21 Mai 2025
8 Minuten Lesezeit

Überblick EU Data Act

Datenzugang und Datennutzung nach dem EU Data Act

Der Data Act sorgt für neue und komplexe regulatorische Vorgaben. Er birgt aber auch Potenzial für die Monetarisierung und Vermarktung von Daten, was für die Weiter- und Neuentwicklung von Geschäftsmodellen genutzt werden kann.

Christopher Eduard Bösch
Dr. Till Contzen

Ein zentraler Baustein der Europäischen Datenstrategie ist die am 11. Januar 2024 in Kraft getretene Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 (nachfolgend „Data Act“). Ihre Regelungen sind gestaffelt ab dem 12. September 2025 bzw. dem 12. September 2026 EU-weit unmittelbar anwendbar.

A) Warum hat die EU diesen Rechtsakt erlassen?

2025 wird das weltweite Datenvolumen auf 175 Zettabyte geschätzt – das entspricht 175 Milliarden Gigabyte. Der Wert dieser Datenwirtschaft soll sich bis 2030 nach Schätzungen auf bis zu 11 Billionen Euro belaufen. Die Europäische Kommission verfolgt mit ihrer Datenstrategie das Ziel, einen Binnenmarkt für diese riesigen Datenmengen zu schaffen. Dies soll sowohl die globale Wettbewerbsfähigkeit als auch die Datensouveränität Europas sicherstellen. Zugleich sollen Chancen zur Datenmonetarisierung geschaffen werden.

Ein Großteil der in Frage stehenden Daten wird dabei durch digitale Produkte und Dienstleistungen generiert, bei denen die Regulierung des Data Act nunmehr ansetzt.

Wer ist vom Data Act betroffen?

  • Insbesondere sämtliche Hersteller vernetzter/smarter Produkte und Anbieter zugehöriger Services in allen Branchen, wenn ein Zugriff auf die Daten besteht
  • Nutzer von vernetzen/smarten Produkten und Diensten (juristische Personen / natürliche Personen)
  • Dritte als (potenzielle) Datenempfänger
     

Um welche Daten geht es – „In scope” / „Out of scope“?

Der Data Act betrifft alle Daten, die bei der Nutzung eines „vernetzten Produktes“ oder mit diesem Produkt „verbundenen Dienstes“ generiert werden - häufig wird bei derart vernetzten Produkten auch von „Internet-of-Things“ (IoT) gesprochen. Im Ergebnis geht es um solche Daten, die durch die Nutzung der Produkte erzeugt werden bzw. die so ohne den Nutzer erst gar nicht entstanden wären.

Der europäische Gesetzgeber hat sich nach umfassenden Debatten dazu entschlossen, eine (mehr oder weniger klare) Zweiteilung der Daten vorzunehmen. Zum einen wird ein erweiterter Kreis um die Produkt- und verbundenen Dienstdaten gezogen, wozu insbesondere auch Metadaten und Daten von Interaktionen mit virtuellen Assistenten gehören („In scope“). Zum anderen werden sog. „abgeleitete Daten“ bewusst ausgenommen („Out of scope“).

In scope: Erfasst sind als Produktdaten und verbundene Dienstdaten nur sog. Primärdaten, d.h. die Rohdaten, die tatsächlich durch die Nutzung des Produktes oder der Dienstleistung generiert werden. Zudem sind auch Daten erfasst, die in Interaktion mit virtuellen Assistenten generiert werden.

Daneben sind auch Metadaten relevant. Hierbei handelt es sich um strukturierte Beschreibungen der Inhalte oder Nutzung von Primärdaten. Sie sollen das Auffinden bzw. die Verwendung der Primärdaten erleichtern (z.B. Autor, Erstellungsdatum, Dateigröße, Dateiformat, Zugriffsrechte, Lizenzbedingungen, Kodierung, technische Anforderungen an den Datenzugriff, Erfassungsmethode, Datenquelle, Änderungshistorie etc.).

  • Fahrzeugdaten zur Reichweiche, Anzahl der Insassen, Nutzungszeiten oder Nutzungsorten
  • Daten von Wearables wie Fitness-Trackern oder Smartwatches (z.B. Akkuverbrauch, Häufigkeit der Displayaktivierung)
  • Daten von Smart Home-Geräten wie vernetzen Beleuchtungs- oder Heizelementen oder intelligenten Stromzählern (z.B. Nutzungsdauer, Lebensdauer, Energieverbrauch)
  • Daten von virtuellen Assistenten, die etwa durch Text- oder Audioinput generiert werden
  • Daten, die von vernetzten Industriemaschinen generiert werden (z.B. Stromverbrauch, Verschleiß, Produktivitätsmetrik)

Out of scope: Nicht erfasst sind dagegen abgeleitete Daten oder Informationen. Solche Daten bzw. Informationen entstehen nicht bereits durch die bloße Nutzung des vernetzten Produkts bzw. der vernetzten Dienstleistung, sondern erfordern eine weitere Analyse, Verarbeitung (insb. mittels proprietärer Algorithmen) oder Transformation der Primärdaten und haben typischerweise eine weitergehende Aussagekraft als Primärdaten (z.B. statistische Daten, aggregierten Daten, Prognosen, Berichte). Teilweise wird auch von veredelten Daten gesprochen.

Verhältnis zum Datenschutzrecht

Das Datenschutzrecht bleibt „unberührt“ (etwa Erwägungsgründe 20 und 34 des Data Act). Die Regelungen des Datenschutzes (insb. die DSGVO) gelten demzufolge uneingeschränkt parallel zum Data Act. Neben den Verpflichtungen aus dem Data Act müssen daher für personenbezogene Daten stets auch die Anforderungen des Datenschutzes eingehalten werden. In der Praxis werden personenbezogene und nicht-personenbezogene Daten häufig in Form von gemischten Datensets vorliegen, die dann insgesamt vom Data Act erfasst werden. Die Herausforderung für Unternehmen besteht darin, Datenzugangsersuchen nach dem Data Act unter Einhaltung datenschutzrechtlicher Vorgaben zu erfüllen, um einem Bußgeldrisiko sowohl aus dem Data Act als auch der DSGVO zu entgehen.

B) Konzept des Data Act verstehen und Maßnahmenplanung

Die große Neuerung oder „Revolution“ des Data Acts besteht darin, dass für die Datennutzung durch den Dateninhaber oder andere Datenempfänger ein Vertrag mit dem Nutzer erforderlich wird. In einer derartigen „Kontraktualisierung des Datenrechts“ ist die vertragliche Regelung mit dem Nutzer der zentrale Bezugspunkt.
 

Die sich daraus ergebenden Maßnahmen müssen umfassend aus den Perspektiven der jeweiligen Hauptakteure gedacht werden.

Nutzer ist der „Käufer, Mieter oder Leasingnehmer“ eines datenerzeugenden Produktes bzw. Bezieher einer datenerzeugenden Dienstleistung. Siehe Art. 2 Nr. 12 Data Act.

Dateninhaber ist in der Regel derjenige, der die faktische Kontrolle über die Daten hat. Mit faktischer Kontrolle wird überwiegend die in rechtmäßiger Weise ausgeübte technische Zugangsmöglichkeit gemeint. Dateninhaber kann z.B. der Hersteller von Fahrzeugen sein. Siehe Art. 2 Nr. 13 Data Act.

Datenempfänger ist derjenige, der im Rahmen einer gewerblichen oder beruflichen Tätigkeit und ohne dabei Nutzer zu sein, die Daten vom Dateninhaber erhält. Siehe Art. 2 Nr. 14 Data Act.

Hinweis: Die Einordnung von natürlichen / juristischen Personen in die jeweiligen Rollen hat im Einzelfall zu erfolgen. Die genaue Reichweite der Definitionen ist teilweise noch unklar.

Im einfachsten Fall werden die Bedingungen des Datenflusses zwischen zwei Akteuren (Nutzer und Dateninhaber) geregelt. Häufiger wird zu diesen zwei Parteien noch ein dritter Datenempfänger hinzukommen. Schließlich sind auch mehrschichtige Konstellationen relevant, in denen Dateninhaber sowie mehrere Nutzer (bspw. bei mehreren Nutzerkonten) oder Datenempfänger sowie weitere Stellen (z.B. Datenaggregatoren – auch solche nach dem Data Governance Act) einbezogen werden. Insgesamt ergeben sich aus den technischen und rechtlichen Anforderungen vielfältige Gestaltungsmöglichkeiten.


Überblick zur Maßnahmenplanung:

Für die jeweils vom Data Act erfassten Personengruppen, sind unterschiedliche Überlegungen und Leitfragen relevant, um sinnvolle Maßnahmen zu abzuleiten. Die Bedeutung des Data Acts für die relevanten Personengruppen ist nachstehend dargestellt.

Ab 12. September 2025: „Access at request”  Art. 4 Abs. 1 Data Act
 
  • Einführung von technischen und organisatorischen Maßnahmen zur Erfüllung von Datenzugangsersuchen von Dritten (ggf. Anpassung der Zugriffsberechtigungen und Autorisierungsprozesse in Abstimmung mit der Datenschutzabteilung). Diese Verpflichtung bezieht sich lediglich auf sog. „ohne Weiteres verfügbare Daten“, d.h. Produkt- oder verbundene Dienstdaten, die ein Dateninhaber1 ohne unverhältnismäßigen Aufwand vom Nutzer erhält oder erhalten kann (vgl. Art. 2 Nr. 17 Data Act)
  • Sofern der Dateninhaber auch direkter Vertragspartner im Verhältnis zum Nutzer ist: Erfüllung vorvertraglicher Informationspflichten für Kauf-, Miet- oder Leasingvertrag über das vernetze Produkt / verbundenen Dienst
  • Vertragsgestaltung zur Sicherung eigener Datennutzungsrechte


Ab 12. September 2026: „Access by design” (Art. 3 Abs. 1 Data Act)

  • Sofern der Dateninhaber auch Hersteller ist: Konzeption und Erbringung von vernetzten Produkten / verbundenen Diensten so, dass die relevanten Daten für den Nutzer „einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format direkt zugänglich sind“.


Ab 12. September 2025, sofern der Dateninhaber auch Geschäftsgeheimnisinhaber ist: Umsetzung von Maßnahmen zum Geschäftsgeheimnisschutz sowie ggf. Kommunikation mit den zuständigen Behörden (in D: Bundesnetzagentur) bei Ablehnung von Datenzugangsersuchen zum Schutz von Geschäftsgeheimnissen.

  • Nutzer können sowohl natürliche als auch juristische Personen sein. Auch Unternehmen können daher Ansprüche als Nutzer geltend machen.
  • Die Zugänglichmachung der relevanten Daten hat an den Nutzer immer unentgeltlich zu erfolgen („Access by design“ oder „Access at request“) und der Dateninhaber darf dem Nutzer die Ausübung der Rechte nicht unangemessen erschweren.
  • Dem Nutzer können vom Dateninhaber gewisse vertragliche Verpflichtungen für den Datenzugang oder die Datenweitergabe auferlegt werden. Hierzu kann auch die Pflicht zählen jeweils für eine datenschutzrechtliche Rechtsgrundlage zu sorgen, wenn der Nutzer das vernetze Produkt / den verbundenen Dienst weiteren Personen überlässt.
  • Häufig werden Nutzer die Bereitstellung der Daten nicht an sich selbst sondern an Dritte verlangen oder die Rechte von Dritten ausüben lassen (siehe Datenempfänger).
  • Der sich öffnende Datenpool der Dateninhaber kann für viele Unternehmen interessant sein. Im Rahmen der Aggregation und Abwicklung von Datenströmen können sich zudem neue Geschäftsfelder und Märkte entwickeln.
  • Dem Datenempfänger können vom Dateninhaber oder Nutzer gewisse vertragliche Verpflichtungen für den Datenzugang oder die Datenweitergabe auferlegt werden. Ferner haben Datenempfänger bestimmte Vorgaben aus dem Data Act zu beachten, die neben einer Bepreisung der Daten in die Vertragsgestaltung einfließen sollten.

Vertragsgestaltung

Die Vertragsgestaltung ist zentrales Element für die Umsetzung der Anforderungen aus dem Data Act. Potenzielle Dateninhaber sollten bereits vor Geltungsbeginn des Data Acts Überlegungen zu Bedingungen, Modalitäten und Zwecken der Datenbereitstellung und -nutzung anstellen.

In Bezug auf die Vertragsgestaltung enthält der Data Act eine Vielzahl von Anforderungen und Einschränkungen. So hat die Datenbereitstellung durch den Dateninhaber an den Datenempfänger als Unternehmer (B2B) stets unter „fairen, angemessenen und nichtdiskriminierenden Bedingungen“ (sog. FRAND-Bedingungen) und in „transparenter Weise“ zu erfolgen. Eine Marge ist im Rahmen des Art. 9 Data Act erlaubt. Ferner unterliegen vertragliche Regelungen einer (gespaltenen2) AGB-Kontrolle nach Art. 13 Data Act. Zudem können Anforderungen an den Geschäftsgeheimnisschutz aufgenommen werden. Ein Bestandteil hiervon ist die Bereithaltung verschiedener Vertragsmuster, die nach einem vordefinierten Schema verwendet werden. Von Vorteil ist die Einbettung in ein Contract Management System (CMS). Außerdem ist zu berücksichtigen, dass die Vorgaben und Beschränkungen des Data Act nur dann unmittelbar gelten, wenn Verträge über „In scope“ Daten geschlossen werden; nicht hingegen bei Verträgen über „out of scope“ Daten.

Die Kommission hat bereits erste Entwürfe von Mustervertragsklauseln veröffentlicht (Art. 41 Data Act). Diese sollten bei der Gestaltung und Umsetzung der Data Act-Vorgaben bereits berücksichtigt werden, auch wenn die Kommissionsmuster erst „vor dem 12. September 2025“ final vorliegen werden.

Rechtsfolgen der Verletzung des Data Acts

Der Data Act hat das Potential die Datenwirtschaft nachhaltig zu verändern. Nachdruck verleiht dem Data Act auch, dass seine Nicht-Einhaltung zu Bußgeldern von bis zu 20 Millionen Euro bzw. vier Prozent des Konzernumsatzes führen kann. Unternehmen sind daher gut beraten sich frühzeitig sowohl mit den für sie geltenden Anforderungen als auch möglichen Chancen vertraut zu machen und sich auf das schrittweise Inkrafttreten vorzubereiten.


Wie können wir Sie unterstützen?

Wir unterstützen Sie gern auf Ihrer gesamten EU Data Act Journey, von Compliance über Preis- und Monetarisierungsstrategien bis hin zur Serviceabwicklung sowie dem Fulfillment von Data Sharing Requests. Wir greifen dabei auf bewährte Akzeleratoren wie z.B. unser EU Data Act Compliance Framework (für Maturity Assessments und Maßnahmenplanung) sowie ein breites Netzwerk an regulatorischen, technischen und strategischen Experten zurück.

Sprechen Sie uns gerne an.

Weiterführende Materialien

________________

1 Für Kleinst- und Kleinunternehmen gibt es Ausnahmen von diesen Verpflichtungen (vgl. Art. 7 Data Act). Kleinstunternehmen sind Unternehmen, die weniger als 10 Mitarbeitende und einen Jahresumsatz oder eine Jahresbilanzsummer von höchstens EUR 2 Mio. haben. Kleinunternehmen sind Unternehmen, die weniger als 50 Mitarbeitende und einen Jahresumsatz oder eine Jahresbilanzsummer von höchstens EUR 10 Mio. haben (Empfehlung der Europäischen Kommission (2003/361/EG).

2 Die AGB-Kontrolle nach Art. 13 des Data Act beschränkt sich auf Vorgaben des Data Act, sodass in nicht-geregelten Bereich die nationale AGB-Kontrolle zusätzlich Anwendung findet (gespaltene AGB-Kontrolle).

Kontaktieren Sie uns

Christopher Eduard Bösch

Senior Associate
+49 69 7191 88457

Dr. Till Contzen

Partner | Lead Digital Law
+49 69 719188439

Did you find this useful?

Yes
No

Thanks for your feedback

Your feedback is important to us

To tell us what you think, please update your settings to accept analytics and performance cookies.

Need help updating cookies?

Weiterführende Inhalte

Rechtsübergreifende Übersicht über Datenschutz, Cybersicherheit und KI – dritte Ausgabe

In der heutigen digitalen Wirtschaft sind Daten der Schlüssel zum Erfolg. Um ihre Macht zu nutzen, muss man sich jedoch in einer komplexen und sich stetig wandelnden Rechtslandschaft zurechtfinden. Dieser Leitfaden bietet einen umfassenden Überblick über die jüngsten Entwicklungen und künftigen Trends in den Bereichen Datenschutz, Cybersicherheit und künstliche Intelligenz in 51 Ländern.
Analyse
5 Minuten Lesezeit

Digital Law: Intangibles, Data & Technology

Digitalisierung und technologische Innovationen schaffen nicht nur Wachstum und Beschäftigung, sondern sind auch Schlüssel zu den Innovationen und der Wettbewerbsfähigkeit von morgen.

Wir kombinieren juristische Exzellenz mit technologischem Verständnis und branchenspezifischen Know-How. Dank unseres OneDeloitte-Ansatzes und der engen Zusammenarbeit mit anderen Bereichen von Deloitte profitieren unsere Mandanten von interdisziplinären, maßgeschneiderten Lösungen, die alle Aspekte Ihrer geschäftlichen Anforderungen integrieren.

Dienst

Deloitte Umfrage: Skepsis gegenüber EU AI Act

Der EU AI Act ist seit Anfang August 2024 offiziell in Kraft und muss nun in den EU-Mitgliedsländern umgesetzt werden. Doch wie bereit sind deutsche Firmen für die neue KI-Regulierung? Verschlafen sie gerade einen wichtigen Schritt auf dem Weg in die KI-Zukunft? Wird der neue EU AI Act gar die KI-Entwicklung in Europa behindern?
Research

Der Koalitionsvertrag zwischen CDU, CSU und SPD

Bereits am 14. April 2025 hatten die zukünftigen Regierungsparteien CDU/CSU und SPD haben den Koalitionsvertrag für ihre Regierungszeit vorgelegt. Nachdem der Koalitionsvertrag am 30. April 2025 auch das Placet der zur Abstimmung aufgerufenen Mitglieder der SPD erhalten hat, soll Friedrich Merz nunmehr am 06.05.2025 zum neuen deutschen Bundeskanzler gewählt werden.