Unternehmensführung

EU Data Act: Was KMU in Deutschland jetzt wissen müssen

Die EU-Datenverordnung, auch EU Data Act genannt, regelt den Zugang zu Daten aus vernetzten Produkten. Die neue Rechtslage bedeutet nicht nur gute Chancen und Möglichkeiten für neue Geschäftsmodelle, sondern auch konkrete Handlungspflichten. Was der EU Data Act regelt, ob und inwiefern KMU betroffen sind und wie sich diese vorbereiten können, erfahren Sie in diesem Artikel.

Zuletzt aktualisiert am 22.10.2025
Von Michael Rohrlich
© gorodenkoff - iStock

Was ist der EU Data Act und warum betrifft er KMU?

Der Data Act (kurz: DA) wurde von der Europäischen Kommission verabschiedet, ist seit dem 11. Januar 2024 in Kraft und gilt nach einer Übergangsfrist seit dem 12. September 2025 verbindlich in allen EU-Mitgliedstaaten. Die Verordnung verfolgt ein klares Ziel, nämlich das Heben des „Datenschatzes“ innerhalb der Europäischen Union. Es soll ein echter Binnenmarkt für Daten geschaffen und die digitale Souveränität Europas gestärkt werden.

Definition

Wichtige englische Begriffe zum EU Data Act

Zur besseren Orientierung bei internationalen Quellen und offiziellen EU-Dokumenten finden Sie hier die gebräuchlichen englischen Bezeichnungen und Synonyme des EU-Datengesetzes:

  • EU Data Act (Data Act EU / EU Data Act 2022) – Offizielle Bezeichnung der Verordnung

  • Data Act EUR-Lex – Eintrag in der EU-Rechtsdatenbank EUR-Lex

  • EU Commission Data Act – Initiative der Europäischen Kommission zur Regelung des Datenzugangs

  • EU Data Act Proposal / Data Act Draft – Ursprünglicher Verordnungsentwurf der EU-Kommission

  • Data Governance Act EU – Ergänzende Verordnung zur Datenteilung und -verwaltung in der EU

  • Europäisches Datengesetz (Datengesetz EU) – Deutsche Bezeichnung des Gesetzesrahmens

Diese Begriffe tauchen in Fachartikeln, juristischen Kommentaren und offiziellen Quellen häufig parallel auf und bezeichnen dieselbe oder eine unmittelbar verwandte Verordnung.

Ziele des EU Data Acts

Im Kern verfolgt der Data Act gleich mehrere Ziele:

  • Datenbereitstellung von Unternehmen an Privatpersonen oder an andere Unternehmen (sog. „Data Sharing“)

  • Wechsel von einem zu einem anderen Cloud-Anbieter (sog. „Cloud-Switching“)

  • Datenüberlassungan öffentliche Stellen (z. B. bei Naturkatastrophen oder Pandemien

Cloud-Switching erleichtert Wechsel zwischen Cloud-Anbietern

Die Regelungen im Data Act, die sich auf das Cloud-Switching beziehen, geben u. a. vor, dass der Umzug von einem Cloud-Anbieter oder einem Datenverarbeitungsdienst zu einem anderen für Kunden erleichtert werden muss, indem beispielsweise die Datenin einem gängigen Format bereitgestellt werden, sodass sie beim neuen Cloud-Anbieter ohne große Probleme eingespielt werden können. Denn ein zentrales Problem war dabei bislang der sogenannte „Vendor Lock-in“. Anbieter binden Kunden langfristig durch schwer zugängliche Daten oder hohe Wechselkosten. Der Data Act adressiert genau diese Thematik und ermöglicht einen leichteren Wechsel zwischen Cloud-Anbietern, die schrittweise Abschaffung von Wechselentgelten bis 2027 sowie eine Datenportabilität zwischen verschiedenen Systemen.

Bislang bleibt ein Großteil aller Daten aus vernetzten Industriemaschinen und smarten Alltagsgeräten ungenutzt. Der Data Act soll dies ändern, indem er den Zugang zu solchen Daten erleichtert und zugleich verhindert, dass nur wenige große Anbieter die Kontrolle über wertvolle Datenbestände ausüben.

Der Data Act nimmt solche Daten in den Blick, die durch die Nutzung von sogenannten IoT-Geräten, wie etwa dem smarten Kühlschrank, der ins WLAN eingebundenen Glühbirne, der Solaranlage oder der per App steuerbaren Heizung, anfallen. Darüber hinaus erfasst er aber auch Wearables (Smartwatches etc.), Connected Cars (moderne Fahrzeuge mit Onlinefunktionen für Navigations- oder Entertainmentgeräte) sowie vernetzte Industriemaschinen, bei deren Einsatz ebenfalls Nutzungsdaten entstehen. Ebenso gilt der Data Act in Bezug auf virtuelle Assistenten (Siri, Alexa & Co.). Es geht also primär um Daten von Sensoren o. ä., wie z. B. Temperatur, Geschwindigkeit, Durchflussmengen, Position/Positionsänderung, Druck etc.; Inhaltsdaten (Fotos, Videos, Audioaufnahmen …) sollen hingegen nicht vom Datenzugangsrecht umfasst werden.

Info

Beispiel: Datenzugangsrecht bei IoT-Geräten

Sie haben eine Photovoltaikanlage, bei der Sie per App genau sehen können, wie viel Strom aktuell erzeugt wird, wie viel davon selbst genutzt wird, welcher Anteil ins öffentliche Stromnetz eingespeist wird etc. Als Anwender der PV-Anlage, durch den diese Daten ja erst erzeugt werden, können Sie nun Zugriff darauf verlangen. Mehr noch: Sie können vom Hersteller der PV-Anlage fordern, dass er Ihre Daten an einen Dritten herausgibt, z. B. weil dieser Ihnen durch die besondere Auswertung der Daten eine spezielle Dienstleistung im Bereich dynamischer Stromtarife anbieten kann.

Vernetzte Produkte kommen in allen Bereichen der Wirtschaft und Gesellschaft vor, einschließlich in privaten, zivilen oder gewerblichen Infrastrukturen, Fahrzeugen, medizinischer Ausrüstung, Lifestyle-Ausrüstung, Schiffen, Luftfahrzeugen, Haushaltsgeräten und Konsumgütern, Medizin- und Gesundheitsprodukten oder landwirtschaftlichen und industriellen Maschinen und Anlagen. 

Durch die Nutzung dieser vernetzten Produkte werden Daten erzeugt. Bislang war es für Nutzer von solchen vernetzten Produkten schwierig, an die Daten heranzukommen. Obwohl Nutzer der ausschlaggebende Faktor für die Entstehung der Daten sind, saß in der Regel der Hersteller oder auch der Verkäufer „am längeren Hebel“ und hatte zumeist als einziger die tatsächliche Zugriffsmöglichkeit auf die Daten. Nur mit viel Glück bekamen Nutzer ebenfalls Zugriff, aber jedenfalls nicht ohne aktiv zu werden und in den meisten Fällen auch nicht auf alle Daten. 

Der Data Act ändert diesen Umstand elementar, indem er den Nutzer als hauptberechtigten Akteur in den Mittelpunktstellt. Ab jetzt wird der Spieß umgedreht, so dass der Hersteller bzw. Verkäufer zwar immer noch faktischen Datenzugriffhat, diesen aber nur dann rechtmäßig ausüben kann, wenn er die entsprechende Erlaubnis des Nutzers hat. Dateninhaber benötigen von nun an also die Erlaubnis zur Nutzung der anfallenden Daten, d. h., sie müssen entsprechende Datenlizenzverträge mit den Nutzern abschließen. Dabei sieht der Data Act Verbote für benachteiligende oder missbräuchliche Vertragsklauseln vor (Art. 7 Abs. 2, Art. 13 Abs. 1 DA).

Info

EU Data Act ergänzt DSGVO

Der Data Act ergänzt die bereits bestehende europäische Datenschutzgrundverordnung (DSGVO), ersetzt sie aber nicht. Während die DSGVO den Schutz personenbezogener Daten regelt, fokussiert sich der Data Act auf nicht personenbezogene Daten aus vernetzten Geräten und Systemen. Allerdings erfasst der Data Act grundsätzlich auch Daten mit Personenbezug, sodass in bestimmten Konstellationen ein Dilemma drohen kann: Entweder werden personenbezogene Daten herausgegeben, ohne dass dafür eine Rechtsgrundlage besteht, sodass ein Verstoß gegen die DSGVO droht. Oder aber die Daten werden nicht herausgegeben, obwohl eine Rechtsgrundlage vorhanden ist, sodass ein Verstoß gegen den Data Act droht. Es ist also sehr wichtig, sich frühzeitig auf die neue Rechtslage einzustellen.

Welche Unternehmen sind vom EU Data Act betroffen?

Der Data Act erfasst verschiedene Akteure entlang der digitalen Wertschöpfungskette. Direkt betroffen sind:

  • Hersteller vernetzter Produkte (IoT-Geräte, Maschinen, Fahrzeuge, Smart-Home-Geräte)

  • Anbieter verbundener digitaler Dienste (Apps, Cloud-Services)

  • Dateninhaber, die faktische Kontrolle über Daten haben (kann z. B. der Hersteller, aber auch ein Verkäufer des Produkts sein)

  • Datenempfänger, also ein Dritter, der vom Dateninhaber die Daten eines Nutzers erhält

  • Cloud- und Plattformanbieter

Der Data Act betrifft grundsätzlich alle Unternehmen in Deutschland bzw. Europa, nicht nur Konzerne. Entscheidend ist dabei nicht der Unternehmenssitz, sondern ob Produkte oder Dienste auf dem europäischen Markt angeboten werden. Das sogenannte Marktortprinzip sorgt dafür, dass auch Anbieter außerhalb der EU die Vorgaben einhalten müssen.

Im Gesetz sind allerdings Ausnahmen für besonders große Unternehmen und auch für kleine und Kleinstunternehmen vorgesehen. Zu den besonders großen Unternehmen, den sogenannten „Gatekeepern“, zählen nach Maßgabe des Digital Markets Acts (DMA) folgende:

  • Alphabet Inc.
  • Amazon.com Inc.
  • Apple Inc.
  • Booking.com
  • ByteDance Ltd.
  • Meta Platforms Inc.
  • Microsoft Corp.

Diese Gatekeeper haben keinen Anspruch auf Datenbereitstellung, damit deren marktbeherrschende Stellung jeweils nicht noch weiter begünstigt wird. Sinn und Zweck des Data Acts ist es gerade, anderen, kleineren Unternehmen ebenfalls Datenzugriffe zu ermöglichen und insgesamt den freien Datenverkehr in der EU zu fördern.

Für kleine und Kleinstunternehmen besteht die Pflicht zur Datenherausgabe nicht. Kleine Unternehmen in diesem Sinne haben weniger als 50 Beschäftigte und weniger als 10 Mio. Euro Umsatz oder Bilanzsumme. Als Kleinstunternehmen gelten solche, die weniger als 10 Beschäftigte und weniger als 2 Mio. Euro Umsatz oder Bilanzsumme haben. Allerdings können solche kleinen oder Kleinstunternehmen Rechte an Daten eingeräumt bekommen, indem z. B. der Nutzer einer Smartwatch den tatsächlichen Dateninhaber (meist der Hersteller) auffordert, seine Daten an ein anderes Unternehmen herauszugeben. Zudem profitieren sie selbstverständlich auch vom Data Act, wenn sie in der Rolle eines Nutzers von vernetzten Geräten und verbundenen Diensten sind.

Achtung

Für mittlere Unternehmen gelten die Pflichten verzögert

Mittlere Unternehmen (weniger als 250 Beschäftigte und nicht mehr als 50 Mio. Euro Umsatz oder 43 Mio. Euro Bilanzsumme) profitieren von Übergangsfristen und bestimmten Erleichterungen. So müssen mittlere Unternehmen etwa erst ein Jahr später, also ab September 2026, die Verpflichtungen aus dem Data Act erfüllen, wenn sie die Schwellenwerte erst seit weniger als einem Jahr überschreiten.

Die Nutzungsdaten sollen mit dem Data Act europaweit einheitlich nutzbar gemacht werden, so dass im Idealfall neue Dienstleistungen am Markt auftauchen, Preise sinken und letztlich diese Nutzungsdaten zu Geld gemacht werden können. Wer z. B. mit Hilfe von Künstlicher Intelligenz (KI) ein Tool zur vorausschauenden Wartung (sog. „Predictive Maintenance“) von Industriemaschinen entwickelt, profitiert von den neuen gesetzlichen Regeln genauso wie derjenige, der die Optimierung von Produktionsprozessen bei Kunden oder die Entwicklung hochgradig personalisierter Produkte und Services anbietet. Insbesondere im sogenannten „Aftermarket“, also dem Markt für Reparatur, Wartung und Zubehör, sorgt der Data Act für bessere Wettbewerbsbedingungen. Er gilt daher sowohl gegenüber Privatpersonen (B2C) als auch gegenüber Unternehmen (B2B).

Welche zentralen Rechte und Pflichten sieht der EU Data Act vor?

Die Grundregel des Data Act:Nutzer vernetzter Produkte haben das Recht, auf „ihre“ Daten zuzugreifen. Als Dateninhaber müssen Sie diese Daten kostenlos, direkt und möglichst in Echtzeit zur Verfügung stellen. Diese Pflicht zur Datenbereitstellung bedeutet seit dem 12. September 2025 konkret, dass der Datenzugang für die Nutzer…

  • unverzüglich

  • einfach,

  • sicher,

  • unentgeltlich,

  • kontinuierlich,

  • in Echtzeit (soweit technisch möglich) sowie

  • in gleicher Qualität wie für den Dateninhaber

bereitgestellt werden muss (Art. 4 Abs. 1 DA).

 

Außerdem muss dies umfassend und in einem gängigen, maschinenlesbaren Format geschehen, um eine sichere Verarbeitung der Daten zu gewährleisten.

In der Praxis können diese Vorgaben auf unterschiedliche Weise erfüllt werden:

  • Direkter Zugang: Nutzer können Daten direkt vom Gerät abrufen (über Kabel, Bluetooth, digitale Schnittstellen)

  • Indirekter Zugang: Dateninhaber stellt einen Zugang über ein Onlineportal oder ähnliche Systeme bereit.

Neue Produkte, die nach dem 12. September 2026 in den Verkehr gebracht werden, müssen so konzipiert sein, dass sie den direkten Datenzugang ermöglichen (sog. „Access by Design“, Art. 3 Abs. 1 DA). Hierdurch muss der Zugang zu den Daten standardmäßig, einfach, sicher, unentgeltlich und ggf. direkt ermöglicht werden. Die Daten sind umfassend und in einem strukturierten, gängigen und maschinenlesbaren Format bereitzustellen.

Vor Vertragsabschluss müssen die Anbieter von vernetzten Produkten bzw. verbundenen Diensten ihre Kunden umfassend informieren (Art. 3 Abs. 2, 3 DA), u. a. über

  • Art und Umfang der generierten Daten,

  • verfügbare Zugriffswege auf die Daten,

  • Möglichkeiten der Datenweitergabe an Dritte,

  • das bestehende Beschwerderecht des Nutzers,0

  • etwaige Nutzungsbedingungen oder auch über

  • die Identität des Dateninhabers.

Info

Webseiten müssen Informationen zum EU Data Act enthalten

Auf Webseiten betroffener Unternehmen müssen sich neben anderen Rechtstexten, wie etwa dem Impressum, der Datenschutzerklärung, den AGB oder der Barrierefreiheitserklärung, zukünftig also auch die Pflichtinformationen gemäß Data Act finden.

Eine besondere Herausforderung besteht darin, dass Nutzer verlangen können, dass ihre Daten auch an Dritte weitergegeben werden können, sogar an Wettbewerber (Art. 5 Abs. 1 DA). Für diese Weitergabe dürfen Dateninhaber eine angemessene Gegenleistung verlangen, nicht jedoch von Kleinst- und Kleinunternehmen.

Der Data Act eröffnet erweiterte Partizipationsmöglichkeiten im Bereich der Datenwirtschaft. Unternehmen gewinnen stärkere Zugriffsrechte auf Daten von Geschäftspartnern, was neue Geschäftsmodelle und Wertschöpfungen ermöglicht.

Info

Beispiel: Zugriff auf Daten von Herstellern

Als Inhaber einer freien Autowerkstatt können Sie nun Ihre Kunden bitten, dass diese sich an den Autohersteller wenden und dort fordern, dass dieser Ihnen die entsprechenden Daten des Kundenfahrzeugs übermittelt, die Sie für die Diagnose, Reparatur oder Wartung benötigen. Die so erlangten Daten dürfen Sie jedoch nicht dazu nutzen, ein „Konkurrenzprodukt“ zu entwickeln, also speziell nicht, um ein Fahrzeug mit gleichen Merkmalen herzustellen oder herstellen zu lassen (Art. 4 Abs. 10 DA).

Unternehmen können durch den Data Act ihre Position gegenüber größeren Anbietern stärken, da der Data Act insbesondere fairere Vertragsbedingungen bei Datennutzung fordert, weniger rechtliche Unsicherheit bei Datenflüssen besteht und standardisierte Datenzugänge Transaktionskosten senken können.

Eine zentrale Sorge vieler Unternehmen besteht darin, wie verhindert werden kann, dass wertvolles Know-how durch die Datenweitergabe abfließt. Der Data Act bietet zum Schutz von Geschäftsgeheimnissen diverse Schutzmaßnahmen:

  • Technische und organisatorische Schutzmaßnahmen müssen implementiert werden
  • Geheimhaltungsvereinbarungen mit Datenempfängern können geschlossen werden
  • Verweigerung der Herausgabe von Daten ist dann möglich, wenn mit hoher Wahrscheinlichkeit ein schwerer wirtschaftlicher Schaden droht

Welche Sanktionen drohen bei Verstößen gegen den EU Data Act?

Die Bundesnetzagentur (BNetzA) soll nach aktuellen Planungen als zentrale Aufsichtsbehörde fungieren. Sie wird voraussichtlich zuständig für…

  • Überwachung der Einhaltung der Data-Act-Vorgaben,

  • Bearbeitung von Beschwerden und

  • Sanktionierung von Verstößen.

Bei Verstößen gegen den Data Act drohen erhebliche Sanktionen. Diese Vorschriften sind nicht in der EU-Verordnung selbst verankert, sondern sollen durch die einzelnen Mitgliedstaaten geregelt werden. 

Die Sanktionen müssen auf jeden Fall wirksam, verhältnismäßig und abschreckend sein sowie bestimmte Kriterien erfüllen (u. a. Art, Schwere, Umfang und Dauer des Verstoßes). Auf Basis des aktuellen Entwurfs des deutschen Durchführungsgesetzes zum Data Act drohen hierzulande Bußgelder – je nach Verstoß – zwischen maximal 50.000 bis 500.000 Euro.

Gegen die „Gatekeeper“ können sogar Geldbußen von bis zu 5 Mio. Euro oder 4 % des gesamten weltweit erzielten Vorjahresumsatzes verhängt werden.

Neben Bußgeldern können die Aufsichtsbehörden auch noch andere Maßnahmen anordnen wie z. B. die Änderung von Geschäftspraktiken, die Einschränkung bestimmter Geschäftsaktivitäten oder auch ein Verbot bestimmter Datennutzungspraktiken.

Checkliste mit praktischen Schritten zur Vorbereitung

Sofortmaßnahmen

Wenn Sie unter die Regelungen des Data Act fallen, sollten Sie folgende Sofortmaßnahmen ergreifen:

1. Betroffenheit prüfen

  • Unternehmensgröße („Gatekeeper“ oder kleines bzw. Kleinstunternehmen?)

  • Vernetzte Produkte bzw. verbundene Dienste identifizieren

  • Datenflüsse dokumentieren

2. Dateninventar erstellen

  • Art und Umfang der generierten Daten bestimmen

  • Speicherorte und Zugriffsrechte dokumentieren

  • Personenbezogene und nicht personenbezogene Daten unterscheiden

3. Rechtliche Grundlagen schaffen

  • Bestehende Verträge auf Data Act-Konformität prüfen und ggf. anpassen

  • AGB und Nutzungsbedingungen prüfen und ggf. anpassen

  • Datenschutz-Folgenabschätzung durchführen

Mittelfristige Maßnahmen

Mittelfristig, d. h. bis spätestens zum 12. September 2026, sind zudem noch folgende Maßnahmen sinnvoll:

1. Technische Umsetzung vorbereiten

  • „Data-Access by Design“ für neue Produkte planen

  • Schnittstellen für Datenexport entwickeln

  • Echtzeit-Zugriff technisch ermöglichen

2. Schutzmaßnahmen implementieren

  • ggf. Verschlüsselungs- und Anonymisierungsverfahren einführen

  • Geschäftsgeheimnisse klassifizieren und schützen

  • Geheimhaltungsvereinbarungen standardisieren

Dauerhafte Maßnahmen

Folgende Maßnahmen sollten hingegen dauerhaft realisiert und ggf. auch aktuell gehalten werden:

  • Zuständigkeiten für Data-Act-Compliance definieren

  • Beschwerdemanagement einrichten

  • Mitarbeiterschulungen und -sensibilisierungen durchführen

Info

Weiterführende Informationen zum EU Data Act

Der Branchenverband Bitkom stellt online einen kostenfreien „Umsetzungsleitfaden zum Data Act“ bereit, der wertvolle Informationen und Praxistipps enthält. Auf der Website der EU findet sich ebenfalls informatives Material, nämlich ein eigener Abschnitt zum Data Act sowie eine umfangreiche FAQ-Sammlung.