragsklauseln, die einseitig zu Lasten schwächerer Marktteilnehmer wirken, sind unwirksam. Damit soll ein faires Gleichgewicht zwischen den Vertragsparteien hergestellt und die Marktmacht einzelner Akteure begrenzt werden.

Schließlich werden auch die Datenverarbeitungsdienste in die Pflicht genommen. Sie müssen Wechselmöglichkeiten erleichtern, Interoperabilität gewährleisten und den Einsatz standardisierter Schnittstellen sicherstellen – und das alles auch noch vertraglich abbilden. Überhöhte oder versteckte Wechselgebühren sollen abgeschafft werden, sodass spätestens ab 2027 ein Anbieterwechsel für Nutzer vollständig kostenlos möglich ist. Damit verfolgt der Data Act das Ziel, die Datenwirtschaft transparenter, fairer und wettbewerbsfreundlicher zu gestalten.

III. Nationale Umsetzung

Der nationale Gesetzgebungsprozess zum Data Act befindet sich derzeit noch im Entwurfsstadium. Das Bundesministerium für Wirtschaft und Klimaschutz sowie das Bundesministerium für Digitales und Verkehr haben am 5. Februar 2025 einen Referentenentwurf für ein Data Act-Durchführungsgesetz (DA-DG) vorgelegt.

Kernpunkte des Entwurfs sind die Benennung der Bundesnetzagentur als zentrale Aufsichtsbehörde, die künftig sämtliche Fragen der Durchsetzung des Data Act in Deutschland koordiniert. Ergänzend wird eine – sehr umstrittene – Sonderzuständigkeit für den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) geschaffen, um datenschutzrechtliche Fragen im Vollzug abzusichern. Der Entwurf enthält außerdem detaillierte Regelungen zu Beschwerdeverfahren, zur Zulassung privater Streitbeilegungsstellen, zur Zusammenarbeit mit anderen Behörden sowie einen Bußgeldkatalog, der Verstöße gegen den Data Act und das Durchführungsgesetz sanktionieren soll. Dabei sind Zwangsgelder bis zu 10 Millionen Euro sowie Geldbußen bis zu vier Prozent des Jahresumsatzes vorgesehen.

Der Entwurf sieht außerdem vor, dass die Bundesnetzagentur nicht nur Beschwerden bearbeitet und Verstöße sanktioniert, sondern auch Handlungsempfehlungen veröffentlichen, Verfahren zusammenfassen (Musterverfahren) und die Öffentlichkeit regelmäßig informieren soll.

Bislang wurde der Entwurf noch nicht vom Bundeskabinett beschlossen und befindet sich weiterhin in der Ressort- und Verbändeabstimmung. Wann das parlamentarische Verfahren beginnt und wann das Gesetz tatsächlich verabschiedet wird, ist derzeit offen. Doch auch wenn die nationale Umsetzung noch unklar ist, bleiben die europäischen Pflichten des Data Act verbindlich und gelten unmittelbar. Das Risiko einer „Regelungslücke“ besteht also nicht, wohl aber eine gewisse Rechtsunsicherheit hinsichtlich Aufsichtspraxis und Sanktionen auf nationaler Ebene.

IV. Fazit

Der Data Act tritt in seine entscheidende Phase ein. Ab dem 12. September 2025 müssen Unternehmen ihre Datenflüsse, Vertragswerke und Geschäftsprozesse so organisiert haben, dass sie den neuen Anforderungen entsprechen – ist dies noch nicht geschehen, sollte der Umsetzungsprozess dringend gestartet werden. Die wichtigsten Maßnahmen, die kurzfristig umgesetzt werden müssen, betreffen die vorvertraglichen Informationspflichten und die Anpassung von Verträgen. Hier sind die Modalitäten der Datenherausgabe detailliert zu beschreiben. Ist dann auch noch eine eigene Datennutzung geplant – sollen also beispielsweise Sensorendaten vermieteter Autos zur Entwicklung neuer Fahrzeuge verwendet werden – muss dies ebenfalls vertraglich abgebildet werden. Auf technischer Ebene müssen die betroffenen Unternehmen sicherstellen, dass sie in der Lage sind, die Daten ihres Produktes herauszugeben – und das ohne größere zeitliche Verzögerung. So lassen sich rechtliche Risiken vermeiden und zugleich Chancen nutzen, die sich aus einem transparenten und rechtssicheren Umgang mit Daten ergeben.

Dieser Beitrag wurde in Zusammenarbeit mit unserer stud. Mitarbeiterin Emily Bernklau erstellt.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Ansprechpartner

Dr. Hans Markus Wulf
Hamburg
Theresa Marie Bardenhewer, LL.M.
Hamburg

Weitere Artikel

02.12.2025
EU-DIGITALRECHT: Welche Rechtspflichten treffen zukünftig Anbieter von SaaS-Diensten (Software as a Service)?
02.12.2025
Wettbewerbszentrale klagt erneut gegen Amazon – Welche Auswirkungen könnte dies auf die Plattformhaftung haben?
27.11.2025
Digital Omnibus: Welche Änderungen im Datenschutz (DSGVO) sind zu erwarten?
14.11.2025
Bundestag verabschiedet NIS2-Umsetzungsgesetz – Was Unternehmen jetzt wissen und tun müssen
14.11.2025
Eine neue Facette im Coaching-Recht: Ist die Nichtigkeit von Coaching-Verträgen verfassungswidrig?
13.11.2025
Digital Omnibus: EU-Kommission legt Entwurf vor
13.11.2025
GEMA gegen OpenAI: Wegweisendes Urteil zu KI-Sprachmodellen und Urheberrecht
28.10.2025
AI ACT: Ist ChatGPT von OpenAI als Hochrisiko-KI zu qualifizieren?
15.10.2025
EU-DIGITALRECHT: Kommt eine Fristverlängerung für die Umsetzung von AI Act, Data Act und Cyber Resilience Act (Digital-Omnibus)?
15.10.2025
Mehr Transparenz, mehr Verantwortung: Die neue EU-Verordnung 2024/900 und ihre Folgen für politische Werbung
01.10.2025
DATENZUGRIFF IM KONZERN: Dürfen Unternehmen Einsicht nehmen in IT-Systeme von Mutter-, Schwester- oder Tochtergesellschaften?
25.09.2025
Patent Mediation and Arbitration Centre (PMAC) – Alternative Streitbeilegung im Patentrecht

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.