Am 13. Dezember 2023 wurde mit der Verordnung (EU) 2023/2854 der sogenannte Data Act verabschiedet. Nach seiner Veröffentlichung im Amtsblatt der Europäischen Union trat die Verordnung zwanzig Tage später in Kraft. Ihre materiellen Vorschriften gelten ab dem 12. September 2025, wobei einzelne Verpflichtungen – insbesondere im Bereich der Anbieterwechselbarkeit – zeitlich gestaffelt zur Anwendung kommen. Der EU-Data-Act ist ein zentrales Element der europäischen Datenstrategie und verfolgt das Ziel, den Zugang zu Daten sowie deren Nutzung unionsweit zu harmonisieren und fairere Wettbewerbsbedingungen in datengetriebenen Märkten zu schaffen.
Der EU-Data-Act: Neue Spielregeln für den Zugang und die Nutzung von Daten
Systematisch ergänzt der Data Act bestehende Regelwerke wie die Datenschutz-Grundverordnung (DSGVO) und den Data Governance Act. Dabei ist hervorzuheben, dass der Data Act keine eigenständige datenschutzrechtliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten begründet. Art. 4 Abs. 12 stellt ausdrücklich klar, dass personenbezogene Daten nur im Einklang mit der DSGVO verarbeitet und bereitgestellt werden dürfen. Der Schwerpunkt der Verordnung liegt somit auf der Regulierung des Zugangs zu und der Nutzung von nicht-personenbezogenen Daten sowie auf der Strukturierung datenbasierter Geschäftsmodelle.
Ein zentrales Element des EU-Data-Act sind die neuen Zugangs- und Nutzungsrechte in Bezug auf Daten, die durch vernetzte Produkte oder verbundene Dienste erzeugt werden. Nach Art. 4 Abs. 1 haben Nutzerinnen und Nutzer solcher Produkte ein unmittelbares Recht auf Zugang zu den entsprechenden Produkt- und Nutzungsdaten. Soweit diese Daten nicht direkt über das Produkt abrufbar sind, müssen Hersteller oder Dienstanbieter sie unverzüglich, in einem gebräuchlichen, strukturierten und maschinenlesbaren Format zur Verfügung stellen; soweit technisch möglich, sogar kontinuierlich oder in Echtzeit. Darüber hinaus stärkt der Data Act die Weitergabe dieser Daten an Dritte. Auf Verlangen des Nutzers sind die Daten einem benannten Dritten bereitzustellen (Art. 5 Abs. 1), wobei bestimmte Unternehmen mit Gatekeeper-Status im Sinne des Digital Markets Act als Empfänger ausgeschlossen sein können (Art. 5 Abs. 3).
Wie der EU-Data-Act Geschäftsgeheimnisse schützt und faire Vertragsklauseln stärkt
Gleichzeitig enthält der Data Act wichtige Schutzmechanismen für Geschäfts- und Betriebsgeheimnisse. Dateninhaber dürfen technische und organisatorische Maßnahmen verlangen, um die Vertraulichkeit sensibler Informationen zu wahren. In eng begrenzten Ausnahmefällen kann die Herausgabe einzelner Daten verweigert werden, wenn andernfalls ein erheblicher Schaden durch die Offenlegung von Geschäftsgeheimnissen drohen würde (Art. 4 Abs. 6–8 sowie Art. 19). Damit versucht der Gesetzgeber, einen Ausgleich zwischen Datenzugang und berechtigten Geheimhaltungsinteressen herzustellen.
Über den individuellen Datenzugang hinaus reguliert der Data Act auch die vertraglichen Rahmenbedingungen der Datennutzung. Kapitel IV (Art. 13 ff.) sieht vor, dass bestimmte einseitig auferlegte Vertragsklauseln zwischen Unternehmen als unwirksam gelten, wenn sie als unfair einzustufen sind. Ziel dieser Regelungen ist es insbesondere, kleine und mittlere Unternehmen vor missbräuchlichen Vertragsgestaltungen zu schützen und bestehende Machtasymmetrien im Datenökosystem abzumildern, ohne die Vertragsfreiheit insgesamt aufzuheben.
Datenbereitstellung an Behörden, Cloud-Wechselbarkeit und Drittstaatenzugriffe
Ein weiterer zentraler Regelungsbereich betrifft die Datenbereitstellung an öffentliche Stellen. Kapitel V (Art. 14–21) erlaubt es Behörden, unter den engen Voraussetzungen eines „außergewöhnlichen Bedarfs“ Daten von Unternehmen anzufordern. Solche Situationen können etwa bei Naturkatastrophen, schweren Gesundheitskrisen oder vergleichbaren Notlagen vorliegen. Art. 15 definiert die materiellen Voraussetzungen eines solchen Bedarfs, während Art. 17 die formalen Anforderungen an entsprechende Anfragen konkretisiert.
Die Datenbereitstellung ist strikt zweckgebunden, zeitlich begrenzt und unterliegt besonderen Schutzvorkehrungen, insbesondere im Hinblick auf Geschäftsgeheimnisse (Art. 19). Für die Bereitstellung kann, abhängig vom Aufwand, ein angemessenes Entgelt verlangt werden (Art. 20).
Von erheblicher praktischer und wirtschaftlicher Bedeutung sind die Regelungen zur Wechselbarkeit von Datenverarbeitungsdiensten in Kapitel VI (Art. 23–31). Anbieter solcher Dienste, insbesondere Cloud-Dienstleister, müssen sicherstellen, dass ihre Kunden ohne unangemessene technische, vertragliche oder organisatorische Hindernisse zu einem anderen Anbieter wechseln können. Art. 25 verpflichtet dazu, in den Verträgen klare Angaben zu Kündigungsfristen, Unterstützungsleistungen beim Wechsel sowie zu den Modalitäten des Datenexports vorzusehen. Art. 27 normiert zusätzlich eine allgemeine Pflicht zur Zusammenarbeit nach Treu und Glauben.
Besonders relevant ist Art. 29, der eine stufenweise Abschaffung von Wechselentgelten vorsieht. Während Anbieter von Datenverarbeitungsdiensten während der Übergangsphase noch reduzierte, kostenbasierte Entgelte für Unterstützungsleistungen beim Anbieterwechsel verlangen dürfen, muss der Wechsel spätestens nach Ablauf der Übergangsphase vollständig kostenfrei möglich sein. Mit dieser zeitlich gestaffelten Regelung soll der Praxis des Vendor-Lock-in nachhaltig entgegengewirkt werden.
Ein eigenständiger Regelungsbereich findet sich in Kapitel VII, das ausschließlich aus Artikel 32 besteht und dem Schutz vor unrechtmäßigen Drittstaatenzugriffen dient.
Anbieter von Datenverarbeitungsdiensten sind verpflichtet, geeignete technische, organisatorische und rechtliche Maßnahmen zu ergreifen, um Zugriffe durch Behörden außerhalb der Europäischen Union zu verhindern, soweit diese mit Unionsrecht oder nationalem Recht unvereinbar sind.
Entscheidungen oder Anordnungen von Gerichten oder Verwaltungsbehörden eines Drittstaats dürfen nur anerkannt oder vollstreckt werden, wenn sie auf einem völkerrechtlichen Abkommen – etwa einem Rechtshilfeabkommen – beruhen oder gleichwertige rechtsstaatliche Garantien enthalten. Artikel 32 verpflichtet die Anbieter zudem, betroffene Kunden grundsätzlich über entsprechende Zugriffsersuchen zu informieren, sofern dem keine zwingenden Gründe der Strafverfolgung entgegenstehen.
Das deutsche Data-Act-Durchführungsgesetz
Als EU-Verordnung gilt der Data Act grundsätzlich unmittelbar in allen Mitgliedstaaten und bedarf keiner inhaltlichen Umsetzung in nationales Recht. Gleichwohl sieht der EU-Data-Act vor, dass die Mitgliedstaaten nationale Regelungen zu Zuständigkeiten, Verfahren und Sanktionen schaffen. In Deutschland befindet sich hierzu derzeit ein Data-Act-Durchführungsgesetz im Gesetzgebungsverfahren. Ziel dieses Gesetzes ist es insbesondere, die zuständigen nationalen Behörden festzulegen, Verwaltungs- und Beschwerdeverfahren auszugestalten sowie Bußgeld- und Durchsetzungsmechanismen zu regeln.
Nach dem aktuellen Stand der Gesetzgebung ist vorgesehen, die Aufsicht und Durchsetzung der Data-Act-Vorgaben überwiegend spezialisierten Bundesbehörden zuzuweisen, während datenschutzrechtliche Fragestellungen weiterhin unter der Zuständigkeit der Datenschutzaufsichtsbehörden verbleiben sollen. Inhaltlich ändert das Durchführungsgesetz jedoch nichts an den materiellen Rechten und Pflichten aus dem Data Act selbst. Für Unternehmen bedeutet dies, dass die europarechtlichen Anforderungen unabhängig vom nationalen Durchführungsgesetz zu beachten sind; das nationale Recht wird vor allem die praktische Durchsetzung und Sanktionierung konkretisieren.
Wie Unternehmen den EU-Data-Act strategisch umsetzen und Risiken minimieren
Abschließend ist festzuhalten, dass der Data Act einen umfassenden und verbindlichen Rechtsrahmen für die europäische Datenwirtschaft schafft. Unternehmen sind gut beraten, ihre Rolle im jeweiligen Datenökosystem frühzeitig zu analysieren und sowohl ihre technischen Systeme als auch ihre vertraglichen und organisatorischen Strukturen rechtzeitig an die neuen Anforderungen anzupassen.
Besonders sensibel sind dabei die Schnittstellen zur DSGVO, der Schutz von Geschäftsgeheimnissen, die neuen Pflichten zur Anbieterwechselbarkeit sowie der Umgang mit internationalen Datenzugriffsersuchen. Wer diese Themen frühzeitig adressiert, kann nicht nur rechtliche Risiken minimieren, sondern sich auch strategische Wettbewerbsvorteile sichern.
