Der EU Data Act: Neue Spielregeln zwischen Datenzugang, Datenschutz und IT-Sicherheit
Seit dem 12. September 2025 ist der EU Data Act (Verordnung (EU) 2023/2854) in weiten Teilen unmittelbar geltendes Recht. Als zentraler Baustein der europäischen Datenstrategie zielt er darauf ab, Datenmonopole aufzubrechen und den Zugang zu Daten aus vernetzten Produkten (Internet of Things – IoT) sowie verbundenen Diensten zu erleichtern. Für Unternehmen bedeutet dies jedoch einen komplexen Drahtseilakt, da die Anforderungen des Data Act untrennbar mit den Vorgaben des Datenschutzes und der Datensicherheit verknüpft sind.
1. Datenschutz: Das Vorrangprinzip der DSGVO
Eine der wichtigsten Erkenntnissen für die Praxis ist, dass die DSGVO uneingeschränkt parallel zum Data Act gilt. Im Falle eines Widerspruchs hat der Datenschutz stets Vorrang.
- Keine neue Rechtsgrundlage: Der Data Act selbst stellt keine Rechtsgrundlage für die Herausgabe personenbezogener Daten an Dritte dar. Soll ein Drittunternehmen Zugang zu personenbezogenen Nutzerdaten erhalten, muss hierfür eine eigenständige Grundlage nach der DSGVO (z. B. eine Einwilligung nach Art. 6 Abs. 1 lit. a oder ein berechtigtes Interesse nach lit. f) vorliegen.
- Haftungsfalle Datenweitergabe: Unternehmen stehen vor einem Dilemma: Verweigern sie den Datenzugang mangels Rechtsgrundlage, verstoßen sie potenziell gegen den Data Act; geben sie Daten ohne DSGVO-Konformität heraus, drohen Bußgelder nach der Datenschutz-Grundverordnung.
- Access by Design: Ab dem 12. September 2026 müssen neue Produkte so konzipiert sein, dass ein Datenzugang standardmäßig eingebaut ist („Access by Design“). Dies berührt unmittelbar das Prinzip des „Privacy by Design“ nach Art. 25 DSGVO.
2. Datensicherheit: Schutz bei der Übertragung
Der Data Act verpflichtet Akteure, den Datenaustausch technisch sicher zu gestalten. Die Anforderungen an das Schutzniveau richten sich dabei nach einem risikobasierten Ansatz, der die Schutzwürdigkeit der Daten und die Wahrscheinlichkeit von Angriffen berücksichtigt.
- Sichere Schnittstellen: Um Nutzern einen zügigen und kostenfreien Zugriff auf ihre Daten zu ermöglichen, sind sichere Schnittstellen (APIs) oder Kundenportale einzurichten.
- Schutz von Geschäftsgeheimnissen: Unternehmen können den Datenzugang ablehnen, wenn dadurch Geschäftsgeheimnisse gefährdet würden. Dies muss jedoch objektiv begründet werden; ein bloß subjektiver Wunsch nach Geheimhaltung reicht nicht aus.
- Integrität und Authentifizierung: Bei der Datenübertragbarkeit müssen robuste Strukturen für die Authentifizierung und Autorisierung vorhanden sein, um sicherzustellen, dass nur berechtigte Nutzer Zugriff erhalten.
3. Strategische Aspekte: Cloud-Switching und FRAND
Ein weiteres Ziel des Data Act ist die Stärkung der Datensouveränität durch die Erleichterung des Anbieterwechsels bei Cloud-Diensten (Cloud-Switching).
- Aufbrechen von Lock-in-Effekten: Anbieter müssen technische Maßnahmen ergreifen, um einen einfachen Umzug zu einem anderen Provider zu ermöglichen. Ab dem 12. Januar 2027 sind Wechselgebühren im Cloud-Bereich zudem vollständig verboten.
- FRAND-Bedingungen: Wenn Daten zwischen Unternehmen (B2B) geteilt werden, müssen die Bedingungen fair, angemessen und diskriminierungsfrei (Fair, Reasonable and Non-Discriminatory) sein. Dies wirkt wie eine Art AGB-Kontrolle für Datenverträge.
Fazit für Verantwortliche
Die Umsetzung des Data Act ist eine Querschnittsaufgabe, die eine enge Zusammenarbeit zwischen IT, Rechtsabteilung und Datenschutzbeauftragten (DSB) erfordert. Da bei vernetzten Produkten neben rein technischen Daten fast immer auch personenbezogene Informationen anfallen, ist die Relevanz für den DSB extrem hoch.
Unternehmen sollten dringend eine Dateninventur vornehmen, um zu klären, welche Datensätze „leicht verfügbar“ sind, und Prozesse für Nutzeranfragen implementieren, die sowohl den Anforderungen des Data Act als auch der DSGVO gerecht werden.
