Das EU-Datengesetz kommt

Mitte September tritt der Data Act in Deutschland in Kraft. Höchste Zeit, sich mit den neuen Pflichten zur Herausgabe von Daten zu beschäftigen.

In der mehr und mehr digitalisierten Wirtschaft spielen Daten eine riesige Rolle. Beim Betrieb vieler Produkte und Services werden Daten erzeugt, die für verschiedene Akteure interessant sein können – die also regelrecht marktfähig sind. Das ist der Grund, warum die EU mit dem Data Act nun ein neues Datengesetz auf den Weg bringt, das den Weg zu einer europäische Datenökonomie ebnen soll. „Die EU möchte verhindern, dass nur die Hersteller von Produkten oder Anbieter der Datendienste aufgrund ihrer oft größeren Marktmacht bestimmen können, was mit den Daten geschieht“, erklärt Klaas Moltrecht, Referent für Innovation und Technologie bei der IHK Nord Westfalen. Die grundsätzliche Hoheit über die Daten sollen daher zum Nutzer der Produkte wandern, die an der Entstehung der Daten ja auch maßgeblich beteiligt sind – Käufer, Mieter oder Leasingnehmer.
Mit dem Data Act beschäftigen müssen sich vor allem Hersteller von vernetzten Produkten und Anbieter von damit verbundenen digitalen Diensten.

Klaas Moltrecht

Für Unternehmen bedeutet das nun vor allem: Ein neues regulatorisches Kapitel, das sie umsetzen müssen. Und das vor allem zügig. Der Data Act tritt bereits am 12. September 2025 unmittelbar in Deutschland in Kraft. „Mit der Verordnung beschäftigen müssen sich vor allem Hersteller von vernetzten Produkten und Anbieter von damit verbundenen digitalen Diensten“, erklärt Moltrecht. Vereinfacht gesagt müssen sie künftig dafür Sorge tragen, dass den Nutzern solcher Produkte – Konsumenten oder Unternehmen – sämtliche beim Betrieb entstehenden Daten zur Verfügung gestellt werden können. „Unternehmen sollten daher spätestens jetzt prüfen, ob sie betroffen sind und entsprechende organisatorische und technische Prozesse etablieren“, rät Moltrecht. Er sieht in dem Gesetz zugleich eine Chance. „Unternehmen können die neuen Regeln zum Anlass nehmen, sich ganz generell mit ihren datengetriebenen Prozessen auseinanderzusetzen und eine eigene Datenstrategie aufzusetzen.“
Die EU-Kommission hat einen umfangreichen Fragen-und-Antwortenkatalog zur Umsetzung des Data Acts erstellt. Er wird laufend aktualisiert. Die wichtigsten Antworten für einen ersten Überblick folgen bereits hier:

Welche Produkte sind vom Data Act betroffen?

Zum einen geht es um smarte Produkte, die mit dem Internet verbunden sind oder eine analoge Datenschnittstelle haben. Das Spektrum reicht von intelligenten Küchengeräten über Smartwatches bis zu Produktionsmaschinen oder landwirtschaftlichen Nutzfahrzeugen. Betroffen sind außerdem die damit verbundenen digitalen Dienste, also alle Anwendungen, mit deren Hilfe die Daten überhaupt erzeugt, aufbereitet oder bereitgestellt werden. Der Data Act gilt dabei sowohl für B2B- als auch für B2C-Produkte, die in der EU in den Verkehr gebracht werden.

Welche Unternehmen erhalten nun neue Pflichten?

Das Gesetz adressiert die Hersteller der Produkte sowie Anbieter damit verbundener Clouddienste. Zum anderen spielen die so genannten Dateninhaber eine wesentliche Rolle. Letztere sind diejenigen, die die tatsächliche Verfügungsmacht über die Daten haben, weil ihre Services die Daten erzeugen oder verarbeiten. In vielen Fällen werden Hersteller und Dateninhaber identisch sein – etwa, wenn der Hersteller auch die mit dem Produkt verknüpften Apps oder Softwares betreibt.

Und was können Produktnutzer künftig von den Unternehmen verlangen?

Von den Dateninhabern können sie fordern, dass sie ihnen kostenlos und – soweit technisch möglich und für den Nutzer relevant – kontinuierlich die bei Nutzung des Geräts erzeugten Daten zur Verfügung stellen. Ausnahme: Der Nutzer kann ohnehin bereits selbst direkt auf die Daten über das Gerät oder die damit verbundenen Dienste zugreifen.
Vor Abschluss eines Vertrags sind Käufer, Mieter oder Leasingnehmer zudem unter anderem darüber zu informieren, wer Dateninhaber ist und in welcher Art und in welchem Umfang Daten erzeugt werden. Hersteller und Anbieter müssen also nun stets eine Art Beipackzettel für die Produkte erstellen, der diese Infos enthält.
Neuer Inhalt (1)
Max Wehmeier, Fachanwalt für IT-Recht © Wattendorf
Im September 2026 zündet eine weitere Stufe des Data Acts: „Vernetzte Produkte, die dann neu in den Verkehr gebracht werden, müssen Nutzern in bestimmten Fällen von vornherein ermöglichen, direkt über das Gerät oder den damit verbundenen Dienst auf die erzeugten Daten zuzugreifen“, sagt Max Wehmeier, u. a. Fachanwalt für IT-Recht bei der Kanzlei ALPMANN FRÖHLICH (mit Standorten in Emsdetten, Münster und Rheine). Bei vielen Geräten ist das jedoch heute bereits der Fall. Beispiel: Smartwatches mit Fitnessapps. Die EU-Kommission betont in ihrem FAQ-Dokument zum Data Act zudem, dass Hersteller einen Entscheidungsspielraum haben, ob sie die Daten direkt am Produkt oder indirekt zur Verfügung stellen – zum Beispiel über einen Webserver.

Müssen sämtliche Daten zur Verfügung gestellt werden?

Es geht ausschließlich um die Rohdaten, die zum Beispiel von einem Sensor erfasst oder einer Software aufgezeichnet werden und vor der Weiterverarbeitung und Auswertung aufbereitet wurden, um sie verständlich und nutzbar zu machen. „Die Schlüsse, die aus den Daten gewonnen werden, sind nicht betroffen und erst recht nicht die Modelle, mit denen Produkthersteller die Daten analysieren“, sagt Wehmeier.
Sind die betroffenen Daten personenbezogen, gelten bezüglich einer Herausgabe zusätzlich die Anforderungen der DSGVO. Hier kann es insbesondere dann problematisch werden, wenn es sich um personenbezogene Daten Dritter handelt. Beispiel: Der Nutzer hat seine Smartwatch einem Freund geliehen, der den Fitnesstracker ausprobiert hat. Wehmeier: „Je nach Einzelfall kann dann eine datenschutzrechtliche Einwilligung erforderlich sein.“

Können Nutzer verlangen, dass die Daten auch an Dritte herausgegeben werden?

Typische Beispiele für diese Frage: Der Nutzer einer Smartwatch kauft die Uhr eines anderen Herstellers, möchte aber seine bislang erzeugten Daten auf das neue Gerät mitnehmen. Oder die Daten einer Maschine sollen einer Versicherung oder einem Reparaturservice bereitgestellt werden. Der Dateninhaber muss dann mit diesen Dritten einen eigenen Datenlizenzvertrag abschließen. Dieser regelt zugleich konkret, für welche Zwecke und unter welchen Bedingungen der Datenempfänger die bereitgestellten Informationen verarbeiten darf.

Wie können Unternehmen ihre Geschäftsgeheimnisse schützen?

Zum einen müssen Daten, die Geschäftsgeheimnisse enthalten, grundsätzlich nur offengelegt werden, wenn die Unternehmen vorher alle erforderlichen Maßnahmen getroffen haben, um die Vertraulichkeit der Geschäftsgeheimnisse zu wahren. Dazu zählen sowohl technische und organisatorische Maßnahmen als auch Geheimhaltungsvereinbarungen, die mit dem Nutzer abgeschlossen werden.
„Zudem darf der Nutzer die Daten nicht zur Entwicklung eines vernetzten Produkts verwenden, das mit dem Produkt, von dem die Daten stammen, im Wettbewerb steht“, erläutert der Anwalt. Hier wird die Abgrenzung in der Praxis spannend werden. Denn generell steht es den Nutzern ja gerade frei, mithilfe der Daten zum Beispiel auch eigene intelligente Tools zur Analyse ihrer Geschäftsabläufe zu entwickeln oder eigene Algorithmen zu trainieren. „Die Frage kann später im Einzelfall sein, wann es sich dann um Konkurrenz-Produkte oder Anwendungen handelt und wann um neue“, erwartet der Anwalt.

Müssen Unternehmen Verträge anpassen?

Ja, denn Hersteller und Dateninhaber können nach den Regeln des Data Acts künftig nicht mehr selbst über die Daten bestimmen. Sie müssen sich also die Nutzungsrechte an den durch ihre vernetzten Produkte generierten Daten vom Nutzer ausdrücklich einräumen lassen. Der Data Act sieht hierfür einen „Vertrag“ vor. „Dieser kann entweder ein Lizenzvertrag sein, in AGB implementiert werden oder aber auch über Häkchenlösungen oder Opt-In-Verfahren auf Webseiten umgesetzt werden“, verdeutlicht Wehmeier.
Die EU arbeitet im Übrigen derzeit an unverbindlichen Mustervertragsklauseln, die den Datenzugang und die Datennutzung für beide Seiten fair regeln sollen. Sie sollen nach den Plänen der EU-Kommission möglichst zeitnah nach Inkrafttreten des Data Acts, bestenfalls noch im September 2025 veröffentlicht werden.

IHK-Ansprechpartner: