Glossar · EU-Datenregulierung Data Act
Die EU-Verordnung von 2024, die Rechte zum Zugriff auf und zur Nutzung von Daten regelt, die von IoT-Geräten und vernetzten Produkten erzeugt werden, und nicht-personenbezogene Daten neben dem Personendatenfokus der DSGVO adressiert.
## Was der Data Act tatsächlich bewirkt
Der Data Act (Verordnung (EU) 2023/2854) ist die EU-Verordnung, die den Zugang zu und die Nutzung von Daten regelt, die von vernetzten Produkten und damit verbundenen Diensten erzeugt werden. Er trat im Januar 2024 in Kraft, die meisten Bestimmungen sind seit September 2025 anwendbar.
Während die DSGVO personenbezogene Daten adressiert, adressiert der Data Act **nicht-personenbezogene Daten**, die von IoT-Geräten und vernetzten Produkten erzeugt werden. Der Act schafft Rechte für Nutzer (Verbraucher und Unternehmen), auf Daten zuzugreifen, die ihre Geräte erzeugen, und diese Daten mit Dritten ihrer Wahl zu teilen.
## Warum der Data Act existiert
Der Act entstand aus operativen Bedenken zur Datenkontrolle in der IoT-Wirtschaft:
**1. Datenbindung durch Hersteller.** Wenn ein vernetztes Auto Daten zu Fahrmustern erzeugt, wurden diese Daten typischerweise ausschließlich vom Autohersteller kontrolliert. Werkstätten, Versicherer und After-Market-Dienstleister konnten ohne Kooperation des Herstellers nicht darauf zugreifen.
**2. Wettbewerb bei After-Market-Dienstleistungen.** Beschränkter Datenzugang hat den Wettbewerb in IoT-bezogenen Diensten (Reparatur, Versicherung, Flottenmanagement usw.) begrenzt. Der Data Act adressiert dies, indem er Datenportabilitätsrechte für vernetzte Produkte schafft.
**3. Wettbewerbspolitische Bedenken.** Vertikale Integration rund um Daten (Hersteller → Gerät → Daten → After-Market-Dienste) schuf Wettbewerbsbedenken. Der Data Act adressiert dies durch Entbündelung.
**4. KI-Trainingsdatenbedarf.** KI-Systeme profitieren vom Zugang zu Betriebsdaten. Der Data Act schafft rechtliche Rahmen für die Weitergabe dieser Daten mit angemessenen Schutzmaßnahmen.
## Kernpflichten
Der Data Act verhängt mehrere Kategorien von Pflichten:
### Recht auf Zugang zu erzeugten Daten
Nutzer (die Personen oder Unternehmen, die vernetzte Produkte betreiben) haben das Recht, auf Daten zuzugreifen, die ihre Geräte erzeugen. Hersteller müssen:
- Daten standardmäßig (oder auf Anfrage) zugänglich machen
- Daten in maschinenlesbarem Format bereitstellen
- Die erzeugten Daten abdecken, nicht nur konfigurierte Ausgaben
- Zugang kostenlos oder zu fairen, angemessenen Kosten anbieten
### Recht, Daten mit Dritten zu teilen
Nutzer können Dritte autorisieren, Daten zu erhalten, die ihre Geräte erzeugen. Hersteller müssen:
- Solche Weitergabe ohne Behinderung ermöglichen
- Direkte Datenzugangsmechanismen bereitstellen
- Nutzern ermöglichen, Datenempfänger frei zu wählen
### Beschränkungen beim Wettbewerb mit Nutzern
Hersteller dürfen geräteerzeugte Daten nicht nutzen, um mit Nutzern in After-Market-Dienstleistungen zu konkurrieren. Der Data Act verhindert die Nutzung von Kundendaten, um vom Kunden gewählte Dienstleister zu benachteiligen.
### Cloud-Wechselrechte
Der Data Act enthält Bestimmungen zur Portabilität von Cloud-Diensten — adressiert Bedenken zur Datenbindung auf Cloud-Anbieter-Ebene. Cloud-Anbieter müssen:
- Kundendaten-Portabilität ermöglichen
- Wechselkosten reduzieren (für einige Kundentypen abgeschafft)
- Klare Vertragsbedingungen zum Datenzugang bereitstellen
- Standardformate und -protokolle unterstützen
### Business-to-Government-Datenzugang
In bestimmten Ausnahmesituationen (öffentliche Notfälle, Aufgaben des öffentlichen Sektors von öffentlichem Interesse) können Regierungen die Weitergabe von Geschäftsdaten verlangen. Dies ist stark eingeschränkt — der Act setzt klare Grenzen, um Ausweitung zu verhindern.
## Warum das für europäische Unternehmen relevant ist
Der Data Act schafft mehrere praktische Implikationen:
### Für Hersteller von IoT-Produkten
Wenn Sie vernetzte Produkte in der EU verkaufen (Verbraucher oder B2B), ist die Compliance mit dem Data Act verpflichtend:
- Datenzugangsmechanismen in die Produktarchitektur einbauen
- Datenerzeugungsmuster dokumentieren
- Nutzergesteuerte Datenweitergabe an Dritte ermöglichen
- Vermeiden, Produktdaten zu nutzen, um mit Nutzern in After-Market-Dienstleistungen zu konkurrieren
Dies ist erhebliche Produktentwicklungsarbeit. Neue Produkte, die seit 2024-2025 entwickelt werden, bauen typischerweise Data-Act-Compliance ein; Altprodukte erfordern oft erhebliche Nachrüstung.
### Für Anbieter von After-Market-Dienstleistungen
Wenn Sie Dienste anbieten, die von Daten vernetzter Produkte abhängen (Reparatur, Versicherung, Flottenmanagement, landwirtschaftliche Dienste usw.), schafft der Data Act neue Möglichkeiten:
- Datenzugang im Auftrag von Kunden anfordern
- Dienste aufbauen, die zuvor gebundene Daten nutzen
- Effektiver mit herstellergebundenen Diensten konkurrieren
### Für Cloud-Anbieter und Kunden
Bestimmungen zum Cloud-Wechsel schaffen operative Implikationen:
- Cloud-Anbieter müssen die Wechselreibung reduzieren
- Kundenseitige Architektur sollte Portabilitätsanforderungen berücksichtigen
- Multi-Cloud-Strategien werden operativ einfacher
### Für Datenräume
Der Data Act ermöglicht breitere Datenaustauschökosysteme. Branchenspezifische Datenräume (Catena-X für Automobil, Manufacturing-X für Fertigung usw.) erhalten unter dem Act eine stärkere rechtliche Grundlage.
## Das Verhältnis zur DSGVO
Der Data Act und die DSGVO sind komplementär, aber unterscheidbar:
**DSGVO**: adressiert personenbezogene Daten (Daten, die sich auf identifizierbare natürliche Personen beziehen)
**Data Act**: adressiert nicht-personenbezogene Daten (maschinell erzeugte Daten, Sensordaten, Betriebsdaten)
Wenn Daten unter der DSGVO personenbezogen sind (z. B. Fahrmuster, die mit bestimmten Personen verknüpft sind), gilt die DSGVO und Data-Act-Bestimmungen sind nachrangig. Wenn Daten nicht-personenbezogen sind (aggregierte Maschinensensordaten, technische Parameter), gelten Data-Act-Bestimmungen primär.
In der Praxis enthalten IoT-Daten oft sowohl personenbezogene als auch nicht-personenbezogene Elemente. Compliance erfordert die angemessene Anwendung beider Verordnungen.
## Bußgeldstruktur
Die Durchsetzung des Data Act erfolgt durch nationale Aufsichtsbehörden, die von den Mitgliedstaaten benannt werden. Strafen werden auf nationaler Ebene festgelegt, aber der Act erlaubt erhebliche Strafen bei Nichteinhaltung.
Für KMU enthält der Act verschiedene Verhältnismäßigkeitsbestimmungen und Ausnahmen, um unverhältnismäßige Compliance-Last für kleinere Unternehmen zu vermeiden.
## Was bis 2026 geliefert wurde
Stand mitten in der Umsetzung:
**Operativ:**
- Die meisten Hersteller vernetzter Produkte haben grundlegende Data-Act-Compliance umgesetzt
- Datenweitergabeanfragen werden gestellt und bearbeitet
- Anbieter von After-Market-Diensten bauen datennutzende Dienste auf
- Bestimmungen zum Cloud-Wechsel schaffen echte Wechselaktivität
**In Entwicklung:**
- Branchenspezifische Datenräume reifen weiter
- Standardisierte Datenformate und APIs werden definiert
- Grenzüberschreitende Durchsetzungskoordination
- KI-Trainings-Anwendungsfälle unter dem Data-Act-Rahmen
## Cloud-spezifische Bestimmungen sind am relevantesten
Für die meisten europäischen Tech-Käufer sind die Cloud-Wechselbestimmungen des Data Act operativ am relevantesten. Der Act hat die Bewegung weg von Cloud-Bindung beschleunigt durch:
- Reduzierung rechtlicher Unsicherheit beim Cloud-Wechsel
- Verpflichtung der Anbieter zur Ermöglichung von Portabilität
- Abschaffung von Wechselgebühren für einige Kundentypen
- Schaffung von Standardformatunterstützung
Dies ergänzt die breitere europäische Cloud-Souveränitätsgeschichte — es macht es operativ einfacher, Workloads von US-Hyperscalern zu europäischen Cloud-Anbietern zu verlagern.
## Was 2026-2027 bringt
- **Anhaltende Reifung der Durchsetzung**, da nationale Aufsichtsbehörden Muster etablieren
- **Standardisierungsarbeit** an Datenformaten und APIs
- **Branchenspezifische Datenräume** in fortlaufender Entwicklung (Catena-X, Manufacturing-X erweitern)
- **Schnittstelle zum AI Act** — KI-Trainings-Anwendungsfälle unter dem Data-Act-Rahmen
- **Grenzüberschreitende Durchsetzungskoordination**, da mehr Fälle entstehen
Der Data Act wird sich weiterentwickeln. Seine Wechselwirkung mit dem AI Act, der DSGVO und sektorspezifischen Verordnungen wird die laufende Umsetzungsgeschichte sein.
## Praktische Auswirkungen
Für europäische Unternehmen:
1. **Wenn Sie vernetzte Produkte verkaufen** — Data-Act-Compliance ist nicht verhandelbar; bauen Sie sie ein
2. **Wenn Sie After-Market-Dienste anbieten** — nutzen Sie Data-Act-Zugangsrechte
3. **Wenn Sie Cloud-Dienste nutzen** — Cloud-Wechselrechte machen Portabilität strategisch einfacher
4. **Wenn Sie an Branchen-Datenräumen teilnehmen** — der Data Act bietet stärkere Rechtsgrundlage
5. **Wenn Sie B2B-SaaS sind** — Ihre Cloud-bereitgestellten Angebote sollten Data-Act-Portabilitätsanforderungen unterstützen
Der Data Act ist weniger bekannt als die DSGVO, aber zunehmend operativ relevant. Für die Entwicklung des europäischen Tech-Ökosystems könnte sein langfristiger Einfluss erheblich sein.
War das hilfreich?
Danke für Ihr Feedback!