Datenzugangs- & Weitergabeansprüche des EU Data Act

Der Data Act verfolgt das ambitionierte Ziel, den Zugang zu Daten und deren Weitergabe innerhalb der EU deutlich zu erleichtern. Um diese Ziele zu erreichen, folgt das Gesetz einem aufbauenden Zugangskonzept: Beginnend mit dem Grundsatz des direkten Zugriffs des Nutzers, übergehend zu den Bereitstellungspflichten der Dateninhaber.

Das obenstehende Grundschema zeigt den Datenzugangsmechanismus des Data Act mit den drei wesentlichen Akteuren: Dateninhaber, Nutzer und Dritter.

Beispielhafter Anwendungsfall

Ein Agrarunternehmen nutzt vernetzte Landmaschinen eines Herstellers, die während des Betriebs kontinuierlich Daten etwa zur Bodenqualität, Maschinenleistung oder zu Umwelteinflüssen erfassen. Werden diese Daten vom Hersteller erfasst oder ausgelesen, befinden sie sich zunächst in dessen Sphäre; er gilt somit als Dateninhaber im Sinne des Data Act (Art. 2 Nr. 13 Data Act).

Da das Agrarunternehmen durch die Nutzung der Maschinen die Datenerzeugung ermöglicht, steht ihm ein Datenzugangsrecht (Art. 4 Data Act) zu. Zudem kann es verlangen, dass die Daten an einen Dritten, etwa einen Anbieter für agrarische Datenanalysen, übermittelt werden.

Dieses Zusammenspiel verdeutlicht den zentralen Mechanismus des Data Act: Die faktische Kontrolle über die Daten verbleibt beim Dateninhaber, während die Entscheidung über deren Weitergabe beim Nutzer liegt. Der Dritte hat die Möglichkeit, an für sein Geschäftsmodell strategisch wertvolle Daten zu gelangen.

Data Accessibility by Design & Default (Art. 3 Data Act)

Art. 3 Data Act verpflichtet Hersteller vernetzter Produkte und Anbieter verbundener Dienste dazu, ihre Produkte nach dem Prinzip „Data Accessibility by Design & Default“ zu gestalten. Konkret bedeutet dies: Produkte, die seit dem 12. September 2026 in der EU in Verkehr gebracht werden, müssen so konzipiert sein, dass Nutzer standardmäßig und ohne zusätzliche Hürden auf die bei der Nutzung entstehenden Daten zugreifen können.

Dieser Zugriff muss einfach, sicher, unentgeltlich sowie in einem gängigen, strukturierten und maschinenlesbaren Format erfolgen. In der Praxis könnte dies etwa über ein integriertes Dashboard oder ein Nutzerportal erfolgen, über das Anwender die von einem vernetzten Produkt erzeugten Daten direkt einsehen oder herunterladen können. Beispielsweise Nutzungsdaten einer Maschine, Sensordaten eines Smart-Home-Geräts oder Betriebsdaten eines Fahrzeugs.

Damit wird der Nutzer in die Lage versetzt, seine eigenen Daten unmittelbar zu nutzen, ohne zunächst auf den Hersteller oder Dienstanbieter angewiesen zu sein.

Gleichzeitig wirft die Regelung jedoch praktische Fragen auf: Wie genau muss ein solcher Direktzugang technisch ausgestaltet sein? Reicht ein einfaches Dashboard mit Datenvisualisierung aus oder müssen Nutzer die Rohdaten auch systematisch exportieren können? Auch bleibt offen, wie sich ein möglichst einfacher Zugang mit Anforderungen an IT-Sicherheit und dem Schutz von Geschäftsgeheimnissen vereinbaren lässt. Deutlich wird, dass die praktische Umsetzung der „Data Accessibility by Design & Default“ noch zahlreiche Auslegungs- und Gestaltungsfragen offenlässt.

Datenbereitstellungsanspruch gegenüber dem Dateninhaber (Art. 4 Data Act)

Alternativ räumt der Data Act dem Nutzer in Art. 4 Data Act einen eigenen Zugangsanspruch gegenüber dem Dateninhaber ein, falls dieser nicht bereits im Rahmen der „Data Accessibility by Design & Default“ selbst auf die generierten Daten zugreifen kann, etwa weil der Hersteller die notwendigen Voraussetzungen nicht geschaffen hat.

In diesem Fall kann der Nutzer verlangen, dass ihm die Daten unverzüglich, einfach, sicher und unentgeltlich in einem umfassenden, gängigen und maschinenlesbaren Format bereitgestellt werden. Soweit technisch möglich, muss die Bereitstellung kontinuierlich und in Echtzeit sowie in derselben Qualität wie für den Dateninhaber selbst erfolgen (Art. 4 Abs. 1 Data Act).

Der Anspruch erstreckt sich allerdings nur auf „ohne Weiteres verfügbare Daten“, also solche Daten, die der Dateninhaber ohne unverhältnismäßigen Aufwand rechtmäßig aus dem vernetzten Produkt oder dem verbundenen Dienst erhalten kann (Art. 2 Nr. 17 Data Act).

Wichtig ist zudem: Der Nutzer entscheidet über die Weitergabe der Daten. Er kann bestimmen, ob die Daten beim Dateninhaber verbleiben oder ob auch Dritte Zugriff erhalten. Gleichzeitig sieht der Data Act kennt aber auch gewisse Grenzen der Datenherausgabe: So können etwa Maßnahmen zum Schutz von Gesundheit und Sicherheit oder zur Wahrung von Geschäftsgeheimnissen vereinbart werden; in Ausnahmefällen kann die Datenweitergabe deshalb auch eingeschränkt oder verweigert werden (Art. 4 Abs. 2, 6–8 Data Act).

Datenweitergabeanspruch an Dritte (Art. 5 Data Act)

Den dritten Baustein des Datenzugangsrechts bildet der Datenweitergabeanspruch nach Art. 5 Data Act. Er ermöglicht es Nutzern, dass ihre Daten auch an Dritte weitergegeben werden, beispielsweise an Reparaturdienste, datenbasierte Serviceanbieter oder Start-ups.

Der Anspruch ist so ausgestaltet, dass der Dateninhaber die Daten in derselben Qualität bereitstellen muss, wie er sie selbst nutzt. Damit soll verhindert werden, dass Nutzer oder Dritte mit unvollständigen oder minderwertigen Daten abgespeist werden.

Eine wichtige Einschränkung betrifft sogenannte Gatekeeper im Sinne des Digital Markets Act (DMA): Diese dürfen von dem Anspruch nicht profitieren, um bestehende Marktungleichgewichte nicht weiter zu verfestigen. Als Dritte gelten daher alle Personen oder Unternehmen, die weder Nutzer noch Dateninhaber noch Gatekeeper sind.

Erhält ein solcher Dritter Zugang, wird er im Sinne des Data Act als „Datenempfänger“ qualifiziert (Art. 2 Nr. 14 Data Act).

Fazit

Mit den in den Artikeln 3 bis 5 verankerten Regelungen schafft der Data Act ein neuartiges und ambitioniertes System für Datenzugangs- und Weitergabeansprüche. Nutzer erhalten erstmals umfassende Rechte für den direkten Zugriff auf ihre Daten und können über deren Weitergabe weitgehend selbst entscheiden. Gleichzeitig werden Hersteller und Dateninhaber in die Pflicht genommen, ihre Produkte und Dienste entsprechend zu gestalten.

Offen bleibt jedoch, wie reibungslos diese Vorgaben in der Praxis umgesetzt werden können: Werden Unternehmen tatsächlich in der Lage sein, Daten standardisiert, sicher und gegebenenfalls sogar in Echtzeit bereitzustellen, ohne dabei Geschäftsgeheimnisse oder Sicherheitsinteressen zu gefährden? Erst die praktische Umsetzung wird zeigen, wie weitreichend die Auswirkungen des Data Act tatsächlich sind.

Weiterführende Quellen und Literaturhinweise

• Baumgartner/Paal, Data Act und Datenzugang – Ausgestaltung, Grenzen und Durchsetzung, NJW 2026, 1.
• Henke, Der Zugang zu IoT-Gerätedaten und ihre Nutzung unter dem Data Act, VuR 2024, 403.
• Bomhard/Siglmüller, Das Verhältnis von Access by design und Datenzugangsanspruch nach dem Data Act, RDi 2025, 353.