Kurz gesagt: Ab dem 12. September 2025 gelten europaweit neue, weitreichende Pflichten rund um den Zugang zu und die Nutzung von Daten – insbesondere solcher, die durch vernetzte Produkte und verbundene Dienste beim Kunden entstehen. Betroffen sind alle Unternehmen, die für ihre Kundschaft Daten generieren (z. B. Hersteller/Anbieter von IoT-Geräten, Fahrzeugen, Maschinen, Consumer-Elektronik, Plattform- oder Cloud-Services). Der Umsetzungsaufwand ist hoch: Verträge, Prozesse, Technik und Governance müssen angepasst werden.

Ab wann gilt was?

Der EU Data Act (Regulation (EU) 2023/2854) ist seit Anfang 2024 in Kraft und gilt ab dem 12.09.2025. Er schafft u. a. Zugangsrechte für Nutzer zu Daten, die sie mittels verbundener Geräte/Dienste erzeugen, und begrenzt exklusive Datennutzungsrechte bisheriger Datenhalter. Ziel ist mehr Datenportabilität, Interoperabilität und weniger Lock-in.

Wer ist betroffen?

Praktisch alle Unternehmen, die Daten für Kunden generieren oder verarbeiten – vom Smart-Home-Hersteller über Automobil- und Maschinenbau bis zu SaaS- und Cloud-Anbietern. Auch B2B-Konstellationen werden adressiert; der Data Act verbietet zudem unfaire Vertragsklauseln in bestimmten B2B-Datenverträgen. Reine Nicht-Daten-Unternehmen sind die Ausnahme. Prüfen Sie nüchtern: „Erzeugen oder veredeln wir beim Kunden Daten?“ – Wenn ja, sind Sie im Anwendungsbereich.

Was ändert sich konkret?

  • Datenzugang & -nutzung: Nutzer (und von ihnen benannte Dritte) erhalten Zugriff auf durch verbundene Produkte/Dienste generierte Daten – personenbezogen oder nicht-personenbezogen. Datenhalter müssen bereitstellen, in praktikablen Formaten und innerhalb angemessener Fristen, unter Wahrung von Geschäftsgeheimnissen.
  • Cloud-/Dienstwechsel (Portabilität): Anbieter müssen Wechselbarrieren abbauen, Interoperabilität fördern und Exit-Prozesse vertraglich/technisch ermöglichen; die Kommission hat dafür Mustervertragsklauseln konsultiert.
  • Unfaire B2B-Klauseln: Bestimmte Klauseltypen zur Datennutzung/Haftung sind unzulässig. Prüfen und ergänzen Sie daher unbedingt rechtzeitig Ihre AGB und Verträge.

Datenschutz & Aufsicht: Was ist mit DSGVO?

Datenschutz geht vor. Wo Daten personenbezogen sind oder werden können, gilt die DSGVO vollumfänglich. In Zweifelsfällen empfiehlt die Aufsicht (HmbBfDI), von der DSGVO-Anwendbarkeit auszugehen – praktisch bedeutet das: frühzeitige Dateninventur, Klassifizierung und Privacy-by-Design.

Zuständigkeiten in Deutschland (Stand: Referentenentwurf):

  • Für nicht-personenbezogene Daten soll die Bundesnetzagentur die Data-Act-Aufsicht übernehmen.
  • Für personenbezogene Daten bleibt es bei den Datenschutzbehörden (BfDI/LfDIs).
    Das nationale Durchführungsgesetz war (zuletzt) im Entwurfsstadium; finale Ausgestaltung beobachten.

Warum der Umsetzungsaufwand hoch ist

Der Data Act zwingt zu tiefen Eingriffen in Technik, Prozesse und Verträge. Typische Workstreams:

  1. Dateninventur & Klassifizierung: Welche Gerätedaten fallen wo an (Edge, Cloud, App)? Personenbezug? Schutzbedarf?
  2. Zugangsprozesse & Schnittstellen: Authentifizierung, Autorisierung, Export-Formate, API-Policies, Rate-Limiting, Logging.
  3. Trade-Secret-Schutz: Methoden zur Schwärzung/Filterung, Aggregation, Konfliktlösung.
  4. Verträge & AGB: Datenzugang, Nutzungsrechte, Vertraulichkeit, Cloud-Exit-Mechaniken, SLAs, Haftung/Regress.
  5. Governance & Nachweisführung: Verantwortlichkeiten (Legal/IT/Produkt), Dokumentation, Schulungen, Audits.

Risiken bei Untätigkeit

Neben aufsichtsrechtlichen Maßnahmen drohen Vertrags- und Haftungsrisiken (z. B. wegen unzulässiger Klauseln, verweigertem Datenzugang) sowie Reputationsschäden. Die nationalen Behörden erhalten hierfür erweiterte Befugnisse.

Fazit

Der 12.09.2025 ist kein „Soft Launch“, sondern ein harte Zäsur. Alle Unternehmen, die Daten für ihre Kundschaft generieren, müssen jetzt technische, organisatorische und vertragliche Hausaufgaben erledigen. Wer erst im September startet, wird realistisch die Umsetzung nicht rechtzeitig schaffen.