{"id":1032,"date":"2026-01-19T15:09:07","date_gmt":"2026-01-19T14:09:07","guid":{"rendered":"https:\/\/www.g-lorenzen.de\/?p=1032"},"modified":"2026-01-19T15:09:07","modified_gmt":"2026-01-19T14:09:07","slug":"der-eu-data-act-datenzugang-und-digitale-souveraenitaet","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2026\/01\/19\/der-eu-data-act-datenzugang-und-digitale-souveraenitaet\/","title":{"rendered":"Der EU Data Act: Datenzugang und digitale Souver\u00e4nit\u00e4t"},"content":{"rendered":"<p><strong>Der EU Data Act: Neue Spielregeln zwischen Datenzugang, Datenschutz und IT-Sicherheit<\/strong><\/p>\n<p>Seit dem <strong>12. September 2025<\/strong> ist der EU Data Act (Verordnung (EU) 2023\/2854) in weiten Teilen unmittelbar geltendes Recht. Als zentraler Baustein der europ\u00e4ischen Datenstrategie zielt er darauf ab, <strong>Datenmonopole aufzubrechen<\/strong> und den Zugang zu Daten aus vernetzten Produkten (Internet of Things \u2013 IoT) sowie verbundenen Diensten zu erleichtern. F\u00fcr Unternehmen bedeutet dies jedoch einen komplexen Drahtseilakt, da die Anforderungen des Data Act untrennbar mit den Vorgaben des <strong>Datenschutzes<\/strong> und der <strong>Datensicherheit<\/strong> verkn\u00fcpft sind.<\/p>\n<h3><strong>1. Datenschutz: Das Vorrangprinzip der DSGVO<\/strong><\/h3>\n<p>Eine der wichtigsten Erkenntnissen f\u00fcr die Praxis ist, dass die <strong>DSGVO uneingeschr\u00e4nkt parallel zum Data Act gilt<\/strong>. Im Falle eines Widerspruchs hat der Datenschutz stets Vorrang.<\/p>\n<ul>\n<li><strong>Keine neue Rechtsgrundlage:<\/strong> Der Data Act selbst stellt <strong>keine Rechtsgrundlage<\/strong> f\u00fcr die Herausgabe personenbezogener Daten an Dritte dar. Soll ein Drittunternehmen Zugang zu personenbezogenen Nutzerdaten erhalten, muss hierf\u00fcr eine eigenst\u00e4ndige Grundlage nach der DSGVO (z. B. eine Einwilligung nach Art. 6 Abs. 1 lit. a oder ein berechtigtes Interesse nach lit. f) vorliegen.<\/li>\n<li><strong>Haftungsfalle Datenweitergabe:<\/strong> Unternehmen stehen vor einem Dilemma: Verweigern sie den Datenzugang mangels Rechtsgrundlage, versto\u00dfen sie potenziell gegen den Data Act; geben sie Daten ohne DSGVO-Konformit\u00e4t heraus, drohen Bu\u00dfgelder nach der Datenschutz-Grundverordnung.<\/li>\n<li><strong>Access by Design:<\/strong> Ab dem <strong>12. September 2026<\/strong> m\u00fcssen neue Produkte so konzipiert sein, dass ein Datenzugang standardm\u00e4\u00dfig eingebaut ist (\u201eAccess by Design\u201c). Dies ber\u00fchrt unmittelbar das Prinzip des \u201ePrivacy by Design\u201c nach Art. 25 DSGVO.<\/li>\n<\/ul>\n<h3><strong>2. Datensicherheit: Schutz bei der \u00dcbertragung<\/strong><\/h3>\n<p>Der Data Act verpflichtet Akteure, den Datenaustausch technisch sicher zu gestalten. Die Anforderungen an das Schutzniveau richten sich dabei nach einem <strong>risikobasierten Ansatz<\/strong>, der die Schutzw\u00fcrdigkeit der Daten und die Wahrscheinlichkeit von Angriffen ber\u00fccksichtigt.<\/p>\n<ul>\n<li><strong>Sichere Schnittstellen:<\/strong> Um Nutzern einen z\u00fcgigen und kostenfreien Zugriff auf ihre Daten zu erm\u00f6glichen, sind sichere Schnittstellen (APIs) oder Kundenportale einzurichten.<\/li>\n<li><strong>Schutz von Gesch\u00e4ftsgeheimnissen:<\/strong> Unternehmen k\u00f6nnen den Datenzugang ablehnen, wenn dadurch <strong>Gesch\u00e4ftsgeheimnisse<\/strong> gef\u00e4hrdet w\u00fcrden. Dies muss jedoch objektiv begr\u00fcndet werden; ein blo\u00df subjektiver Wunsch nach Geheimhaltung reicht nicht aus.<\/li>\n<li><strong>Integrit\u00e4t und Authentifizierung:<\/strong> Bei der Daten\u00fcbertragbarkeit m\u00fcssen robuste Strukturen f\u00fcr die <strong>Authentifizierung und Autorisierung<\/strong> vorhanden sein, um sicherzustellen, dass nur berechtigte Nutzer Zugriff erhalten.<\/li>\n<\/ul>\n<h3><strong>3. Strategische Aspekte: Cloud-Switching und FRAND<\/strong><\/h3>\n<p>Ein weiteres Ziel des Data Act ist die St\u00e4rkung der Datensouver\u00e4nit\u00e4t durch die Erleichterung des Anbieterwechsels bei Cloud-Diensten (Cloud-Switching).<\/p>\n<ul>\n<li><strong>Aufbrechen von Lock-in-Effekten:<\/strong> Anbieter m\u00fcssen technische Ma\u00dfnahmen ergreifen, um einen einfachen Umzug zu einem anderen Provider zu erm\u00f6glichen. Ab dem <strong>12. Januar 2027<\/strong> sind Wechselgeb\u00fchren im Cloud-Bereich zudem vollst\u00e4ndig verboten.<\/li>\n<li><strong>FRAND-Bedingungen:<\/strong> Wenn Daten zwischen Unternehmen (B2B) geteilt werden, m\u00fcssen die Bedingungen <strong>fair, angemessen und diskriminierungsfrei<\/strong> (Fair, Reasonable and Non-Discriminatory) sein. Dies wirkt wie eine Art AGB-Kontrolle f\u00fcr Datenvertr\u00e4ge.<\/li>\n<\/ul>\n<h3><strong>Fazit f\u00fcr Verantwortliche<\/strong><\/h3>\n<p>Die Umsetzung des Data Act ist eine <strong>Querschnittsaufgabe<\/strong>, die eine enge Zusammenarbeit zwischen IT, Rechtsabteilung und Datenschutzbeauftragten (DSB) erfordert. Da bei vernetzten Produkten neben rein technischen Daten fast immer auch personenbezogene Informationen anfallen, ist die Relevanz f\u00fcr den DSB extrem hoch.<\/p>\n<p>Unternehmen sollten dringend eine <strong>Dateninventur<\/strong> vornehmen, um zu kl\u00e4ren, welche Datens\u00e4tze \u201eleicht verf\u00fcgbar\u201c sind, und Prozesse f\u00fcr Nutzeranfragen implementieren, die sowohl den Anforderungen des Data Act als auch der DSGVO gerecht werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Der EU Data Act: Neue Spielregeln zwischen Datenzugang, Datenschutz und IT-Sicherheit Seit dem 12. September&hellip;<\/p>\n","protected":false},"author":1,"featured_media":859,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-1032","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1032","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=1032"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1032\/revisions"}],"predecessor-version":[{"id":1033,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/1032\/revisions\/1033"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/859"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=1032"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=1032"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=1032"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}