Adressaten des EU Data Act: Wer ist betroffen und welche Pflichten gelten?

Die Adressaten des Data Act sind weit gefasst.
Kategorien:
,
{ "@context": "https://schema.org", "@type": "BlogPosting", "@id": "https://2b-advice.com/de/2025/07/11/adressaten-des-eu-data-act-wer-ist-betroffen-und-welche-pflichten-gelten/#article", "headline": "Adressaten des EU Data Act: Wer ist betroffen und welche Pflichten gelten?", "image": [ "https://2b-advice.com/wp-content/uploads/2025/07/EU-Data-Act-Adressaten.jpg" ], "datePublished": "2025-07-11", "dateModified": "2025-07-11", "author": { "@id": "https://2b-advice.com/de/aristotelis-zervos/#person" }, "publisher": { "@type": "Organization", "@id": "https://2b-advice.com/#organization", "name": "2B Advice", "url": "https://2b-advice.com/", "logo": { "@type": "ImageObject", "url": "https://2b-advice.com/wp-content/uploads/2024/02/Ailance_Logo_Yellow_White_large_RGB.png" } }, "mainEntityOfPage": "https://2b-advice.com/de/2025/07/11/adressaten-des-eu-data-act-wer-ist-betroffen-und-welche-pflichten-gelten/" }
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Der EU Data Act (EU-Verordnung 2023/2854) ist am 11. Januar 2024 in Kraft getreten und nach einer Übergangsfrist ab dem 12. September 2025 in allen EU-Mitgliedstaaten unmittelbar anwendbar. Ziel ist es, den Zugriff auf die wachsende Menge an industriellen und IoT(Internet of Things)-Daten zu erleichtern und innovative Geschäftsmodelle zu fördern. Bislang blieben schätzungsweise 80 % aller Industriedaten ungenutzt. Oft, weil nur die Hersteller oder große Unternehmen diese Daten kontrollieren. Durch den Data Act sollen nun Nutzer mehr Kontrolle über die von ihnen erzeugten Daten erhalten und die Datenweitergabe an Dritte unter fairen Bedingungen ermöglicht werden. Im Folgenden wird beleuchtet, welche Akteure (Adressaten) der Data Act konkret erfasst und welche neuen Pflichten insbesondere für Hersteller und Diensteanbieter gelten. 

Wer sind die Adressaten des Data Act?

Der Data Act folgt dem Marktortprinzip und erfasst damit alle Unternehmen, die vernetzte Produkte oder zugehörige digitale Dienste in der EU anbieten, unabhängig vom Sitz des Unternehmens. Damit betrifft die Verordnung auch außereuropäische Hersteller und Dienstanbieter, sobald ihre Produkte oder Dienste in der EU in Verkehr gebracht oder angeboten werden. Konkret nennt Art. 1 Data Act folgende Adressaten:

  • Hersteller vernetzter Produkte (z. B. Hersteller von IoT-Geräten, smarten Maschinen, vernetzten Fahrzeugen) und Anbieter verbundener Dienste, die in der EU angeboten werden. Hierunter fallen etwa auch die Software oder Apps, ohne die ein smartes Gerät nicht funktionieren könnte (z. B. die App zur Steuerung eines Smart-Home-Geräts oder die Software einer vernetzten Maschine).
  • Nutzer der genannten vernetzten Produkte und Dienste in der EU. Dies umfasst sowohl Verbraucher (Privatpersonen) als auch gewerbliche Nutzer (etwa Unternehmen, die IoT-Geräte einsetzen oder Maschinen kaufen/leasen).
  • Dateninhaber (data holder). Damit sind natürliche oder juristische Personen gemeint, die berechtigt oder verpflichtet sind, Daten aus vernetzten Produkten oder Diensten bereitzustellen. In der Praxis deckt sich dies meist mit den Herstellern/Anbietern der Produkte.
  • Datenempfänger. Das sind Dritte, denen Daten zur Verfügung gestellt werden. Darunter fallen Unternehmen, an die ein Nutzer seine Gerätedaten weitergeben lässt, z. B. externe Dienstleister, Reparaturwerkstätten oder andere Third Parties.
  • Anbieter von Datenverarbeitungsdiensten. Damit sind insbesondere Cloud-Service-Providergemeint, die ihre Dienste Kunden in der EU anbieten. Diese Gruppe wird vom Data Act erfasst, da die Verordnung Datenportabilität und einfache Anbieterwechsel im Cloud-Bereich fördern will.
  • Öffentliche Stellen und Behörden in der EU. Zwar werden sie im Anwendungsbereich des Art. 1 nicht explizit als „verpflichtete“ Adressaten genannt, doch gewährt der Data Act Behörden und öffentlichen Einrichtungen unter bestimmten Voraussetzungen Rechte, Daten von Unternehmen anzufordern. Kapitel V des Data Act regelt den Datenaustausch zwischen Staat und Privatsektor (B2G) und definiert, wann Behörden im Gemeinwohlinteresse Zugriff auf Daten verlangen dürfen.

Kreis der Adressaten im Data Act sehr weit gefasst

Neben diesen Hauptadressaten bezieht der Data Act auch Teilnehmer von Datenräumen und Smart-Contract-Anwendungen ein. Beispielsweise fallen Personen oder Unternehmen darunter, die Smart Contracts für andere bereitstellen, um Datenaustausch-Vereinbarungen automatisiert auszuführen.

Auch Verkäufer, Vermieter und Leasinggeber gehören zum Kreis der Data-Act-Adressaten. Für sie gelten vorvertragliche Informationspflichten (siehe weiter unten).

Insgesamt ist der Kreis der Adressaten also sehr breit. „Alle Akteure der datenbasierten Wirtschaft“ können vom Data Act betroffen sein, von IoT-Herstellern über Nutzer bis hin zu Cloud-Anbietern und Behörden.

Lese-Tipp: EU veröffentlicht FAQ zum Data Act

Ausnahmen: Für diese Unternehmen gilt der Data Act eingeschränkt

Kleinst- und Kleinunternehmen (weniger als 50 Mitarbeiter und ≤10 Mio. € Jahresumsatz/Jahresbilanz) sind von vielen Pflichten ausgenommen. Der Gesetzgeber will damit sehr kleine Firmen entlasten. Es sei denn, sie sind Partnerunternehmen oder verbunden mit Unternehmen, die nicht als Kleinst- oder Kleinunternehmen gelten. Größere Mittelständler (ab 50 Mitarbeitern) müssen die Vorgaben jedoch umsetzen. Ausnahmen gibt es auch für Forschungseinrichtungen.

Im Zentrum des Data Act stehen aber die Hersteller vernetzter Geräte und Anbieter der dazugehörigen Dienste. Denn sie sind typischerweise zugleich die Dateninhaber. Für sie ergeben sich weitreichende neue Pflichten, um den Datenzugang für Nutzer und Dritte zu gewährleisten:

Datenzugang für Nutzer gewährleisten

Die vielleicht wichtigste Neuerung ist das Recht des Nutzers auf Zugang zu den Nutzungsdaten seines Produkts. Der Dateninhaber (z. B. der Hersteller) muss dem Nutzer kostenlos und wenn technisch möglich kontinuierlich in Echtzeit einen direkten Zugang zu den vom Gerät erzeugten Daten bereitstellen. Praktisch bedeutet dies, dass Produkte und Dienste technisch so gestaltet sein müssen, dass der Nutzer an die Daten gelangen kann. Hersteller müssen also bereits im Produktdesign Schnittstellen oder Funktionen vorsehen, die einen Datenabruf ermöglichen. Eine Übermittlung der Daten an den Nutzer „nach Hause“ ist nicht zwingend. Es genügt z. B., wenn der Nutzer die Daten auf den Servern des Herstellers einsehen oder abrufen kann. 

Verweigern darf der Dateninhaber den Zugriff nur aus eng begrenzten Gründen. Etwa wenn die Herausgabe spezifischer Datensätze geschäftsgeheimnisrelevante Informationen offenbaren würde. Doch selbst dann sind zumutbare Teilzugänge oder Schutzmaßnahmen (z. B. Anonymisierung, Geheimhaltungsvereinbarung) erforderlich, um den Nutzerdatenzugang so wenig wie möglich einzuschränken. Ein Missbrauch dieser Ausnahmemöglichkeit ist untersagt.

Transparenz- und Informationspflichten

Transparenz- und Informationspflichten: Bereits vor Abschluss eines Vertrags über ein vernetztes Produkt oder einen Dienst müssen Dateninhaber umfassend informieren. Nutzer sollen vor dem Kauf/Miete/Nutzung wissen, welche Daten das Produkt generiert und speichert, wie und wie lange sie gespeichert werden, wer Zugriff darauf hat und wie der Nutzer selbst darauf zugreifen kann. Außerdem ist offenzulegen, ob Daten an potenzielle Datenempfänger weitergegeben werden können und zu welchen Bedingungen.

Diese Transparenzpflicht ähnelt der Idee einer Daten-“Produktbeschreibung” und soll Überraschungen vermeiden: Der Nutzer erfährt z.B., ob sein Smart-TV Nutzungsdaten erhebt und ob diese an Dritte (etwa Service-Partner) fließen könnten. In Deutschland wird dies bedeuten, dass Hersteller ihre Produktinformationen und AGB entsprechend ergänzen müssen.

Nutzungsrechte vereinbaren

Dateninhaber müssen sich vertraglich die erforderlichen Nutzungsrechte an den durch ihre Produkte generierten Daten einräumen lassen. Bislang war es oft unklar, wem die nicht-personenbezogenen IoT-Daten „gehören“. Künftig sollte in Verträgen (z.B. Kauf-/Nutzungsverträgen) festgehalten werden, dass der Hersteller/Dienstanbieter die vom Gerät erzeugten Daten nutzen und unter den Bedingungen des Data Act weitergeben darf.

Diese Klauseln schaffen Rechtssicherheit, sind aber kein Freibrief für exklusive Datennutzung: Der Data Act stellt klar, dass Hersteller die anfallenden Nutzungsdaten nicht mehr ausschließlich allein verwerten dürfen, sondern sie auf Verlangen des Nutzers teilen müssen.

Datenweitergabe an Dritte auf Verlangen des Nutzers

Nutzer von IoT-Geräten erhalten das Recht, ihre Daten an Dritte ihrer Wahl weitergeben zu lassen. Verlangt der Nutzer es, muss der Dateninhaber bestimmte Nutzungsdaten unverzüglich und möglichst in Echtzeit einem vom Nutzer benannten Datenempfänger (Drittanbieter) bereitstellen. Dies kann sogar ein Wettbewerber des Herstellers sein. Durch dieses Recht sollen Folge- und Zusatzdienstleistungen gefördert werden. So können etwa unabhängige Kfz-Werkstätten, Versicherungen oder Analyse-Dienstleister über den Umweg des Nutzers Zugang zu Daten erhalten, die bislang oft monopolistisch beim Hersteller lagen.

Für die Bereitstellung der Daten an den Dritten kann der Dateninhaber grundsätzlich ein Entgelt verlangen, allerdings nur zu fairen und angemessenen Konditionen (FRAND-Prinzip). Überhöhte Preise oder diskriminierende Bedingungen sind unzulässig. Erlaubt ist eine angemessene Marge auf die Bereitstellungskosten. Ausnahme: Der empfangende Dritte ist ein KMU. Von kleinen und mittleren datenempfangenden Unternehmen darf gar keine Marge verlangt werden. Die EU-Kommission wird hierzu Leitlinien für angemessene Entgelte ausarbeiten, um die praktische Anwendung zu erleichtern.

Vertragsklauseln und „Anti-Missbrauch“-Regeln

Um Machtungleichgewichte zu adressieren, verbietet der Data Act missbräuchliche Vertragsklauseln in Datenverträgen zwischen Unternehmen. Insbesondere in B2B-Konstellationen mit ungleicher Verhandlungsmacht dürfen keine einseitigen Bedingungen gestellt werden, die erheblich von guter Geschäftspraxis abweichen und Treu und Glauben verletzen. Als missbräuchlich gelten etwa Klauseln, die den Nutzer verpflichten, der Weitergabe aller seiner Daten pauschal zuzustimmen, oder die dem Dateninhaber weitreichende Haftung ausschließen, ohne Gegenleistung. Solche Bedingungen sind rechtlich unwirksam. Im Zweifel muss der Dateninhaber nachweisen, dass seine Klauseln fair und angemessen sind.

Diese Regelungen sollen insbesondere mittelständische Abnehmer stärken, die bisher häufig nachteiligere Vertragsbedingungen akzeptieren mussten. Und sie sollen insgesamt für faire Wettbewerbsbedingungen sorgen, indem sie verhindern, dass mächtige Marktakteure durch intransparente oder einseitige Verträge ihre Position zementieren. Ergänzend gilt im Verhältnis Dateninhaber – Datenempfänger ausdrücklich das FRAND-Prinzip (fair, reasonable and non-discriminatory) für den Datenzugang.

Datenmarkt soll fairer werden

Der EU Data Act bringt ab 2025 ein neues Datennutzungs-Regime, das quer durch alle Branchen wirkt. Hersteller und Dateninhaber in Deutschland müssen sich auf erweiterte Auskunfts- und Herausgabepflichten einstellen, Nutzer gewinnen umfassende Datenrechte, Datenempfänger neue Möglichkeiten unter Auflagen.

Die Verordnung steht dabei nicht isoliert, sondern ergänzt und modifiziert das geltende Rechtsgefüge: vom Datenschutz über Wettbewerbsregeln bis zum Verwaltungsverfahren. Unternehmen tun gut daran, die verbleibende Zeit zu nutzen, um Compliance-Maßnahmen einzuleiten: interne Dateninventare erstellen, Verträge prüfen, technische Schnittstellen einrichten und Mitarbeitende schulen. Gleichzeitig sollten die Chancen nicht übersehen werden: Ein fairerer Datenmarkt kann Innovation und Wettbewerb beleben – und davon profitieren alle Beteiligten.

Quelle: EU Data Act (Verordnung 2023/2854)

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge