Zentrales Element des Data Act ist die Verpflichtung, Daten aus vernetzten Produkten und Diensten – wie etwa aus smarten Haushaltsgeräten, Fahrzeugen oder Cloud-Anwendungen – den Nut-zer:Innen zugänglich zu machen. Damit soll unter anderem ein einfacher Wechsel zwischen Cloud-Anbietern ermöglicht werden. [...]
Der EU-Data Act (DA) gilt ab heute in allen Mitgliedstaaten unmittelbar. Der Rechtsakt ist Teil der Europäischen Datenstrategie und soll ein vertrauenswürdiges digitales Ökosystem schaffen. In einer Pressemitteilung der Europäischen Kommission vom 12. September 2025 heißt es dazu: „Der Data Act erhöht den Zugang zu hochwertigen Daten und damit das Potenzial für datengestützte Innovationen. Er setzt faire Regeln für eine breitere Verfügbarkeit von Daten, um Innovation, Wettbewerbsfähigkeit und Wachstum in der digitalen Wirtschaft Europas zu fördern.“
Wirksamkeit
Der Rechtsakt ist bereits am 11. Januar 2024 formell in Kraft getreten und ist seit dem 12. September 2025 in allen EU-Mitgliedstaaten direkt anzuwenden. Spätestens jetzt ist für Unternehmen der richtige Zeitpunkt, um sich mit den neuen Anforderungen auseinanderzusetzen.
Die nationale Aufsichtsbehörde muss in Österreich noch gesetzlich bestimmt werden. In der engeren Auswahl liegen die Datenschutzbehörde (DSB) und die Rundfunk und Telekom Regulierungs-GmbH (RTR).
Verpflichtung des Data Act
Zentrales Element des DA ist die Verpflichtung, Daten aus vernetzten Produkten und Diensten – wie etwa aus smarten Haushaltsgeräten, Fahrzeugen oder Cloud-Anwendungen – den Nutzer:Innen zugänglich zu machen. Damit soll unter anderem ein einfacher Wechsel zwischen Cloud-Anbietern ermöglicht werden.
Der Anwendungsbereich geht über die Datenschutz-Grundverordnung (DSGVO) hinaus, da auch nicht personenbezogene Daten erfasst sind: „Der Data Act bringt neue Rechte für Nutzer:Innen im Zusammenhang mit Daten, die durch die Nutzung vernetzter Produkte entstehen, also etwa bei sogenannten Smart Devices. Dabei handelt es sich weitgehend um Zugangs- und Portabilitätsrechte, die teilweise auch über die DSGVO hinausgehen, weil sie sich nicht nur auf personenbezogene, sondern auch auf produktbezogene oder gemischte Daten beziehen“, sagt Andreas Rohner von der österreichischen Datenschutzbehörde.
Auf der Webseite der Datenschutzbehörde findet sich aktuell keine Information zum DA.
Anwendungsbeispiele
Ein Schwerpunkt des DA besteht darin, dass Daten, die bei der Nutzung vernetzter Produkte (zum Beispiel Autos oder smarte Haushaltsgeräte) oder verbundener Dienste entstehen, den Nutzer:Innen über einen direkten Zugriff zugänglich gemacht werden müssen. Dadurch soll unter anderem ein leichterer Wechsel zwischen Cloud-Dienstleistern ermöglicht werden. Der Geltungsbereich ist bewusst weit gefasst. Erfasst werden alle im Rahmen solcher Anwendungen erzeugten Daten, unabhängig davon, ob ein Personenbezug besteht. Damit reicht die Regelung über die Datenschutz-Grundverordnung hinaus.
In einem Podcast des MANZ Verlags erläuterte Dr. Rainer Knyrim die praktischen Auswirkungen des Data Acts auf Verbraucher:Innen, insbesondere im Zusammenhang mit vernetzten Geräten wie Fitnessuhren oder Autos. Er betonte dabei, dass der Data Act den Zugang zu diesen Daten erleichtert und somit die Kontrolle der Nutzer:Innen über ihre eigenen Daten stärkt.
Auswirkungen auf Unternehmen
Der DA bringt für Unternehmen sowohl neue Pflichten als auch zusätzliche Rechte mit sich. Sie müssen die Vorgaben umsetzen, profitieren aber gleichzeitig von erweiterten Nutzungsmöglichkeiten, wenn sie selbst vernetzte Produkte oder Dienste einsetzen. Der Data Act verändert die digitale Wirtschaft grundlegend. Unternehmen sind daher gefordert, sich frühzeitig mit den neuen Regeln auseinanderzusetzen. Gleichzeitig eröffnen sich ihnen neue Chancen, Daten verantwortungsvoll zu nutzen und Wettbewerbsvorteile zu sichern.
Praxishilfe der Gesellschaft für Datenschutz und Datensicherheit
Einen praktischen Wegweiser bietet beispielsweise der Leitfaden „Europäische Datenstrategie: KI-VO, Data Act etc.“ der Gesellschaft für Datenschutz und Datensicherheit (GDD). Er ordnet zentrale Rechtsakte in diesem Bereich ein und beleuchtet insbesondere die Rolle des Datenschutzbeauftragten, der künftig neue Aufgaben übernehmen muss.
Die Gesellschaft für Datenschutz und Datensicherheit ist die führende Fachgesellschaft für Datenschutz, Informationssicherheit und digitale Governance in Deutschland. Sie unterstützt Unternehmen und Organisationen mit Fachinformationen, Schulungen und Veranstaltungen bei der Umsetzung rechtlicher und technischer Anforderungen.
Auswirkungen für Datenschutzbeauftragte
Der Data Act selbst beschreibt keine detaillierten neuen Pflichten für den Datenschutzbeauftragten. Aus seiner Umsetzung und den Verbindungen zur DSGVO ergeben sich jedoch einige neue Verantwortlichkeiten und Aufgabenfelder. Hier eine strukturierte Übersicht:
Beratung und Überwachung der Umsetzung: Der Datenschutzbeauftragte muss prüfen, ob das Unternehmen die Anforderungen des Data Acts erfüllt, insbesondere hinsichtlich:
- Bereitstellung von Daten für Nutzer:Innen (direkter Zugriff, Portabilität).
- Einhaltung der Pflichten beim Datenaustausch zwischen Unternehmen und Drittanbietern.
- Beratung der Geschäftsführung oder des Managements zur konformen Umsetzung der DA-Anforderungen.
Schnittstelle zwischen Datenschutz und Data Governance:
- Der DA betrifft alle Daten aus vernetzten Produkten und Diensten, nicht nur personenbezogene Daten.
- Der Datenschutzbeauftragte muss bewerten, wie diese Daten in die bestehende Datenschutz- und Datensicherheitsstrategie integriert werden.
- Entwicklung von Richtlinien für Zugriffsrechte, Datenspeicherung, Daten-Portabilität und Datensicherheit.
Risikobewertung und Datenschutz-Folgenabschätzung:
- Bei neuen Produkten/Diensten, die unter den DA fallen, kann der Datenschutzbeauftragte Datenschutz-Folgenabschätzungen (DSFA) durchführen, um Risiken zu identifizieren.
- Er berät bei technischen und organisatorischen Maßnahmen zur Minimierung von Risiken für Nutzer:Innen.
Zusammenarbeit mit der Aufsichtsbehörde: Der Datenschutzbeauftragte fungiert als Schnittstelle zur Datenschutzbehörde, wenn es um DA-relevante Daten geht. Er unterstützt bei prüfungsrelevanten Dokumentationen und Auskunftsersuchen.
Schulung und Sensibilisierung: Information und Schulung von Mitarbeitern über neue Pflichten, zum Beispiel:
- Rechte der Nutzer:Innen auf Datenzugang und Daten-Portabilität.
- Einhaltung der Data-Act-konformen Prozesse.
- Sensibilisierung für Risiken beim Datenaustausch zwischen Cloud-Anbietern oder vernetzten Diensten.
Data Act in den Medien
Ein besonders aufschlussreicher Beitrag erschien am 8. September 2025 in der Presse unter dem Titel „Mitsprache für Kunden bei Nutzung ihrer Daten“. Darin erläutern die Rechtsanwälte Axel Anderl und Corina Kruesz die zentralen Neuerungen des Data Acts und dessen Bedeutung für die digitale Wirtschaft. Dieser Artikel bietet einen fundierten Überblick über die praktischen Auswirkungen des Data Acts und ist besonders für Unternehmen und juristische Fachleute von Interesse. Wichtige Punkte des Artikels:
- Zugang zu Nutzerdaten: Ab dem 12. September 2025 sind Hersteller und Anbieter von vernetzten Geräten laut Data Act dazu verpflichtet, Nutzer:Innen elektronischen Zugang zu den von ihnen erzeugten Daten zu gewähren.
- Transparenzpflichten: Anbieter müssen klar darlegen, wie und zu welchen Zwecken die gesammelten Daten verwendet werden.
- Datennutzungsverträge: Möchte ein Anbieter die Daten kommerziell nutzen, ist ein Vertrag mit dem die Daten generierenden Nutzer erforderlich.
- Strategische Chancen für Unternehmen: Der Data Act eröffnet Unternehmen die Möglichkeit, neue Geschäftsmodelle zu entwickeln und Wettbewerbsvorteile zu sichern, sofern sie rechtzeitig reagieren.
Be the first to comment