Der Data Act: Überblick & Zielsetzung der neuen Datenverordnung

Am 11. Januar 2024 trat die lang erwartete EU-Datenverordnung, besser bekannt als „Data Act“, in Kraft. 
Das Ziel der Europäischen Union ist klar: ein transparenter, fairer und innovationsfördernder Rahmen, der den Zugang zu und die Nutzung von Daten in der EU regelt. Ab dem 12. September 2025 wird die Verordnung (EU) 2023/2854 in weiten Teilen verbindlich – mit Übergangsregelungen zu bestimmten Bereichen.

Ziel und Anwendungsbereich


Der Data Act soll die Spielregeln der europäischen Datenwirtschaft neu schreiben. Im Zentrum steht dabei ein klarer regulatorischer Ansatz: Bislang brachliegende bzw. nicht zugängliche (insbesondere industrielle) Daten – etwa aus vernetzten Maschinen – sollen durch gesetzlich verankerte Zugangsrechte für Dritte erschlossen werden, um neue datengetriebene Geschäftsmodelle zu ermöglichen und zu incentivieren.
Darauf aufbauend verfolgt der Data Act insbesondere das Ziel einer fairen Verteilung der Wertschöpfung sowie der Stärkung der europäischen Wettbewerbsfähigkeit.
Die EU-Kommission rechnet damit, dass durch die ergriffenen Maßnahmen jährlich rund 250 Milliarden Euro zusätzliche Wertschöpfung entstehen. Dies unterstreicht den Paradigmenwechsel: Daten in der EU sollen nicht nur gesammelt, sondern durch geregelten Zugang aktiv genutzt und wirtschaftlich verwertet werden.
Der Data Act verfolgt dabei einen horizontalen Regulierungsansatz, erlaubt aber auch spezifische Regeln für einzelne Sektoren.
Unternehmen außerhalb der EU unterliegen ebenfalls dem Data Act, wenn sie vernetzte Produkte oder Dienste in der EU anbieten. Maßgeblich ist dabei das sogenannte Marktortprinzip: Entscheidend ist nicht der Unternehmenssitz, sondern ob ein Produkt oder Dienst in der EU angeboten oder genutzt wird. Verkauft beispielsweise ein Unternehmen mit Sitz in der Schweiz vernetzte Maschinen oder Smart-Home-Geräte an Kunden in der EU und werden dabei Nutzungs- oder Sensordaten generiert, muss es die Vorgaben des Data Act einhalten (etwa in Bezug auf den Datenzugang für Nutzer oder die Weitergabe von Daten an Dritte auf deren Wunsch). Zur Vertiefung geht es hier zu unserem Beitrag zum Marktortprinzip

Damit stellt sich für viele internationale Unternehmen eine praktische Frage: Wie lassen sich Data-Act-Pflichten sinnvoll in bestehende globale Datenstrategien integrieren?


Nutzer im Zentrum – Welche Hauptakteure gibt es?


Der Data Act arbeitet mit drei zentralen Hauptakteuren: Nutzer, Dateninhaber und Datenempfänger:

  • Nutzer (Art. 2 Nr. 12 Data Act): Hierunter fallen Verbraucher oder Unternehmen, die ein vernetztes Produkt nutzen oder besitzen (z.B. durch Leasing, Miete oder Nutzerüberlassung).
  • Dateninhaber (Art. 2 Nr. 13 Data Act): Dies sind Unternehmen oder Organisationen, die technisch oder rechtlich in der Lage sind, Daten bereitzustellen, meist Hersteller von Smart Devices oder digitale Dienstanbieter, wobei Kleinst- und Kleinunternehmen von bestimmten Verpflichtungen ausgenommen sind.
  • Datenempfänger (Art. 2 Nr. 14 Data Act): Hierbei handelt es sich um Dritte, die gewerblich oder beruflich handeln und auf Wunsch des Nutzers oder aufgrund rechtlicher Verpflichtungen Daten erhalten. Für diese Akteure eröffnet der Data Act neue Möglichkeiten für datenbasierte Geschäftsmodelle, etwa durch die Entwicklung von Analyse-, Wartungs- oder Optimierungsdiensten auf Grundlage der bereitgestellten Daten.

Der Data Act ist nutzerzentriert: Personen, die ein vernetztes Produkt besitzen oder nutzen und dabei Daten generieren, stehen im Mittelpunkt. Nutzer erhalten insbesondere das Recht, auf diese durch die Nutzung eines vernetzten Produkts generierten Daten zuzugreifen, sie selbst zu nutzen oder deren Weitergabe an Dritte zu veranlassen. 


Wichtig ist dabei: Ein rechtliches Dateneigentum hat es im europäischen Recht nie gegeben. Zwar wurde über viele Jahre diskutiert, ob ein solches Eigentumsrecht an Daten eingeführt werden sollte. Der europäische Gesetzgeber hat sich jedoch bewusst dagegen entschieden. 


Stattdessen setzt der Data Act auf ein anderes Konzept: gesetzlich geregelte Datenzugangs- und Datennutzungsregelungen wischen Nutzern, Dateninhabern und Dritten. Nutzer können beispielsweise Zugang zu Produktdaten verlangen oder deren Übermittlung an einen von ihnen bestimmten Dritten veranlassen. Dateninhaber wiederum bleiben in der faktischen Kontrolle über die Daten, müssen aber bestimmte Zugangs- und Weitergabepflichten erfüllen.


Wie dieser Datenzugangsmechanismus konkret funktioniert, haben wir bereits in einem anderen Beitrag näher erläutert: Datenzugangs- & Weitergabeansprüche.

Welche Datenarten fallen unter den Data Act?


Der Data Act deckt alle digitalen Informationen ab, die Handlungen, Fakten oder sonstige Inhalte darstellen. Dazu zählen auch audiovisuelle Daten. Besonders relevant sind dabei folgende Kategorien:

  • Produktdaten: Daten, die von IoT-Geräten generiert werden; Beispiele sind Sensordaten einer Industriemaschine, Fahrdaten eines vernetzten Fahrzeugs oder Energieverbrauchsdaten eines Smart-Home-Geräts.
  • Verbundene Dienstdaten: Daten aus digitalen Diensten; das können Daten aus einer Flottenmanagement-Software oder Statusinformationen aus einer Smart-Home-App sein.
  • Metadaten: Kontextbezogene Informationen wie Zeitstempel, Formatangaben oder andere Begleitinformationen, die helfen, die eigentlichen Daten einzuordnen und zu verarbeiten.

Nicht erfasst sind abgeleitete oder analysierte Daten, wie Prognosen, statistische Auswertungen oder KI-generierte Ergebnisse.


Wichtig: Alle relevanten Daten müssen in einer roh nutzbaren Form (raw but usable) bereitgestellt werden, ohne dass dafür ein unverhältnismäßiger Aufwand nötig ist.


Die konkrete Abgrenzung der erfassten Datenkategorien im Data Act ist im Detail jedoch komplex und kleinteilig; weiterführende Quellen zur Vertiefung finden sich am Ende dieses Beitrags.

Durchsetzung und Sanktionen im Data Act


Der Data Act selbst legt keine einheitlichen EU-weiten Bußgelder fest. Stattdessen sind die Mitgliedstaaten verantwortlich, wirksame und abschreckende Sanktionen zu erlassen. Bei Verstößen gegen zentrale Regelungen können nationale Datenschutzbehörden Bußgelder analog der DS-GVO verhängen – bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.


Auch praxisrelevant ist der privatrechtliche Weg: Verstöße können Gewährleistungsrechte auslösen, Wettbewerbsverstöße darstellen oder verbraucherrechtliche Sanktionen nach sich ziehen.

Fazit


Der Data Act schafft damit einen neuen Rechtsrahmen für den Zugang zu und die Nutzung von Daten aus vernetzten Produkten und verbundenen Diensten. Nutzer erhalten weitreichende Zugangs- und Weitergaberechte, während Hersteller und Dienstanbieter ihre Datenstrukturen entsprechend anpassen müssen. Wie reibungslos diese neuen Regeln in der Praxis funktionieren werden, wird sich jedoch erst mit der konkreten Umsetzung zeigen. Betroffene Unternehmen müssen den Data Act in ihre Überlegungen zur Data Governance einbeziehen.

Weiterführende Quellen und Literaturhinweise

  • Lommatzsch/Albrecht, Der „Data-Act“ der EU als Rechtsrahmen für Daten – Überblick über wichtigste Regelungen für Unternehmen, GWR 2024, 302.
  • Wurmnest/Pillin, Der Data Act: Ein punktuelles europäisches Vertragsrecht für den Zugang und die Nutzung von Daten, ZEuP 2026, 39.

Insbesondere zur schwierigen Abgrenzung der Datenkategorien im Data Act 

  • Wiesemann, Vier Herausforderungen und praktische Lösungsansätze bei der Implementierung des Data Act, MMR 2025, 707.
  • Wöbbeking/Andjic, Europäische Dateninvestitionsschutzgrenze, GRUR 2026, 204.