Mit dem Inkrafttreten des Data Acts am 11. Januar 2024 und der bevorstehenden direkten Anwendbarkeit ab dem 12. September 2025 steht Europa vor einem bedeutsamen Wandel in der Datenökonomie. Die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (kurz: EU Data Act) ist nach dem Daten-Governance-Gesetz die zweite zentrale Säule der europäischen Datenstrategie und verspricht eine grundlegende Neuordnung der digitalen Wertschöpfung.

Die Vision: Faire Datenverteilung für Innovation und Wettbewerb

Der Data Act verfolgt ein ehrgeiziges Ziel: die Schaffung eines fairen, transparenten und innovationsfördernden Rahmens für den Zugang zu und die Nutzung von Daten innerhalb der EU. Im Mittelpunkt steht dabei die Erkenntnis, dass Daten ein zentraler Rohstoff des 21. Jahrhunderts sind und deren Wertschöpfung gerechter verteilt werden muss.

Anders als die Datenschutz-Grundverordnung, die sich ausschließlich auf personenbezogene Daten konzentriert, nimmt der Data Act sowohl personenbezogene als auch nicht-personenbezogene Daten in den Blick. Diese horizontale Herangehensweise macht die Verordnung zu einem branchenübergreifenden Regelwerk, das nahezu alle Wirtschaftszweige erfassen kann.

Das Internet der Dinge im Fokus

Besondere Bedeutung erhält der Data Act im Bereich des Internet of Things. Vernetzte Produkte – von intelligenten Haushaltsgeräten über Industriemaschinen bis hin zu Fahrzeugen – generieren täglich riesige Datenmengen. Bisher hatten meist nur die Hersteller Zugriff auf diese wertvollen Informationen und konnten daraus Wettbewerbsvorteile ziehen. Der Data Act kehrt dieses Prinzip um und stärkt die Rechte der Nutzer erheblich.

Konkret bedeutet dies: Verbraucher und Unternehmen, die vernetzte Produkte verwenden, erhalten das Recht auf unverzüglichen und kostenlosen Zugang zu den durch ihre Nutzung generierten Daten. Diese müssen in einem maschinenlesbaren Format bereitgestellt werden. Darüber hinaus können Nutzer verlangen, dass ihre Daten an Dritte weitergegeben werden – beispielsweise an unabhängige Reparaturdienste oder spezialisierte Analyseanbieter.

Für Hersteller ergibt sich daraus eine fundamentale Änderung: Vernetzte Produkte müssen bereits bei der Konzeption so gestaltet werden, dass sie den Datenzugang ermöglichen (Access by Design). Dies bedeutet oft erhebliche technische Anpassungen und neue Geschäftsmodelle.

Neue Spielregeln für Cloud-Dienste

Ein weiterer zentraler Baustein des Data Acts betrifft Cloud-Services und Datenverarbeitungsdienste. Das sogenannte "Cloud Switching" soll erheblich erleichtert werden, um die gefürchteten Vendor Lock-in-Effekte zu vermeiden. Anbieter von Cloud-Diensten müssen künftig alle kommerziellen, technischen und vertraglichen Hindernisse beseitigen, die einen Wechsel des Kunden zu einem anderen Anbieter erschweren.

Praktisch bedeutet dies unter anderem eine zweimonatige Kündigungsfrist, eine Wechselfrist von maximal 30 Tagen (ausnahmsweise länger) und das schrittweise Verbot von Wechselentgelten. Ab dem 12. Januar 2027 dürfen Cloud-Anbieter für den Anbieterwechsel keine Gebühren mehr erheben. Zusätzlich müssen sie technische Schnittstellen bereitstellen, die den Datentransfer zu anderen Anbietern ermöglichen.

Der Staat als Datenempfänger

Eine besonders sensible Regelung betrifft den Zugriff öffentlicher Stellen auf Unternehmensdaten. In Fällen außergewöhnlicher Notwendigkeit – beispielsweise bei Naturkatastrophen oder Pandemien – können Behörden von Unternehmen die kostenlose Bereitstellung relevanter Daten verlangen. Kleinst- und Kleinunternehmen sind grundsätzlich ausgenommen.

Geschäftsgeheimnisse im Spannungsfeld

Ein kritischer Punkt für viele Unternehmen ist der Umgang mit Geschäftsgeheimnissen. Der Data Act erkennt zwar deren Schutz an, setzt aber hohe Hürden für eine Verweigerung des Datenzugangs. Unternehmen können die Datenherausgabe nur dann verweigern, wenn sie trotz angemessener technischer und organisatorischer Schutzmaßnahmen eine hohe Wahrscheinlichkeit eines schweren wirtschaftlichen Schadens nachweisen können. Diese Verweigerung muss zudem der zuständigen nationalen Behörde gemeldet und umfassend begründet werden.

Verhältnis zur DSGVO

Das Zusammenspiel zwischen Data Act und Datenschutz-Grundverordnung ist komplex. Grundsätzlich gilt: Im Konfliktfall hat die DSGVO Vorrang. Der Data Act darf den Schutz personenbezogener Daten nicht einschränken. Gleichzeitig ergänzt er aber die Betroffenenrechte der DSGVO und kann in bestimmten Fällen sogar weitergehende Zugangsrechte schaffen. Unternehmen müssen daher beide Regelwerke im Blick behalten und sicherstellen, dass jede Datenverarbeitung auch unter DSGVO-Gesichtspunkten rechtmäßig ist.

Durchsetzung und Sanktionen

Die Durchsetzung des Data Acts erfolgt auf nationaler Ebene. Jeder Mitgliedstaat muss entsprechende Aufsichtsbehörden benennen. Verstöße können mit empfindlichen Geldbußen geahndet werden; die detaillierten Sanktionen haben die Mitgliedstaaten selbst zu bestimmen. Möglich sind jedenfalls Strafen im Bereich bis zu mehreren Millionen Euro.

Besonders bedeutsam dürfte aber die privatrechtliche Durchsetzung sein. Produkte, die den Anforderungen des Data Acts nicht genügen, gelten - unter Berücksichtigung des nationalen Kaufrechts - uU als mangelhaft. Unternehmen, die gegen die Verordnung verstoßen, können sich zudem unlautere Wettbewerbsvorteile verschaffen, was zusätzliche rechtliche Risiken birgt.

Ausblick und Handlungsbedarf

Der Data Act markiert einen Wendepunkt in der europäischen Digitalstrategie. Unternehmen, die vernetzte Produkte herstellen, Cloud-Services anbieten oder anderweitig in der Datenwirtschaft tätig sind, sollten vorbereitet sein. Dazu gehört eine umfassende Bestandsaufnahme der vorhandenen Datenströme, die Anpassung technischer Systeme, die Überarbeitung von Verträgen und die Schulung der Mitarbeiter.

Die Verordnung bietet aber auch große Chancen: Neue Geschäftsmodelle können entstehen, der Wettbewerb wird gestärkt und Innovationen gefördert. Unternehmen, die frühzeitig auf die neuen Regeln reagieren, können sich entscheidende Vorteile verschaffen. Der Data Act ist damit nicht nur eine regulatorische Herausforderung, sondern auch ein Motor für die digitale Transformation Europas – vorausgesetzt, er wird konsequent und praxistauglich umgesetzt.

Sie haben weitere Fragen zum Thema Daten und Recht?

Sie haben weitere Fragen zum Thema EU Data Act, Urheberrecht oder Datenschutzrecht? Schauen Sie gerne bei unseren Services vorbei oder melden Sie sich per E-Mail unter office@geuer.at bzw telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.