Der Data Act in der Praxis: So bereiten Sie sich vor

Ab dem 12. September 2025 gelten in der EU neue Regeln für den Zugang zu und die Nutzung von Daten: Der Data Act verpflichtet Unternehmen, bestimmte Daten unter klaren Bedingungen zugänglich zu machen, etwa für Kunden, Geschäftspartner oder Behörden. Anders als viele denken, betrifft das nicht nur große Plattformen, sondern eine Vielzahl von Unternehmen der Digital- und Technologiebranche.

Trotz dieser Relevanz zeigt sich, dass die meisten Unternehmen noch nicht vorbereitet sind. Dabei geht es nicht nur um rechtliche Risiken, sondern auch um verpasste Chancen in einem Markt, der von Daten lebt.

Was der Data Act regelt und für wen das relevant ist

Der Data Act verfolgt ein klares Ziel: Er soll dafür sorgen, dass Nutzerdaten aus vernetzten Produkten nicht länger exklusiv bei Herstellern oder Plattformanbietern verbleiben, sondern dort verfügbar sind, wo sie gebraucht werden.

„Vernetzte Produkte“ meint Geräte, die mit dem Internet verbunden sind und dabei automatisch Daten erzeugen, von Industriemaschinen und Fahrzeugen über smarte Heizsysteme bis hin zu Alltagsgeräten wie Fitnessarmbändern oder intelligenten Lautsprechern. Die dabei entstehenden Daten (etwa Laufzeiten, Positionen, Verbrauchswerte oder Fehlermeldungen) muss künftig standardisiert zugänglich gemacht werden.

Das betrifft nicht nur die Hersteller solcher Geräte, sondern auch Unternehmen, die sie weiterentwickeln, in Plattformen integrieren oder entsprechende Dienste anbieten, und auch jene, die Daten daraus für eigene Geschäftsmodelle nutzen. Relevant wird es überall dort, wo datenbasierte Services angeboten oder entwickelt werden.

Und der Datenschutz?

Der Data Act umfasst sowohl personenbezogene als auch nicht-personenbezogene Daten. Das bedeutet, dass viele der neuen Pflichten sich mit der DSGVO überschneiden.

Dabei gilt als klarer Grundsatz, dass die DSGVO Vorrang hat. Sobald Daten einer Person zugeordnet werden können, gelten weiterhin deren Regeln. Der Data Act ändert daran nichts, aber er macht die Abstimmung komplizierter. Unternehmen müssen künftig sehr genau hinschauen: Wann liegt ein berechtigtes Interesse oder eine Einwilligung vor? Wer ist eigentlich betroffene Person und wer „Nutzer“ im Sinne des Data Act? Und dürfen Daten, die man herausgeben muss, auch für eigene Zwecke genutzt werden?

In der Praxis wird es oft zu Abwägungen kommen. Dort, wo das Datenschutzrecht bislang keine unmittelbaren Pflichten zum Teilen kannte, stellt der Data Act neue Anforderungen auf. Das kann zu Konflikten führen, die richtig dokumentiert und rechtlich abgesichert sein sollten.

Warum so viele noch zögern

Viele Unternehmen unterschätzen derzeit, wie konkret sie vom Data Act betroffen sind. Laut einer aktuellen Bitkom-Umfrage gehen 52 % der befragten Unternehmen davon aus, dass sie gar nicht unter die neuen Vorgaben fallen, eine Einschätzung, die sich in der Praxis jedoch häufig als trügerisch erweisen dürfte.

Wer keine vernetzten Geräte herstellt, fühlt sich oft nicht gemeint. Wer Software entwickelt, die auf Gerätedaten zugreift oder sie weiterverarbeitet, übersieht schnell die eigene Rolle als „Datenempfänger“. Und wer mit etablierten Cloud-Diensten arbeitet, denkt selten daran, dass künftig auch Wechselbarkeit und Interoperabilität rechtlich verpflichtend geregelt sind.

Hinzu kommt, dass die Anforderungen technisch erscheinen und rechtlich sowie organisatorisch komplex sind.

Gleichzeitig stehen viele Unternehmen schon mit der Umsetzung anderer EU-Regelwerke wie dem AI Act oder der NIS-2-Richtlinie unter Druck. Der Data Act wird dabei oft vernachlässigt, bis ein Handeln nicht mehr rechtzeitig möglich ist.

Die größte Hürde ist das Zögern

Für Unternehmen, die nicht bald reagieren, kann es eng werden: Ab Herbst 2025 drohen Bußgelder, Vertragsrisiken und eine wachsende Erwartungshaltung auf Kundenseite. Kunden und Partner werden erwarten, dass Daten nutzbar sind, so wie es das Gesetz verlangt, und gerade wenn Wettbewerber früher liefern, was der Markt erwartet, etwa standardisierte Datenschnittstellen oder transparente Nutzungsbedingungen, kann das auch wirtschaftlich spürbar werden.

Auf der anderen Seite eröffnet der Data Act auch neue Möglichkeiten. Wer seine Produkte, Plattformen oder Services frühzeitig anpasst, positioniert sich als zuverlässiger Partner in einem datenbasierten Markt. Außerdem erleichtert es die spätere Einhaltung weiterer Vorschriften, etwa wenn KI-Systeme oder cloudbasierte Dienste ins Spiel kommen.

Data Act Compliance beginnt mit klarer Begleitung

Der Data Act ist kein typisches Datenschutzprojekt, aber ohne datenschutzrechtliches Know-how wird es kaum gelingen, ihn sauber umzusetzen.

Wir bei Bitkom Consult helfen Unternehmen der Digital- und Technologiebranche, diesen neuen Rahmen Schritt für Schritt in die Praxis zu bringen.

Es geht nicht darum, sofort alles perfekt zu machen. Sondern darum, früh Klarheit zu schaffen, Zuständigkeiten zu klären und Strukturen aufzubauen, die tragen.

Ob Rollenverteilung im Unternehmen, Umgang mit sensiblen Daten, Abstimmung mit der DSGVO oder technische Zugänge, wir unterstützen Sie dabei, den passenden Weg zu finden.

Wenn Sie wissen möchten, wie der Data Act Ihr Geschäft betrifft und was konkret zu tun ist, sprechen Sie uns an.