Mit dem Data Act kommen neue Bereitstellungspflichten auf Dateninhaber zu. Diese betreffen sowohl nicht personenbezogene Daten als auch personenbezogene Daten und vermischte Datensätze. Wir erklären, worauf Unternehmen achten müssen, Unterschiede und Gemeinsamkeiten von Data Act und DSGVO – und was das konkret für Datenverarbeitungen bedeutet.
Was ist der Data Act?
Der Data Act (Verordnung über harmonisierte Vorschriften für einen fairen Datenzugriff und eine faire Datennutzung, Volltext) ist am 11. Januar 2024 in Kraft getreten und seit dem 12. September 2025 anwendbar. Verantwortliche müssen sich also dringend mit den folgenden Aspekten der Datenverarbeitung auseinandersetzen.
Der Data Act ist darauf ausgerichtet, die Position der Nutzer zu stärken, seien es Verbraucher oder Unternehmen, indem er ihnen eine größere Kontrolle über die durch vernetzte Geräte erzeugten Daten einräumt. Sein Anwendungsbereich erstreckt sich sowohl auf personenbezogene als auch auf nicht-personenbezogene Daten.
Was ist das Ziel des Data Acts?
Ein zentrales Leitprinzip des Data Acts ist: Nutzer müssen jederzeit Zugang zu den sie betreffenden Daten erhalten – unentgeltlich, sicher sowie in einem strukturierten und maschinenlesbaren Format. Auch relevante Metadaten sind bereitzustellen.
Dazu legt der Data Act fest, wer Daten unter welchen Bedingungen nutzen darf, um einen faireren, wettbewerbsfähigeren und rechtssichereren Markt zu fördern. Unternehmen agieren dadurch in einem klar definierten Rechtsrahmen für den Zugriff auf sowie die Nutzung und den Austausch von Daten. Dies betrifft alle Daten, die durch vernetzte Produkte und verbundene Dienste generiert werden, von Smartphones und smarten Haushaltsgeräten bis hin zu Industriemaschinen.
Die Verordnung führt insbesondere Folgendes ein:
- klare Regeln über die Datennutzung und die entsprechenden Vertragsbedingungen;
- Anreize für Dateninhaber, in die Erzeugung hochwertiger Daten zu investieren;
- Vorschriften zur Erleichterung der Datenübertragung zwischen Inhabern und Nutzern unter Wahrung der Vertraulichkeit;
- Rechte der Nutzer, Daten mit Dritten zu teilen;
- spezifische Schutzmechanismen für Geschäftsgeheimnisse und geistige Eigentumsrechte;
- ein System für eine angemessene Vergütung für die Bereitstellung von Daten sowie Mechanismen zur Streitbeilegung.
Darüber hinaus sind Maßnahmen vorgesehen, um missbräuchlichen Vertragsklauseln in B2B-Beziehungen entgegenzuwirken, öffentlichen Stellen unter bestimmten Umständen (z. B. in Notsituationen) den Zugang zu Daten zu ermöglichen, den Wechsel zwischen Cloud-Dienstanbietern durch höhere Interoperabilitätsanforderungen zu erleichtern und den Schutz gegen rechtswidrigen staatlichen Zugriff auf nicht-personenbezogene Daten zu stärken.
Insgesamt zielt der Data Act darauf ab, die Datenwirtschaft zugänglicher und transparenter zu gestalten, wodurch neue Möglichkeiten, aber auch neue Pflichten für Unternehmen entstehen.
Was sind die wichtigsten Definitionen des Data Acts?
Der Data Act nennt in Art. 2 zentrale Definitionen. Für die rechtskonforme Verarbeitung von Daten sind insbesondere relevant die Definitionen zu personenbezogenen und nicht personenbezogenen Daten, vernetzten Produkten und verbundenen Diensten.
Personenbezogene Daten
Hier verweist der Data Act auf die DSGVO, demnach sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 DSGVO). Hierzu gehören beispielsweise der Name eines Kunden, eine einer Person zuordenbare geschäftliche E-Mail-Adresse, Geolokalisationsdaten eines Mitarbeiters oder App-Nutzungsdaten, wenn diese mit einem bestimmten Nutzer verknüpft werden können.
Nicht-personenbezogene Daten
Nicht-personenbezogene Daten sind alle Daten, die nicht unter die Definition personenbezogener Daten fallen (Art. 2 Abs. 4 Data Act). In diese Kategorie fallen beispielsweise aggregierte und anonymisierte Daten, technische Daten über die Funktionsweise einer Industriemaschine, die nicht auf natürliche Personen rückführbar sind, oder Leistungsdaten einer Produktionslinie.
Vernetztes Produkt
Ein vernetztes Produkt ist ein Gegenstand, der Daten über seine Nutzung oder seine Umgebung erlangt, erzeugt oder erhebt und der in der Lage ist, diese Daten über ein Netz oder eine andere Verbindung zu übermitteln (Art. 2 Abs. 5 Data Act). Seine Hauptfunktion besteht nicht darin, Daten im Auftrag Dritter zu speichern oder zu verarbeiten. Typische Beispiele für Unternehmen sind intelligente Industriemaschinen, vernetzte Firmenfahrzeuge, im Werk installierte IoT-Geräte oder vernetzte Medizinprodukte.
Verbundener Dienst
Ein verbundener Dienst ist ein digitaler Dienst (einschließlich Software), der mit dem vernetzten Produkt verbunden ist und ohne den das Produkt eine oder mehrere seiner Funktionen nicht ausführen könnte, oder der die Funktionen des Produkts erweitert oder aktualisiert (Art. 2 Abs. 6 Data Act). Denken Sie beispielsweise an eine Software zur Fernüberwachung einer Industrieanlage, eine Cloud-Plattform, die die Analyse der von einer Maschine erzeugten Daten ermöglicht, oder einen vorausschauenden Wartungsservice (Predictive Maintenance), der auf den vom Gerät gesammelten Daten basiert.
Wie ist das Verhältnis zwischen Data Act und DSGVO?
Der Data Act ist sowohl auf personenbezogene als auch auf nicht-personenbezogene Daten anwendbar. Er soll also keinesfalls die Datenschutz-Grundverordnung ersetzen. Den Data Act als eine „DSGVO 2.0“ zu betrachten, bedeutet, sein Wesen, seine Ziele und folglich die für die Compliance erforderlichen Maßnahmen völlig misszuverstehen.
Die Unterschiede lassen sich am besten so verdeutlichen:
| DSGVO | Data Act | |
|---|---|---|
| Funktion | Schutzschild | Motor |
| Zweck | Defensiv: der Schutz des Grundrechts einer natürlichen Person auf Privatsphäre und den Schutz ihrer personenbezogenen Daten. | Proaktiv und wirtschaftlich: die europäische Datenwirtschaft ankurbeln und das industrielle sowie wettbewerbsrelevante Potenzial freizusetzen, das in den von Millionen vernetzter Geräte erzeugten Daten steckt, sowie dem Datennutzer die Kontrolle und die Wahlfreiheit zurückgeben. |
| Mittel | Die DSGVO setzt Grenzen, schreibt Schutzmaßnahmen vor und definiert, was nicht getan werden darf (oder was nur unter bestimmten Bedingungen, wie der ausdrücklichen Einwilligung, zulässig ist.), um das Individuum zu schützen. | Der Data Act fest, wer das Recht hat, auf die vom Produkt erzeugten Daten zuzugreifen und diese zu nutzen, und unter welchen Bedingungen. |
| Fokus | Natürliche Person und ihre Rechte | Markt und Wettbewerbsfähigkeit |
Wie regelt der Data Act Datenverarbeitungen?
Nicht personenbezogene Daten, personenbezogene Daten und vermischte Daten
Der Data Act führt umfassende Bereitstellungspflichten für Dateninhaber ein (Art. 4 Abs. 13 Data Act), während die DSGVO insbesondere dem Grundsatz der Datenminimierung folgt. Beide Regelwerke bestehen nebeneinander, der Data Act lässt die Vorgaben der DSGVO ausdrücklich unberührt.
- Soweit personenbezogene Daten verarbeitet werden, ist daher stets die DSGVO zu beachten.
- Im Kollisionsfall darf das Schutzniveau der DSGVO (im Sinne von Erwägungsgrund 7 des Data Acts) nicht unterschritten werden; praktisch bedeutet dies, dass die DSGVO Vorrang genießt.
Jede Verarbeitung personenbezogener Daten muss folglich auf einen Erlaubnistatbestand nach Art. 6 DSGVO und zusätzlich ggf. Art. 9 DSGVO gestützt werden können.
Wichtig: Der Data Act selbst schafft keine eigenständige Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Ein entsprechendes Datenzugangsverlangen nach Art. 4 Data Act muss daher auf eine Rechtsgrundlage der DSGVO gestützt werden (Art. 4 Abs. 12 Data Act). Fehlt eine solche, ist der Dateninhaber verpflichtet, die Daten zu anonymisieren oder darf nur solche personenbezogenen Daten herausgeben, die den Nutzer selbst betreffen.
Die saubere Abgrenzung zwischen personenbezogenen und nicht-personenbezogenen Daten wird damit zu einer zentralen Compliance-Frage – und ist im Einzelfall häufig anspruchsvoll.
Sind Datennutzer und betroffene Person identisch, kann die Verarbeitung auf eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO gestützt werden. Deutlich komplexer wird es, wenn Datennutzer und betroffene Person auseinanderfallen und eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO erforderlich ist. Bei rein industriellen, nicht-personenbezogenen Daten stellt sich diese Problematik hingegen nicht.
Besondere praktische Relevanz hat der Umgang mit untrennbar vermischten Datensätzen oder Daten mit unklarem Personenbezug. Die Abgrenzung wird zusätzlich durch die Rechtsprechung des Gerichtshof der Europäischen Union erschwert (Urteil vom 9. November 2023, Az.: C-319/22), wonach sich ein Personenbezug auch relativ bestimmen kann (unter Berücksichtigung der Mittel, die dem jeweiligen Empfänger zur Verfügung stehen). Für Unternehmen bedeutet das: die Bewertung hängt nicht nur vom Datensatz selbst, sondern auch vom konkreten Nutzungskontext ab.
Achtung: Theoretisch ließe sich diese Systematik dazu nutzen, die vorgeschriebenen Lizenzmechanismen des Data Acts zu umgehen, indem Maschinendaten bewusst mit Personenbezug angereichert werden. Wir raten jedoch davon ab, denn eine solche Praxis kann erhebliche rechtliche Risiken mit sich bringen, insbesondere im Hinblick auf die Einhaltung der DSGVO und den Grundsatz von Treu und Glauben.
Eine entsprechende Verarbeitung sollte nur dann in Betracht gezogen werden, wenn eine klare operative Notwendigkeit besteht und eine tragfähige Rechtsgrundlage nach der DSGVO vorliegt. Zudem sollte sie im Rahmen der Daten-Governance-Strategie angemessen dokumentiert werden. Andernfalls besteht das Risiko, entweder gegen die DSGVO oder gegen den Data Act zu verstoßen.
Offen bleibt, wie stark sich eine Datenlizenzvereinbarung in der praktischen Ausgestaltung von einer datenschutzrechtlichen Einwilligung unterscheiden wird und welche Klauseln in Formularverträgen künftig als zulässig anzusehen sind. Hier ist in den kommenden Jahren mit weiterer Konkretisierung durch Praxis und Rechtsprechung zu rechnen.
Anwendungsbeispiel vermischter Daten
Die eigentliche Bewährungsprobe für Unternehmen wird der Umgang mit vermischten Daten sein, falls ein Unternehmen sowohl Inhaber von personenbezogenen als auch von nicht-personenbezogenen Daten ist.
Stellen wir uns ein vernetztes Fahrzeug vor. Die generierten Daten umfassen:
- Nicht-personenbezogene Daten: z. B. Reifendruck, Öltemperatur, Bremsverschleiß;
- Personenbezogene Daten: z. B. GPS-Position der letzten Fahrten, Fahrstil (Beschleunigung, abruptes Bremsen), über das Infotainment-System gehörte Musik.
Was passiert, wenn der Fahrzeughalter (der Nutzer gemäß Art. 2 Abs. 12 Data Act) verlangt, sämtliche Diagnosedaten mit der Werkstatt seines Vertrauens (einem Dritten) zu teilen?
In diesem Fall greifen zwei regulatorische Ebenen:
- Die Bereitstellungspflicht (Data Act): Gemäß Art. 4 Abs. 1 und Art. 5 Data Act ist der Hersteller (Dateninhaber) gesetzlich verpflichtet, diese Daten dem Nutzer oder auf dessen Verlangen direkt einem Dritten zur Verfügung zu stellen.
- Die Rechtsgrundlage für die Übermittlung (DSGVO): Da der Datensatz personenbezogene Daten enthält (GPS, Fahrstil), muss der Hersteller die Übermittlung gemäß der DSGVO rechtfertigen. In diesem Szenario ist die Rechtsgrundlage nicht die Einwilligung, sondern die Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO, da sich diese Verpflichtung unmittelbar aus den obengenannten Bestimmungen des Data Acts ergibt.
Sollte die Werkstatt die GPS-Daten jedoch nutzen wollen, um dem Fahrer personalisierte Werbung zu senden, würde dies über den Zweck, für den die Daten geteilt wurden (die Wartung oder Reparatur) hinausgehen. An diesem Punkt würde die DSGVO wieder als Schutzschild fungieren und die Einzelperson vor einer sekundären, unbefugten Nutzung ihrer personenbezogenen Daten schützen.
Jede Bestimmung des Data Acts, die im Widerspruch zu den Grundsätzen der DSGVO stünde (Datenminimierung und Zweckbindung gemäß Art. 5 DSGVO), wäre unanwendbar. Der Data Act schafft zwar ein eigenes allgemeines Recht auf Datenzugang; die DSGVO beschränkt aber dessen Ausübung, zumindest wenn personenbezogene Daten im Spiel sind.
Welche Sanktionen sieht der Data Act vor?
Der Data Act sieht kein einheitliches EU-weites Sanktionssystem vor. Stattdessen sind die Mitgliedstaaten verpflichtet, nationale Vorschriften zu erlassen, zuständige Aufsichtsbehörden zu benennen und wirksame, verhältnismäßige sowie abschreckende Sanktionen festzulegen.
Für Deutschland ist davon auszugehen, dass Unternehmen (Dateninhaber), die ihren Verpflichtungen zur Datenweitergabe an Nutzer oder Dritte gemäß Data Act nicht nachkommen, mit verschiedenen Sanktionen belegt werden können. Laut § 15 des Entwurfes des Gesetzes zur Anwendung und Durchsetzung der Datenverordnung (DADG, Stand: 15 Oktober 2025) könnten folgende Bußgeldvorschriften zur Anwendung kommen:
Ordnungswidrigkeiten
Verstöße gegen die Datenverordnung, wie z. B. die Nichtbereitstellung von Daten gemäß Art. 4 Abs. 1 oder Art. 5 Abs. 1 Data Act, können als Ordnungswidrigkeiten geahndet werden.
Geldbußen
- Für schwerwiegende Verstöße, wie die Nichtbereitstellung von Daten, können Geldbußen bis zu 500.000 Euro verhängt werden.
- Für mittlere Verstöße, wie die Nichtkennzeichnung von Betriebs- und Geschäftsgeheimnissen, können Geldbußen bis zu 100.000 Euro verhängt werden.
- Für geringfügige Verstöße können Geldbußen bis zu 50.000 Euro verhängt werden.
Höhere Geldbußen für große Unternehmen
Bei Verstößen von Unternehmen mit einem Gesamtumsatz von mehr als 250 Millionen Euro kann eine Geldbuße bis zu 2 % des Gesamtumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
Zwangsgelder
Zur Durchsetzung von Anordnungen oder Untersagungen kann die Bundesnetzagentur Zwangsgelder in Höhe von bis zu 500.000 Euro festsetzen (§ 7 Abs. 6).
Die Höhe der Geldbußen wird unter Berücksichtigung der Schwere des Verstoßes, des wirtschaftlichen Vorteils durch den Verstoß und weiterer relevanter Umstände bemessen.
Unternehmen sollten das Sanktionsrisiko nicht isoliert betrachten. In der Praxis besteht regelmäßig eine Schnittstelle zur DSGVO, so dass neben Verstößen gegen den Data Act auch datenschutzrechtliche Bußgelder drohen können.
Eine integrierte Compliance-Strategie, die beide Regelwerke berücksichtigt, ist daher äußerst empfehlenswert.
Fazit
Für Unternehmen ist es entscheidend, personenbezogene und nicht-personenbezogene Daten im Anwendungsbereich des Data Act sauber zu unterscheiden und rechtlich korrekt zu behandeln. Nur wer versteht, wie Data Act und DSGVO nebeneinander gelten und ineinandergreifen, kann rechtssicher agieren.
Eine präzise Dateneinordnung, belastbare interne Prozesse und klar strukturierte Vertragsmodelle sind dabei nicht nur Mittel zur Vermeidung von Bußgeldern. Sie bilden zugleich die Grundlage, um das wirtschaftliche Potenzial des Data Act strategisch zu nutzen: durch neue datenbasierte Geschäftsmodelle, faire Zugangs- und Kooperationsstrukturen sowie mehr Rechtssicherheit im Wettbewerb.
Insgesamt ist der Data Act nicht nur eine Rechtsvorschrift, die man erleiden muss; er kann vielmehr eine Chance sein, die es strategisch zu nutzen gilt. Unternehmen, denen es gelingt, die Prinzipien der Datenzugänglichkeit und -portabilität in ihre Angebotsmodelle zu integrieren und auszuschöpfen, werden diejenigen sein, die im neuen Szenario an Margen und Wettbewerbsfähigkeit gewinnen.
Der Data Act ist damit nicht nur ein Compliance-Thema, sondern auch ein wirtschaftlicher Hebel – vorausgesetzt, Unternehmen setzen sich frühzeitig und strukturiert mit seinen Anforderungen auseinander.