Ab dem 12. September 2025 gilt der EU Data Act in allen Mitgliedstaaten unmittelbar. ECC-Clubmitglied Rechtsanwalt Rolf Becker aus Alfter erläutert, welche Anforderungen die neue Verordnung für Unternehmen mit sich bringt – und warum eine rechtzeitige Umsetzung ratsam ist.
Einheitliche Regeln für industrielle Daten
Die Verordnung (EU) 2023/2854 verfolgt das Ziel, den Zugang zu und die Nutzung von Daten, die bei der Verwendung digitaler Produkte und vernetzter Dienste entstehen, innerhalb der EU zu regeln. Sie betrifft sowohl nicht-personenbezogene als auch personenbezogene Daten, sofern letztere durch die Nutzung entsprechender Produkte generiert werden. In diesen Fällen gelten parallel die Vorschriften der DSGVO, die im Kollisionsfall Vorrang haben.
Welche Unternehmen sind betroffen?
Der Data Act richtet sich in erster Linie an Hersteller, Anbieter und Nutzer vernetzter Produkte und digitaler Dienste – sowohl im B2C- als auch im B2B-Bereich. Dazu gehören Unternehmen, die etwa Maschinen, Fahrzeuge, Haushaltsgeräte oder andere IoT-fähige Produkte entwickeln, vertreiben oder einsetzen. Auch Plattformbetreiber und Anbieter datengetriebener Dienstleistungen sind umfasst. Besonders im Fokus stehen datenbasierte Geschäftsmodelle, bei denen Nutzung und Weiterverwertung von Gerätedaten eine zentrale Rolle spielen.
Wichtig: Auch reine Nutzungsunternehmen – also solche, die digitale Produkte nur einsetzen, aber nicht selbst herstellen – können zur Datenfreigabe verpflichtet sein, wenn sie als Intermediäre agieren oder Daten Dritten bereitstellen sollen. Maschinenbauer, aus deren Maschinen man etwa Betriebsstunden, Energieverbrauch und Effizienzkennzahlen, Temperatur-, Druck- und Feuchtigkeitswerte, Produktionsmengen, Fehler- und Wartungsprotokolle, Prozessparameter auslesen kann, weil sie einen Datenport oder Netzwerkschnittstellen haben, sind schnell betroffen.
Was fällt unter den Data Act – und was nicht?
Klar geregelt ist: Der Data Act betrifft vorrangig Daten, die bei der Nutzung sogenannter „vernetzter Produkte“ entstehen – etwa Maschinen mit eingebauten Sensoren, deren Werte ausgelesen werden können, vernetzte Fahrzeuge, Smart-Home-Geräte oder Produktionsanlagen. Dabei geht es um automatisch erzeugte Nutzungsdaten. Erfasst sind sowohl nicht-personenbezogene als auch personenbezogene Daten. Soweit personenbezogene Daten betroffen sind, greift der Data Act nur im Rahmen und unter den Bedingungen der DSGVO. Insbesondere der Zugriff auf oder die Weitergabe solcher Daten muss stets DSGVO-konform erfolgen.
Nicht umfasst sind dagegen rein digitale Inhalte oder Dienste, die keinen Bezug zu einem physischen Gerät haben. So fällt etwa ein webbasiertes Angebot eines Verlags, bei dem Nutzer:innen Angebote in einer Datenbank recherchieren können, nicht unter die Data-Act-Regeln.
Erweiterte Nutzerrechte und neue Transparenzpflichten
Ein zentrales Element des Data Act ist die Stärkung der Rechte der Nutzenden. Diese erhalten künftig einen direkten Anspruch auf Zugang zu den bei der Nutzung entstehenden Daten. Unternehmen müssen technische Voraussetzungen schaffen, um diese Daten in maschinenlesbarer Form bereitstellen zu können, und Prozesse definieren, wie entsprechende Datenzugriffsanfragen zu behandeln sind.
Darüber hinaus bestehen vorvertragliche Informationspflichten: Nutzerinnen und Nutzer müssen vor Vertragsschluss verständlich darüber aufgeklärt werden, welche Daten erzeugt werden, wie sie verwendet werden und ob Dritte Zugriff erhalten. Eine Anpassung bestehender Datenschutzerklärungen ist nur erforderlich, wenn personenbezogene Daten betroffen sind und die Angebote tatsächlich unter die Verordnung fallen. Für nicht-personenbezogene Daten gelten stattdessen vertragliche Informationspflichten.
Organisatorische und technische Anforderungen
Unternehmen sind verpflichtet, geeignete Maßnahmen zu treffen, um sensible Daten – unabhängig davon, ob sie personenbezogen sind oder nicht – vor unbefugtem Zugriff zu schützen. Außerdem sollten sie in der Lage sein, Datenzugriffe und Datenbereitstellungen nachvollziehbar zu dokumentieren. Dies betrifft auch die Zusammenarbeit mit externen Dienstleistern: Soweit diese als „Dateninhaber“ im Sinne des Data Act auftreten, können zusätzliche Regelungen notwendig sein. Eine automatische Anpassung aller Auftragsverarbeitungsverträge nach DSGVO etwa auf Ergänzungsbedarf für Unterstützungsleistungen ist jedoch nicht erforderlich, sondern im Einzelfall zu prüfen, ob beide Rechtsregime gleichzeitig anwendbar sind.
Fazit: Handlungsbedarf frühzeitig erkennen
Bereits jetzt empfiehlt sich eine Prüfung, welche Produkte und Dienste im Unternehmen unter den Anwendungsbereich des Data Act fallen. Auf dieser Basis sollten Unternehmen technische Vorkehrungen treffen, interne Verantwortlichkeiten klären und ihre juristischen sowie IT-Abteilungen aktiv einbinden. Die Umsetzung hängt stark von der individuellen Systemlandschaft und dem Datenumfang ab – pauschale Lösungen gibt es nicht. Spätestens jetzt sollte man mit den Vorbereitungen beginnen, wenn sie noch nicht gestartet wurden. Es drohen – wie häufig – Bußgelder, ähnlich wie bei den DSGVO Verletzungen.
ÜBER DEN AUTOR
Rechtsanwalt Rolf Becker war bis Ende 2023 Partner und Mitbegründer der Rechtsanwaltssozietät Wienke & Becker – Köln, die mit Ablauf des Jahres 2023 beendet wurde. Er ist Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht, insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Onlinehandel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen.
Rechtsanwalt Becker auf LinkedIn.
PRESSEHINWEISE
Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!