Data Act 2025: Pflichten & Fristen für Unternehmen

Für welche Unternehmen und Produkte/Dienstleistungen ist der Data Act anwendbar?

Der Data Act betrifft vernetzte Produkte und verbundene digitale Dienste, die bei der Nutzung Daten erzeugen. Außerdem adressiert er B2B‑Datenteilung, behördliche Ausnahmeanforderungen, Cloud-/Edge‑Dienste ("data processing services") sowie Interoperabilität und Smart Contracts für Datenteilung.

Begriffe kurz erklärt

• Vernetztes Produkt: Ein Gegenstand, der bei Nutzung Nutzungs-/Umgebungsdaten erlangt oder erzeugt und Daten mit einem Dienst austauschen kann (z. B. Maschine, Fahrzeug, Medizingerät, Smart‑Gerät).
• Verbundener Dienst: Ein Dienst, der so eng mit dem Produkt verknüpft ist, dass ohne den Dienst das Produkt seine Funktionen nicht ausführen kann (z. B. Geräte‑App, Telemetrie‑Cloud).
• Dateninhaber: Die Person, die berechtigt oder verpflichtet ist, die Produkt-/Servicedaten zu nutzen und bereitzustellen (typisch: Hersteller/Service‑Provider).
• Datenempfänger: Dritte, die vom Dateninhaber Daten erhalten, meist auf Weisung des Nutzers (z. B. Instandhalter, Analytik‑Dienst).
• Cloud-/Edge‑Anbieter: Unternehmen, die IaaS/PaaS/SaaS‑Dienste anbieten, die on‑demand skalieren und Daten/Workloads verarbeiten.

Drei Kurzbeispiele

1. Maschinenbauer A liefert Pressen mit Telemetrie‑Modul und einer begleitenden Service‑App. Damit handelt es sich um ein vernetztes Produkt mit verbundenem Dienst, und A gilt als Dateninhaber.
2. Flottenbetreiber B setzt Connected‑Cars ein und beauftragt einen Analytik‑Dienst als Datenempfänger. B kann gegenüber dem Fahrzeughersteller (Original Equipment Manufacturer, OEM) den Zugang zu den Fahrzeugdaten verlangen und die Weitergabe an den Dienst anweisen.
3. SaaS‑Provider C bietet in der EU Cloud‑/Edge‑Dienste an. C muss Kunden den Wechsel zu anderen Anbietern ermöglichen und die Interoperabilität seiner Schnittstellen sicherstellen.

Welche Pflichten aus dem Data Act gelten ab dem 12. September für Unternehmen?

Unternehmen müssen unter bestimmten Bedingungen den Nutzern vernetzter Produkte den Zugang zu Produkt-/Servicedaten ermöglichen, auf Wunsch Dritten Daten bereitstellen (mit Schutz von Geschäftsgeheimnissen), faire Vertragsbedingungen gewährleisten, Cloud‑Wechsel erleichtern, Interoperabilität stärken und behördliche Ausnahmeanfragen geordnet handhaben.

1) Nutzerzugang zu Daten

Nutzer erhalten kostenfrei, zügig und in strukturiertem, gängigem, maschinenlesbarem Format – entweder direkt vom vernetzten Produkt bzw. verbundenen Dienste oder vom Dateninhaber bereitgestellt – Zugriff auf die „leicht verfügbaren“ Daten ihres Produkts/Services (ggf. kontinuierlich/in Echtzeit). Beispiel: Betreiber lädt Sensordaten seiner Maschine als JSON/CSV herunter oder streamt sie ins eigene System.

2) Weitergabe an Dritte auf Nutzerweisung

Auf Wunsch des Nutzers stellt der Dateninhaber denselben Datensatz direkt einem benannten Dritten bereit. Gatekeeper nach dem Digital Markets Act sind grundsätzlich als Dritten bzw. Datenempfänger ausgeschlossen; die gesetzliche Pflicht bezieht sich primär auf Empfänger in der EU. Beispiel: OEM sendet Telemetrie kontinuierlich an den vom Kunden gewählten Instandhalter in der EU.

3) Vorvertragliche Transparenz

Vor Kauf/Miete/Leasing (Produkt) bzw. vor Abschluss eines Vertrags für die Erbringung eines verbundenen Dienstes müssen bestimmte Informationen, z. B. Datenarten, Formate, Echtzeitfähigkeit, Speicherorte/‑dauern und Zugangswege klar kommuniziert werden (z. B. via Datensteckbrief/URL/QR‑Code). Beispiel: Produktseite nennt Messarten, Exportformate, Retention und API‑Pfad.

4) Fairness & Vergütung (FRAND)

Wo Daten gesetzlich B2B bereitzustellen sind, gelten faire, angemessene, nicht‑diskriminierende Bedingungen (Fair, Reasonable and Non‑Discriminatory – FRAND). Eine angemessene Vergütung ist möglich (kostenbasiert, transparent). Für KMU‑Empfänger gilt i. d. R. ein Kosten‑Cap. Beispiel: Datenpaket an Analytik‑Dienst gegen Kostenersatz für Aufbereitung und Transfer.

5) Unfaire B2B‑Klauseln sind unwirksam

Einseitig „aufgedrückte“ Klauseln zu Datenzugang/-nutzung/Haftung sind verboten (z. B. Haftungsausschluss für grobe Fahrlässigkeit, einseitige Auslegung, Kopienverbot ohne Grund). Beispiel: Take‑it‑or‑leave‑it‑AGB mit einseitigem Änderungsrecht werden angepasst.

6) Behördenzugriff in Ausnahmen

Öffentliche Stellen dürfen in Notlagen oder eng umgrenzten Fällen (z. B. im Bereich der öffentlichen Gesundheit) Daten anfordern – mit strengen Begründungen, Vertraulichkeitsauflagen und Reaktionsfristen (Ablehnung/Modifikation typischerweise 5 bzw. 30 Arbeitstage). Beispiel: Bei einer öffentlichen Notlage muss der Dateninhaber Statusdaten kritischer Geräte bereitstellen.

7) Cloud/Edge: Wechsel & Portabilität

Provider müssen das Switching vertraglich, technisch und organisatorisch ermöglichen (Export/Portierung, Unterstützung, Übergangsphase). Switching‑Gebühren werden stufenweise abgeschafft; ab 12.01.2027 sind sie verboten. Beispiel: Vertragsklauseln mit konkretem Exit‑Plan, Fristen und Export‑Tools vereinbaren.

8) Schutz vor unrechtmäßigem Drittlandzugriff

Cloud‑/Edge‑Anbieter treffen technische, organisatorische und rechtliche Maßnahmen gegen unzulässige Zugriffe aus Drittländern auf nicht‑personenbezogene EU‑Daten. Beispiel: Vertragliche und technische Leitplanken festlegen und Informationspflichten gegenüber dem Kunden erfüllen.

9) Interoperabilität & Standards

Daten, Dienste und Schnittstellen sollen so gestaltet sein, dass Austausch und Weiterverwendung der Daten einfach sind; künftige EU‑Standards/Spezifikationen sind umzusetzen (mit Übergangsfrist). Beispiel: Veröffentlichung eines Online‑Schemas mit API‑Beispielen und QoS.

10) Smart‑Contracts für Datenteilung

Wenn Smart‑Contracts genutzt werden: Robustheit, Zugriffskontrollen, sichere Beendigung, Auditierbarkeit und Konformitätserklärung sind Pflicht. Beispiel: Datenfreigabe‑Smart‑Contract mit Not‑Aus‑Funktion und Log‑Archiv.

Fristen des Data Act

• 12.09.2025: Hauptpflichten gelten.
• 12.09.2026: Designpflicht: Neue Produkte/Dienste müssen Datenzugang by design ermöglichen.
• 12.01.2027: Switching‑Gebühren im Cloud‑Bereich verboten.
• 12.09.2027: Regime gegen unfaire B2B‑Klauseln greift auch für viele Altverträge.

Was müssen Unternehmen tun, um den Data Act umzusetzen?

1) Betroffenheit prüfen

Checkliste (Ja/Nein):

• Stellen Sie vernetzte Produkte oder verbundene Dienste bereit?
• Halten oder verarbeiten Sie Produkt-/Servicedaten (zum Beispiel Telemetrie- oder Nutzungsdaten)?
• Sind Sie Cloud-/Edge‑Provider (oder großer Cloud‑Kunde mit Exit‑Bedarf)?
• Fällt Ihr Unternehmen unter die Ausnahmen für Kleinst-/Kleinunternehmen (Kap. II)?

2) Datenübersicht erstellen (Dateninventar)

Legen Sie ein zentrales Dateninventar an. Für jeden Datensatz beschreiben Sie in klaren Worten, um welche Daten es sich handelt und wie sie bereitgestellt werden können. Notieren Sie den Namen des Datensatzes und die Kategorie (Produkt- oder Servicedaten).

Halten Sie fest, ob der Datensatz „readily available“ ist (also ohne unverhältnismäßigen Zusatzaufwand geliefert werden kann) und begründen Sie diese Einschätzung kurz. Beschreiben Sie das Format (z. B. CSV oder JSON) sowie die Metadaten wie Einheiten, Zeitstempel und das Schema.

Geben Sie an, wie Sie die Daten liefern (Export oder API, Batch oder Echtzeit) und wo die Daten gespeichert werden und wie lange sie aufbewahrt werden (Retention). Prüfen Sie, ob personenbezogene Daten enthalten sind, schätzen Sie das Risiko für Geschäftsgeheimnisse ein und benennen Sie einen Owner, der fachlich verantwortlich ist.

3) Datenübertragbarkeit herstellen

Richten Sie Strukturen und Prozesse ein, damit Sie die Daten einfach und rechtssicher übertragen können. Dazu gehören sichere Export- und API-Wege, eine saubere Authentifizierung und Autorisierung sowie eine sparsame, zweckgebundene Protokollierung (Logging).

Stellen Sie sicher, dass die gelieferten Daten dieselbe Qualität haben wie bei Ihnen intern; wenn es technisch möglich ist, bieten Sie auch Echtzeit-Streams an.

Wenn ein Dritter Daten auf Weisung des Nutzers erhält, vereinbaren Sie mit diesem Dritten FRAND-Bedingungen (fair, angemessen, nicht diskriminierend); dem Nutzer selbst dürfen für den Zugang keine Entgelte entstehen.

4) Transparenz vor Vertragsschluss herstellen

Stellen Sie vor Vertragsschluss einen Produkt- oder Dienst-Datensteckbrief bereit, den Interessierte über Ihre Website oder per QR‑Code aufrufen können. In diesem Steckbrief erklären Sie verständlich,

• welche Datentypen anfallen,
• in welchen Formaten und Mengen die Daten vorliegen,
• ob Echtzeitübertragung möglich ist,
• wo die Daten gespeichert werden
• und wie lange.

Beschreiben Sie außerdem den Zugangsweg (z. B. Portal oder API), die Qualitätsmaßstäbe und die Bedingungen der Nutzung und nennen Sie eine gut erreichbare Kontaktmöglichkeit.

5) Eine Anlaufstelle für Anfragen benennen

Benennen Sie eine zentrale Anlaufstelle, über die Nutzeranfragen zu den Datenflüssen beim vernetzten Produkt oder verbundenen Dienst zuverlässig eingehen und bearbeitet werden. Das kann eine dedizierte E‑Mail‑Adresse wie data‑requests@… oder ein Web‑Formular sein. Veröffentlichen Sie diese Adresse im Datensteckbrief und legen Sie intern fest, wer verantwortlich ist und wie die Vertretung geregelt wird.

6) Prozesse für Nutzeranfragen aufsetzen

Beschreiben Sie in einer kurzen Standardarbeitsanweisung (SOP) den gesamten Ablauf.

1. Prüfen Sie die Identität und Rolle des Anfragenden und stellen sicher, dass keine Gatekeeper als Datenempfänger benannt werden.
2. Legen Sie den genauen Umfang der Daten fest und klären, ob personenbezogene Daten enthalten sind; falls ja, minimieren oder anonymisieren Sie diese oder stellen die DSGVO‑Rechtsgrundlage sicher.
3. Schützen Sie Geschäftsgeheimnisse, zum Beispiel mit NDA‑Klauseln, Maskierung oder passenden API‑Berechtigungen (Scopes).
4. Liefern Sie die Daten über Export oder API in gleichwertiger Qualität.
5. Dokumentieren Sie knapp, was übermittelt wurde und auf welcher Grundlage. Definieren Sie dafür interne Service‑Level, zum Beispiel eine Eingangsbestätigung innerhalb von zwei Arbeitstagen und eine Lieferung je nach Umfang sofort, per Streaming oder innerhalb weniger Tage.

7) Verträge erstellen/anpassen

Ergänzen Sie Ihre Verträge um ein Data‑Sharing‑Addendum auf FRAND‑Basis. Darin beschreiben Sie Zweck und Umfang der Datennutzung, Formate und Qualitätsmaßstäbe, Regeln zur Nicht‑Diskriminierung sowie die Vergütung, die transparent kalkuliert und bei KMU‑Empfängern gedeckelt ist.

Vereinbaren Sie außerdem eine klare Streitbeilegung. Entfernen Sie einseitige oder unangemessene Klauseln, etwa eine Haftungsfreistellung für grobe Fahrlässigkeit, einseitige Auslegungsrechte oder überzogene Verbote, Kopien zu erstellen. Planen Sie schließlich die Anpassung von Altverträgen mit langer Laufzeit oder unbefristeter Geltung bis 2027.

8) Cloud‑Switching ermöglichen

Stellen Sie vertraglich klar, wie der Wechsel zu einem anderen Provider abläuft: Der Kunde kann den Wechsel anstoßen, es gibt eine definierte Übergangsphase und ein anschließendes Zeitfenster zum Abruf von Restdaten.

Währenddessen unterstützen Sie fachlich und technisch, halten das zugesagte Sicherheitsniveau ein und löschen Daten am Ende des Prozesses. Kommunizieren Sie den Gebührenpfad transparent: bis zum 12.01.2027 nur reduzierte, kostenbasierte Switching‑Gebühren und danach keine Gebühren mehr.

Technisch bereiten Sie Export‑Werkzeuge und Formate vor, dokumentieren offene Schnittstellen und — bei IaaS — unterstützen Sie eine funktionale Gleichwertigkeit der Workloads auf dem Zielsystem, soweit das zumutbar ist.

Wie müssen Daten bereitgestellt werden?

Damit Sie Anfragen verlässlich erfüllen, müssen Daten zügig, in gut nutzbaren Formaten und über sichere, unkomplizierte Wege bereitgestellt werden – und zwar möglichst in derselben Qualität, in der sie intern vorliegen.

• Frist: Die Daten müssen unverzüglich, also ohne unangemessene Verzögerung, bereitgestellt werden. Wenn es fachlich sinnvoll und technisch machbar ist, erfolgt die Bereitstellung kontinuierlich oder in Echtzeit.
• Format/Qualität: Die Daten werden in einem strukturierten, gängigen und maschinenlesbaren Format, zum Beispiel CSV oder JSON, bereitgestellt. Zusätzlich enthalten sie die nötigen Metadaten zur Interpretation, und die Qualität entspricht der internen Datenqualität.
• Sicherheit & Einfachheit: Der Zugang zu den Daten ist sicher und zugleich einfach nutzbar; es werden keine manipulativen Nutzerführungen („Dark Patterns“) eingesetzt. Für den Nutzer ist der Zugang kostenfrei.
• Umfang: Bereitzustellen sind die „readily available data“, also die Daten, die ohne unverhältnismäßigen Zusatzaufwand aus dem Produkt oder Dienst herausgegeben werden können. Es besteht keine Pflicht zu zusätzlichen Entwicklungsarbeiten oder zu Hardware‑Umbauten.
• Dritte: Auf Weisung des Nutzers werden die Daten an benannte Dritte zu denselben Qualitätsmaßstäben bereitgestellt. Unternehmen mit Gatekeeper‑Status sind als Datenempfänger ausgeschlossen, und die gesetzliche Pflicht zur Bereitstellung richtet sich vorrangig an Empfänger in der Europäischen Union.
• Behörden (Ausnahmen): Bei Anfragen öffentlicher Stellen gelten in der Regel Reaktionsfristen von fünf Arbeitstagen bei Notlagen und dreißig Arbeitstagen in sonstigen Fällen für eine Ablehnung oder Modifikation. Die eigentliche Datenbereitstellung muss ebenfalls ohne unangemessene Verzögerung erfolgen.

In welchem Verhältnis stehen Data Act und DSGVO?

Im Verhältnis zur Datenschutz‑Grundverordnung (DSGVO) gilt: Die DSGVO bleibt unberührt. Der Data Act öffnet vor allem die Zugänge zu Daten und regelt, wer welche Daten wie erhalten darf; er schafft jedoch keine eigene Rechtsgrundlage für die Verarbeitung personenbezogener Daten.

Sobald in einem Datensatz personenbezogene Informationen enthalten sind, müssen Unternehmen daher die Rechtsgrundlage, die Zweckbindung, die Datenminimierung, die Transparenzpflichten und die Betroffenenrechte nach DSGVO beachten. Wenn nötig sollten sie Daten anonymisieren oder pseudonymisieren.

Zugleich ergänzt der Data Act die Datenportabilität, weil er den Zugriff auch auf nicht‑personenbezogene Gerätedaten und die Direktweitergabe an Dritte ermöglicht – ohne die Rechte und Pflichten aus der DSGVO zu begrenzen.

Fazit

Der Data Act ist kein reines IT‑Thema, sondern eine Querschnittsaufgabe für Produkt, Recht, Vertrieb und IT. Unternehmen, die jetzt sachlich priorisieren, kommen ohne großen Aufwand zum Ziel: Prüfen Sie zuerst Ihre Betroffenheit, erstellen Sie ein übersichtliches Dateninventar, richten Sie einen klaren Prozess für Nutzeranfrage samt Kontaktstelle ein und bringen Sie Ihre Verträge auf FRAND‑Kurs.

Ergänzen Sie diese Basis um einen Cloud‑Exit‑Plan mit konkreten Fristen und Exportwegen und stellen Sie vor Vertragsschluss transparente Datensteckbriefe bereit.

Wenn Sie diese Bausteine umsetzen, erfüllen Sie die Anforderungen ab dem 12. September 2025 nicht nur formal, sondern schaffen auch echten Mehrwert: Kundinnen und Kunden erhalten schneller nutzbare Daten, interne Teams arbeiten effizienter, und Ihr Unternehmen reduziert rechtliche Risiken und Anbieter‑Lock‑ins.

So unterstützen wir Sie beim Data Act

Wir beraten Sie gerne zu allen Compliance‑Fragen in Verbindung mit dem Data Act – von der Prüfung des Anwendungsbereichs über Cloud‑Switching bis hin zu allen vertraglichen Herausforderungen. Wir können Sie auch dabei unterstützen, die verschiedenen Regulierungen – wie etwa die DSGVO oder den AI Act – mit den Pflichten des Data Act zusammenzubringen und durch Synergien kluge Prozesse und Strukturen zu schaffen. Sprechen Sie uns gerne an.