Prüfen, ob sie vom Anwendungsbereich betroffen sind
Data Act
Der Data Act ist Teil der EU-Datenstrategie und ist am 12. September 2025 in Kraft getreten. Die Verordnung begründet weitreichende Rechte von Nutzern gegenüber Herstellern bzw. Unternehmen als Dateninhaber sowie gegenüber Dritten (Datenempfänger). Die Anforderungen sind im Zusammenspiel mit DSGVO und Geschäftsgeheimnisschutz zu betrachten und können sich unmittelbar auf Produktdesign und Vertragswerke auswirken.
Kurz gefasst: Der Data Act soll den Zugang zu (Roh)daten eines vernetzten Produkts oder verbundenen Dienstes für Nutzer ermöglichen und die Weitergabe an Dritte vertraglich ausgestalten.
„Mit dieser Verordnung wird sichergestellt, dass die Nutzer eines vernetzten Produkts oder verbundenen Dienstes in der Union zeitnah auf die Daten zugreifen können, die bei der Nutzung dieses vernetzten Produkts oder verbundenen Dienstes generiert werden, und dass diese Nutzer die Daten verwenden und auch an Dritte ihrer Wahl weitergeben können.“ (Erwägungsgrund 5 Data Act)
Was regelt der Data Act?
- Nutzung nicht-personenbezogener Daten: Die Nutzung von im Gerät anfallenden nicht-personenbezogenen Daten durch den Dateninhaber erfordert einen Vertrag mit dem Nutzer.
- Weitergabe an Dritte: Die Bereitstellung/Weitergabe dieser Daten an Datenempfänger ist vertraglich zu regeln – inklusive Zweck, Gebühren, Schutzmaßnahmen und Geheimhaltung.
- Informationspflichten (Art. 3 Abs. 2, 3 Data Act): Vor Vertragsschluss (Kauf, Miete, Leasing vernetzter Produkte oder bei verbundenen Diensten) sind dem Nutzer zahlreiche Informationen klar und verständlich bereitzustellen. Diese Pflichten ähneln strukturell Art. 13, 14 DSGVO, betreffen aber abweichende, komplexere Inhalte.
Wer ist betroffen? Welche Ausnahmen gibt es?
Grundsätzlich sind alle Unternehmen mit vernetzten Produkten / verbundenen Diensten, die Nutzern Datenzugang bereitstellen bzw. Daten an Dritte weitergeben, betroffen.
Allerdings beinhaltet der Data Act vielfältige Privilegierungen und Ausnahmen. Allen voran ist die „KMU“-Ausnahme zu erwähnen: Die sog. Kleinstunternehmen und Kleinunternehmen sollen grundsätzlich vom Anwendungsbereich des Data Acts ausgenommen werden, sofern diese nicht ein Partnerunternehmen oder verbundenes Unternehmen von einem größeren (nicht Kleinstunternehmen oder Kleinunternehmen) Unternehmen sind oder von einem solchen für die Herstellung oder der Konzeption eines vernetzten Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurden (Art. 7 Abs. 1 Data Act).
Auch für sog. „mittlere“ Unternehmen, sofern diese seit weniger als ein Jahr als solche eingestuft werden, gelten grundsätzlich diese Privilegierungen (Art. 7 Abs. 2 Data Act).
In der Praxis führen Privilegierungen und Ausnahmen zu hoher Komplexität: Es kommt auf Unternehmensgröße, wirtschaftliche Risiken, getroffene Maßnahmen und auch das Nutzerverhalten an.
Schutz des Dateninhabers
Der Data Act sieht außerdem an verschiedenen Stellen noch weitere Ausnahmen vor, die den Dateninhaber schützen sollen. So kann der Dateninhaber unter anderem dann die Weitergabe von Daten, die als Geschäftsgeheimnisse eingestuft wurden, verweigern oder gegebenenfalls aussetzen, wenn keine Einigung über zu treffende Schutzvorkehrungen getroffen wird, der Nutzer diese Maßnahmen nicht umsetzt oder die Vertraulichkeit der Geschäftsgeheimnisse verletzt wird (Siehe Art. 4 Abs. 7 Data Act und Art. 5 Abs. 10 Data Act).
Auch kann der Dateninhaber die Ansprüche des Nutzers auf Zugang zu den Daten oder auf Weitergabe derselben an einen Dritten ablehnen, wenn er Inhaber eines Geschäftsgeheimnisses ist und nachweisen kann, trotz der vom Nutzer getroffenen technischen und organisatorischen Maßnahmen mit hoher Wahrscheinlichkeit einen schweren wirtschaftlichen Schaden durch die Offenlegung von Geschäftsgeheimnissen erleiden wird (Siehe Art. 4 Abs. 8 Data Act und Art. 5 Abs. 11 Data Act).
Sanktionen
Bei Verstößen gegen die Vorgaben aus dem Data Act drohen Sanktionen, die „wirksam, verhältnismäßig und abschreckend sein“ müssen (Art. 40 Abs. 1 S. 2 Data Act).
Hier nimmt der Data Act auf die Bußgelder aus der DSGVO (Art. 83 Abs. 5 DSGVO) Bezug, also könnten Bußgelder in Höhe von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes der adressierten Stelle verhängt werden.
Die Aufsichtsbehörde(n) und somit die Zuständigkeit für Maßnahmen sind hierzulande noch nicht gesetzlich verankert. Nach derzeitigem Kenntnisstand ist die Bundesnetzagentur als bundesweite Aufsichtsbehörde mutmaßlich vorgesehen. Insofern ist in Deutschland derzeit noch vieles unklar.
Was ist zu tun?
Verträge für Nutzung und Weitergabe vorbereiten
Informationspflichten umsetzen (Art. 3 Data Act)
DSGVO- und Geschäftsgeheimnisschutz sicherstellen
User-Management und Einwilligungskonzepte aufsetzen
Unsere Leistung
Wir unterstützen Sie bei der
- Prüfung, ob Sie unter die Anwendung des Data Acts fallen
- Erstellung der Datenübersicht
- Klärung des Personenbezugs der betroffenen Daten (Abgrenzung Datenschutz zum Geschäftsgeheimnis)
- Dokumentation der Schnittstellen
- Einführung der erforderlichen technischen und organisatorischen sowie rechtlichen Maßnahmen
- Umsetzung der Transparenzpflichten
Ihre Ansprechpartner
Wenn Sie Fragen zum Data Act und seiner Umsetzung haben, sprechen Sie uns an!
Dominik Bleckmann, Volljurist
Prokurist | Leiter Compliance
E-Mail: dbleckmann@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-349
datenschutz nord GmbH, Bremen
Markus Schönmann, Volljurist
Leiter Compliance | Senior Berater Datenschutz
E-Mail: mschoenmann@re-move-this.datenschutz-sued.de
Telefon: +49 931 30 49 76-24
datenschutz süd GmbH, Würzburg
Falls sich Ihre Anfrage auf eine Organisation außerhalb Deutschlands bezieht, helfen Ihnen diese Kontakte weiter.
Wiebke Kummer, Volljuristin
Prokuristin | Leiterin Compliance International
E-Mail: wkummer@re-move-this.first-privacy.com
Telefon: +49 421 69 66 32-884
FIRST PRIVACY GmbH, Bremen
Cihan Parlar, LL.M. (Tilburg)
Geschäftsführer
E-Mail: cparlar@re-move-this.first-privacy.com
Telefon: +31 20 211 71 16
FIRST PRIVACY B.V., Amsterdam
Mag. iur.
Markus Strasser
Geschäftsführer | Senior Berater Datenschutz
E-Mail: mstrasser@re-move-this.first-privacy.com
Telefon: +43 662 62 10 04-11
FIRST PRIVACY Austria GmbH, Salzburg
FAQ
Im Folgenden haben wir Ihnen die häufigsten Fragen rund um den Data Act zusammengestellt. Zögern Sie nicht uns anzusprechen.
Weitere Dienstleistungen
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informations- und Cybersicherheit, Compliance und KI. Hier finden Sie unsere neuesten Beiträge mit Bezug zum Thema Compliance:
Auch interessant:
Managementsystem
Mit DSN port und unseren Modulen für Datenschutz, Compliance, Künstliche Intelligenz und Informationssicherheit haben Sie alle To-dos immer im Blick und Ihre Dokumentation übersichtlich an einem Ort.
eLearning
Mit den eLearning-Kursen von DSN train schulen Sie in kurzer Zeit eine große Anzahl von Mitarbeitenden. Alle eLearnings können Sie direkt im Onlineshop erwerben.
Weiterbildung
Die DSN Akademie bietet Ihnen Seminare, Webinare, Inhouse-Schulungen und weitere spannende Fachveranstaltungen.
