Der EU Data Act kommt immer näher – sind Ihre Datenprozesse bereit?

EU-Datenverordnung (Data Act)

Die neue EU-„Datenverordnung“ (EU-Verordnung 2023/2854 kurz EUDV) ist am 11. Januar 2024 in Kraft getreten. Die EU-Datenverordnung ist bewusst breit angelegt: Sie gilt sektorübergreifend für viele Produkte und Dienstleistungen und soll den Zugang zu Daten europaweit erleichtern. Daher auch der breite Name “Datenverordnung”.

Ziel der Verordnung ist es, Nutzern von vernetzten Produkten die Kontrolle über ihre Daten zu geben und einen einfachen, ungehinderten und in Echtzeit funktionierenden Zugang zu ihren Daten zu ermöglichen. Damit sind Produkt-, Dienst- und Metadaten, die bei der Nutzung anfallen gemeint.

Als „ihre Daten“ gelten alle unveränderten Informationen, die durch den Nutzern selbst oder durch Geräte und Anwendungen entstehen. Daneben gibt es datenschutzrechtliche Pflichten, sofern es um personenbezogene Daten geht.

Welche Pflichten haben die Anbieter?

Aus Sicht der Unternehmen bedeutet das vor allem: Anbieter von Geräten und Dienstleistungen haben im Rahmen der Transparenzpflichten nach Art. 3 Abs. 2 EUDV offenzulegen,

1. wie dieser Datenzugang technisch funktioniert und
2. welche Schnittstellen für den Datentransfer genutzt werden.

So soll sichergestellt werden, dass neue Anbieter Daten problemlos importieren können. Zur Regelung dieser Schnittstellen sollen Online-Register entstehen.

Unternehmen sollte außerdem ihre Vertragswerke am Maßstab der Data-Act-Vorgaben überprüfen. Insbesondere unfaire einseitig auferlegte Vertragsklauseln sind nach Artikel 13 der Verordnung in der Regel unwirksam. Die EU-Kommission stellt nach Art. 41 EUDV hierfür Mustervertragsklauseln zur Unterstützung zur Verfügung. 

Welche Übergangsregeln gelten?

1. Seit dem 12. September 2025 gilt die EUDV für neue Verträge und Produkte/ Dienstleistungen.
2. Das Recht der Nutzer auf direkten Datenzugriff nach Art. 3 Abs. 1 EUDV greift ab dem 12. September 2026. 
3. Ab dem 12. September 2027 müssen die Regelungen auch auf Altverträge angewendet werden, sofern sie entweder unbefristet sind oder ihre Geltungsdauer frühestens 10 Jahre nach dem 11. Januar 2024 endet.

Empfohlene Maßnahmen für Unternehmen

1. Datenanalyse: Ermitteln Sie, welche Datenarten bei Nutzung Ihrer Produkte oder Dienstleistungen anfallen.
2. Schutz von Geschäftsgeheimnissen: Implementieren Sie technische und organisatorische Schutzmaßnahmen.
3. Datenmodifikation direkt im Dienst oder Gerät: Können Daten vor Speicherung so modifiziert werden, dass die nicht mehr weitergegeben werden müssen?
4. Datenbereitstellung: Entwickeln Sie Prozesse, um nutzergenerierte Daten in Echtzeit und maschinenlesbar bereitzustellen.
5. Vertragsgestaltung: Überarbeiten Sie Verträge anhand der Pflichtinhalte; holen Sie erforderliche Nutzungslizenzen ein.
6. Missbrauch vermeiden: Formulieren Sie faire Vertragsbedingungen für die Datenweitergabe.
7. Transparenz: Informieren Sie Kunden, auch auf Ihren Webseiten, über ihre Rechte nach der EUDV.
8. Vergütungsmodelle: Legen Sie angemessene Vergütungen für Datenbereitstellung an Dritte fest, insbesondere bei kleineren Unternehmen.
9. Datenschutzkonformität: Geben Sie personenbezogene Daten nur mit entsprechender Rechtsgrundlage weiter.
10. Behördliche Anforderungen: Bereiten Sie Prozesse für Anonymisierung oder Pseudonymisierung vor.

Fazit

Mit dem Data Act verschiebt sich der Fokus von bloßer Datenerhebung hin zu fairen, transparenten und technisch umsetzbaren Datenzugängen. Unternehmen sollten die Übergangsfristen nutzen, um Prozesse, Verträge und technische Schnittstellen jetzt auf Belastbarkeit zu prüfen.

Quellen

• Draft Recommendation on non-binding model contractual terms on data access and use and non-binding standard contractual clauses for cloud computing contracts

• VERORDNUNG (EU) 2023/2854 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

Autor

Markus Vatter, Head of Compliance, 28.04.2026