Data Act: Alles was Sie wissen müssen

1. Einführung: Was ist der EU Data Act?

Der EU Data Act (Datenverordnung, Verordnung (EU) 2023/2854) ist am 11. Januar 2024 in Kraft getreten und bildet einen zentralen Baustein der europäischen Datenstrategie. Ziel ist es, die Wertschöpfung aus Daten gerechter zu verteilen, Innovation zu fördern und Wettbewerbshemmnisse abzubauen.

Konkret geht es darum, dass Daten – etwa aus vernetzten Geräten, Maschinen oder Cloud-Diensten – künftig einfacher zugänglich, übertragbar und nutzbar werden. So sollen Unternehmen, Verbraucher und öffentliche Stellen von den enormen Datenmengen in Europa profitieren.

2. Wer ist betroffen?

Die Verordnung betrifft nahezu alle Unternehmen, die mit Daten arbeiten – insbesondere:

• Hersteller vernetzter Geräte (IoT-Produkte)
• Anbieter von Datenverarbeitungsdiensten wie Cloud-Services
• Unternehmen, die Daten nutzen oder weitergeben
• Öffentliche Stellen, die in Ausnahmefällen Zugriff auf Unternehmensdaten benötigen

3. Was regelt der Data Act?

Die Verordnung enthält unter anderem folgende Kernpunkte:

1. Zugangsrechte: Nutzer erhalten Zugang zu den Daten, die von ihren Geräten erzeugt werden.
2. B2B-Datenweitergabe: Unternehmen müssen Daten zu fairen, angemessenen und nicht diskriminierenden Bedingungen bereitstellen.
3. Unfaire Vertragsklauseln: Schutz kleinerer Unternehmen vor missbräuchlichen Vertragsbedingungen.
4. Cloud-Portabilität: Wechsel zwischen Cloud-Anbietern muss künftig einfach möglich sein – technische und vertragliche Hürden sind unzulässig.
5. B2G-Datenzugang: Behörden erhalten in Ausnahmesituationen Zugang zu Unternehmensdaten.
6. Schutz von Geschäftsgeheimnissen und Sicherheit: Daten müssen nicht herausgegeben werden, wenn dadurch berechtigte Schutzinteressen gefährdet sind.
7. Interoperabilität: Einheitliche Standards sollen den Datenaustausch erleichtern.

4. Zeitplan & Fristen

• 11. Januar 2024: Inkrafttreten der Verordnung
• 12. September 2025: Allgemeine Anwendbarkeit – ab diesem Tag gelten die meisten Verpflichtungen und Bußgelder können verhängt werden
• 12. September 2026: Neue Produkte müssen „zugangsgerecht“ konstruiert sein (Access by Design)
• 12. September 2027: Cloud-Anbieter dürfen beim Anbieterwechsel keine Wechselgebühren mehr erheben. Ab diesem Zeitpunkt muss der Wechsel vollständig kostenlos möglich sein.
• 12. September 2027: Sämtliche Cloud-Verträge – auch ältere – müssen die Anforderungen des Data Act einhalten.

5. Ab wann drohen Bußgelder?

Unternehmen haben bis zum 12. September 2025 Zeit, ihre Prozesse, Verträge und technischen Systeme anzupassen. Ab diesem Tag drohen erstmals Sanktionen.

Die Bußgelder können empfindlich ausfallen:

• bis zu 20 Mio. EUR oder
• bis zu 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.

Ab September 2026 gilt zusätzlich die Pflicht zum Access by Design für neue Produkte. Auch Verstöße dagegen können sanktioniert werden.

6. Was müssen Unternehmen jetzt tun?

Damit Ihr Unternehmen rechtzeitig vorbereitet ist, sollten Sie folgende Maßnahmen ergreifen:

• Bestandsaufnahme: Welche Produkte, Daten und Verträge sind betroffen?
• Verträge prüfen und anpassen: AGB, Cloud- und Dienstleistungsverträge müssen mit den neuen Anforderungen übereinstimmen.
• Technische Vorbereitung: Datenportabilität sicherstellen, Schnittstellen schaffen, Interoperabilität umsetzen.
• Datenschutz & IP berücksichtigen: Geschäftsgeheimnisse und Sicherheitsinteressen schützen.
• Interne Prozesse schaffen: Umgang mit Datenzugriffsanfragen und Behördenzugriffen regeln.
• Mitarbeiter schulen: Geschäftsführung, IT und Fachabteilungen sensibilisieren.
• Monitoring: Entwicklungen, FAQs und künftige Leitlinien der EU-Kommission beobachten.

7. Fazit: Jetzt handeln, statt später haften

Der EU Data Act bringt große Chancen – aber auch klare Pflichten. Für Entscheider bedeutet das: Jetzt müssen alle relevanten Weichen gestellt sein.

👉 Unser Tipp: Planen Sie jetzt die notwendigen Anpassungen – und nutzen Sie die Gelegenheit, Ihr Unternehmen zukunftssicher aufzustellen.