Jetzt CloudGate testen!
CloudGate
Leistungen
Regulatory Advisory
IT-Governance
Audit und Assurance Support
Agentic AI Governance
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
EU Data Act
BaFin-Mitteilung KI-Anwendungen
Lösungen
Muster-Verträge
IT-GRC


Leistungen
Sourcing-Strategie
Provider Management
IT-Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Services
SLA-Rechner
Third Party Management


Leistungen
AI Literacy/KI-Kompetenz
Agentic AI Governance
Cloud Exit Management
Cloud Strategy
Cloud Security Implementation
Themen
Sovereignty
Marktübersicht EU Public Cloud
FinOps
AI Act
BaFin Mitteilung KI-Anwendungen
Digital Adoption
Services
FinOps Dashboard
AI & Cloud





Seminare

Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Cloud-Seminare

Themen

DORA
NIS-2
AI Act

Wissenswertes

Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. IT-GRC
  3. Themen
  4. EU Data Act

EU Data Act - euer Boost für datengetriebene Innovation

Hebt eure Datenpotenziale mit unserer Beratung 

+++ Jetzt handeln: Übergangsfrist endet am 12.9.2026 +++

Der Data Act stärkt den fairen Zugang zu industriellen Daten und erleichtert Austausch und Nutzung innerhalb der EU. Anbieter vernetzter Produkte und verbundener Dienste müssen Nutzern direkten Zugriff auf generierte Daten ermöglichen, einfache Wechselmöglichkeiten bieten und standardisierte Schnittstellen bereitstellen.

Zugleich setzt der Data Act verbindliche Regeln für Cloud Switching, um Lock‑in-Effekte zu vermeiden. Anbieter müssen zudem Portabilität und Interoperabilität sicherstellen. Der Data Act stärkt damit neue, datengetriebene Angebote und fördert Digital Trust durch fairen, nachvollziehbaren Datenaustausch. Ob Hersteller, Anbieter oder Nutzer: Wir befähigen euch, die Rechte und Pflichten gezielt zu nutzen.

Mehr erfahren  

EU Data Act

Data Act umsetzen mit Augenmaß – konkret, effizient, wirksam

Mit unseren Beratungs- und Unterstützungsleistungen machen wir die Anforderungen des Data Acts für euch greifbar, zeigen euch Spielräume auf und übersetzen sie in technische, organisatorische und vertragliche Lösungen. Ein Schwerpunkt unserer Beratung zur Umsetzung des Data Acts liegt auf regulierten Unternehmen wie beispielsweise aus der Finanz- sowie der Gesundheitsbranche.

Betroffenheitsfeststellung

Viele Unternehmen sind vom Data Act betroffen, doch es gibt Ausnahmen, und auch nicht alle Daten aus vernetzten Produkten und damit verbundener Dienste müssen freigegeben werden. 

Wir unterstützen eure Rechtsabteilung bei der fachlichen Feststellung, ob ihr zu den betroffenen Unternehmen gehört, wem in welchem Umfang ihr Daten zur Verfügung stellen müsst oder ob die Übertragung der Daten überhaupt verlangt werden kann. 

Der Data Act unterscheidet bei den Betroffenen zwischen Inhabern, Empfängern und Nutzern von Daten. Für Klein- und Kleinstunternehmen gelten abgeschwächte Pflichten.

Anpassung Datenverarbeitungsdienste

Wir machen eure Datenverarbeitungsdienste fit für den Data Act – technisch, betriebswirtschaftlich und vertraglich. Wir gestalten und optimieren Architektur, Design und Delivery eurer Services so, dass ihr die Vorgaben sicher erfüllt und gleichzeitig eure Performance steigert.

Parallel zeigen wir euch, wie sich die einzuräumenden Kundenrechte auf eure Kalkulation auswirken, wo zusätzliche interne Aufwände entstehen und wo Automatisierung schnell Entlastung bringt. Mustervertragsklauseln adaptieren wir zügig auf eure Standardverträge – für Compliance, Transparenz und geringere Risiken in der Umsetzung.

Sicherstellung regelkonformer Datenbereitstellung

Die Bereitstellung von Daten an Datenempfänger muss nach dem Data Act fair und angemessen und darf nicht diskriminierend sein. 

Wir stellen euch marktübliche, praxiserprobte Mustervertragsklauseln zur Verfügung, die eure Rechtsabteilung dabei unterstützen, diese Ziele zu erreichen und dabei auch den Umfang der bereitzustellenden Daten zu beschreiben und abzugrenzen.

Ausdrücklich im Data Act aufgeführte missbräuchliche Vertragsklauseln dürfen dabei nicht verwendet werden, was mit einem toolgestützten Missbräuchlichkeitstest festgestellt werden kann.

Unterstützung im Umgang mit Behörden

Nur in Fällen öffentlichen Interesses können Behörden unter Umständen Daten von privaten, teilweise auch von öffentlichen Einrichtungen herausverlangen. Hierfür muss jedoch ein außergewöhnlicher Bedarf festgestellt werden, der auch überprüft werden kann. 

Wir begleiten euch im Umgang und in der Kommunikation mit den Behörden und unterstützen euch dabei, fachlich festzustellen, ob eine Behördenanfrage regelkonform ist, welche Daten gegebenenfalls herausgegeben werden müssen, und auch, welcher Ausgleich euch für euren Aufwand geleistet werden muss.

Unterstützung im Umgang mit Drittstaaten

Daten, die in der EU gespeichert und verarbeitet werden, unterliegen europäischen Grundrechts- und Sicherheitsgarantien. Personenbezogene Daten sind hier bereits durch die DSGVO geschützt – der Data Act soll diesen Schutz nun auf nicht-personenbezogene Daten ausweiten. 

Ob Forderungen eines Drittstaats nach Herausgabe von Daten berechtigt sind, muss durch eure Rechtsabteilung geklärt werden. 

Wir klären euch über mögliche und zumutbare technische wie organisatorische Maßnahmen zum Schutz der nicht personenbezogenen Daten (wie z. B. Verschlüsselung, Zertifizierungen, Audits etc.) auf und planen und überwachen entsprechende Maßnahmen für euch.

Sicherstellung von Interoperabilität

Gemeinsame europäische Datenräume sind ein Kernstück der EU-Datenstrategie: Sie fördern Forschung und sollen helfen, die Entwicklung neuer Produkte und Services voranzutreiben. Eine der wichtigsten Voraussetzungen ist Interoperabilität – also reibungslose Datenflüsse innerhalb und zwischen Datenräumen. 

Wir unterstützen euch dabei, die grundlegenden Teilnahme- und Interoperabilitätsanforderungen praxisgerecht zu erfüllen. Intelligente Verträge ("smart contracts") sind ein Schlüsselbaustein der Interoperabilität. Mit unseren praxiserprobten, marktüblichen Vertragsmustern, die sich einfach und schnell auf eure Cloud-Service-Verträge adaptieren lassen, werden die wesentlichen Anforderungen an intelligente Verträge verlässlich erfüllt.

Assurance Support

Ihr wollt proaktiv prüfen, ob und wie gut ihr die Anforderungen aus dem Data Act umgesetzt habt?

Wir übernehmen auf Grundlage eines Soll-Ist-Vergleichs die Vorbereitung, Begleitung und Nachbereitung eurer Qualitätsprüfung und stellen Daten, Informationen und Dokumente strukturiert zusammen, inklusive Vorprüfung auf Vollständigkeit und Anforderungszuordnung sowie Identifikation relevanter Evidenzen. 

Gleichzeitig schließen wir erste Umsetzungslücken ("quick wins"). Bei Bedarf nehmen wir dabei die Perspektive eurer Kunden oder eines Datennutzers ein. Wir orchestrieren alle Beteiligten mit klaren Briefings und reibungsloser Abstimmung. Nach der Prüfung unterstützen wir euch bei der Bearbeitung festgestellter Defizite und führen eine verbindliche Fortschrittskontrolle der Maßnahmen zum Schließen der Lücken durch.

Icon Lupe

Data Act

Umsetzung klären, Handlungsbedarfe sichtbar machen!

Icon Glühbirne/DORA

Kostenloses Erstgespräch sichern

Nutze ein unverbindliches, kostenloses Erstgespräch, um den aktuellen Stand zur Umsetzung des Data Acts präzise zu klären und konkrete Handlungsbedarfe sichtbar zu machen. 

Im Gespräch klären wir die folgenden Fragen:

  • Status-Check: Wo steht ihr heute bei Datenzugang, Interoperabilität, Cloud‑Switching und fairen Vertragsbedingungen?
  • Priorisierte Maßnahmen: Welche Schritte sind jetzt wirklich notwendig – effizient, nachweisfähig und ressourcenschonend?
  • Marktübliche Spielräume: Welche Gestaltungsmöglichkeiten sind praktikabel und anerkannt, z. B. bei Vertragsklauseln, Schnittstellen, Exportfunktionen und Exit‑Strategien?

Kostenloses Erstgespräch vereinbaren    Mehr erfahren 

Den EU Data Act und seine Ziele verstehen

Der Data Act ist eine EU-Verordnung zur Stärkung der europäischen Datenwirtschaft, die seit September 2025 gilt und Unternehmen aller Größen und Branchen betrifft. Ziel der Verordnung ist es, Innovationen zu fördern, einen wettbewerbsfähigen und fairen Datenmarkt zu schaffen und klare Regeln für den Zugang zu und die Nutzung von Daten – insbesondere industrielle und IoT-Daten – zu etablieren. Nutzer vernetzter Produkte bekommen so mehr Kontrolle über die von ihnen generierten Daten.

Das deutsche Durchführungsgesetz zum Data Act, mit dem die deutsche Behörden- und Aufsichtsstruktur festgelegt werden soll, ist derzeit (Stand März 2026) noch in den Beratungen, soll aber voraussichtlich noch in diesem Jahr verabschiedet werden.

Der Data Act wird dabei flankiert vom Data Governance Act, einer EU-Verordnung, die das Vertrauen in freiwillige Mechanismen des Datenaustauschs stärken und so einen EU-Binnenmarkt für Daten schaffen soll.

Icon Datenaustausch

Daten­weiter­gabe von Unter­nehmen an Ver­braucher und an andere Unter­nehmen

 

(Kapitel II)

Icon Ausrufezeichen

Pflichten der Daten­inhaber, die Daten bereit­stellen müssen


(Kapitel III)

Icon Paragraph

Missbräuchliche Vertrags­klauseln in Bezug auf Daten­zugang und –nutzung

 

(Kapitel IV)

Icon Schachfiguren

Daten­bereit­stellung für öffent­liche Stellen wegen Notwen­digkeit und unrecht­mäßiger staat­licher Zugang

 

(Kapitel V und VII)

Icon Wegweise Exit

Wechsel zwischen Daten­verar­bei­tungs­diens­ten und Inter­ope­rabi­li­tät

 

(Kapitel VI und VIII)

Nach dem Data Act betroffene Datenkategorien kennen

Von den Regelungen des Data Acts betroffene Daten sind nur die Rohdaten bzw. nur solche vorverarbeiteten Daten, auf die ohne Weiteres zugegriffen werden kann. Diese Daten müssen aus vernetzten Produkten und damit verbundenen Dienstleistungen stammen, also etwa aus vernetzten Autos oder Smart-Home-Appliances, aber auch von Industriemaschinen oder Robotern. Verbundene Dienste sind beispielsweise Apps, die Sensoren eines vernetzten Produkts auslesen und gegebenenfalls manipulieren können.

Dabei handelt es sich um die folgenden Kategorien von Daten:

1. Produktdaten

2. Daten verbundener Dienstleistungen

3. Leicht zugängliche Daten

4. Aufbereitete Daten

5. Personenbezogene und nicht-personenbezogene Daten

6. Geschäftsgeheimnisse

  • Produktdaten

    Produktdaten

    Produkt­daten sind Daten, die von einem ver­netzten Pro­dukt er­fasst, gene­riert oder ge­sammelt wer­den und sich auf dessen Leis­tung, Nut­zung oder Umge­bung bezie­hen. Die Daten sollten vom Her­steller so konzi­piert worden sein, dass sie von einem Nutzer, Daten­inhaber oder einem Dritten aus dem ver­netzten Pro­dukt abge­rufen werden können, vgl. Art. 2 Abs. 15; Erwägungs­grund 15 Data Act (Bei­spiele: Sensor­daten, wie Tem­peratur, Geschwin­dig­keit, Posi­tion etc. Nicht unter die Produkt­daten fallen z. B. Betriebs­an­lei­tungen oder Packungs­be­schrei­bungen).

  • Daten verbundener Dienstleistungen

    Daten verbundener Dienstleistungen

    Daten verbundener Dienst­leistungen sind Daten, die Hand­lungen, Unter­lassungen und Ereig­nisse des Nutzers im Zusam­men­hang mit dem ver­netzten Pro­dukt wäh­rend der Erbringung einer zuge­hörigen Dienst­leistung dar­stellen und durch den An­bie­ter der Dienst­leistung generiert werden, vgl. Art. 2 Abs. 16; Erwägungs­gründe 15 und 17 Data Act (Beispiele: Log-in-Zeit­punkte, Ver­wen­dungs­dauer, Fehler­mel­dungen etc.)

  • Leicht zugängliche Daten

    Leicht zugängliche Daten

    Leicht zugäng­liche Daten sind Produkt­daten und zuge­hörige Dienst­daten, die ein Daten­inhaber ohne un­ver­hält­nis­mäßigen Auf­wand erhal­ten kann, wobei dies nur Daten betrifft, die nach Inkraft­treten des Data Acts erzeugt oder erhoben wurden, vgl. Art. 2 Abs. 17; Er­wä­gungs­gründe 20 und 21 Data Act (Beispiele: 
    Daten, die mittels einer ein­fachen Opera­tion durch den Nutzer extra­hiert werden können)

  • Aufbereitete Daten

    Aufbereitete Daten

    Bei auf­be­rei­te­ten Da­ten ist der Da­ten­in­ha­ber nicht ver­pflich­tet, we­sent­li­che In­ves­ti­tio­nen in Be­rei­ni­gung und Trans­for­ma­tion vor­zu­neh­men. Sol­che Leis­tun­gen kön­nen dem geisti­gen Eigen­tum zu­zu­rech­nen sein. 

    Die be­reit­zu­stellen­den Da­ten sol­len ein­schlä­gige Meta­da­ten inkl. Kon­text und Zeit­stem­pel ent­hal­ten, um sie nutz­bar zu ma­chen. Abge­lei­tete In­for­ma­tio­nen, etwa durch auf­wän­dige pro­prie­täre Algo­rith­men, ge­hö­ren nicht dazu (Er­wä­gungs­grund 15). Bei­spie­le: er­fasste Da­ten ein­zel­ner oder ver­netz­ter Sen­soren, je­doch hoch­gra­dig an­ge­rei­cher­te oder durch er­heb­li­che Zu­satz­in­vesti­tio­nen er­zeug­te Da­ten sowie In­hal­te des geis­ti­gen Ei­ge­ntums nicht. 

  • Personenbezogene und nicht-personenbezogene Daten

    Personenbezogene und nicht-personenbezogene Daten

    Bei personenbezogene und nicht-personenbezogene Daten haben Nutzer das Recht, auf sämtliche Daten zuzugreifen, die vom vernetzten Produkt oder der verbundenen Dienstleistung generiert werden, und zwar unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Allerdings muss bei der Verarbeitung dieser Daten die DSGVO beachtet werden, vgl. Erwägungsgründe 25 und 35 Data Act.

  • Geschäftsgeheimnisse

    Geschäftsgeheimnisse

    Auch Geschäfts­geheim­nisse sollen nicht ver­raten werden müssen. Für diese Art von Daten gibt es einen be­son­deren Mecha­nis­mus (die "Hand­bremse für Geschäfts­geheim­nisse"), die einen Aus­gleich zu finden sucht, vgl. Art. 4 Abs. 6, Art. 5 Abs. 9; Erwägungs­grund 31 Data Act

Kontakt aufnehmen

Wichtige Quellen und Materialien zum Data Act im Überblick

Für die Anwendung des Data Acts und die Umsetzung der damit verbundenen Anforderungen zu vernetzten Produkten und damit verbundenen Dienstleistungen solltest du folgende Quellen und Materialien kennen. Mit unserer Regulatory Advisory halten wir dich zudem über Aktualisierungen, Änderungen und Ergänzungen auf dem Laufenden. 

Icon Paragraph §

Data Act (Verordnung (EU) 2023/2854) und Durch­führungs­gesetz

Europäische Union

Mehr erfahren

Data Governance Act (Verordnung (EU) 2022/868)
 

Europäische Union

Mehr erfahren

FAQ zum Data Act

EU-Kommission

Mehr erfahren

Icon Checkliste

Erläuterungen zum Data Act

EU-Kommission

Mehr erfahren

Icon Glühbirne Tipp Idee

Data Act Legal Helpdesk

EU-Kommission

Mehr erfahren

Auch interessant für dich

CloudGate

DORA-Tool: CloudGate

Kennst du CloudGate, unser RegTech-Tool für Governance, Risk & Compliance? Hier erfährst du mehr und kannst es kostenlos testen.

Whitepaper DORA-Informationsregister

Whitepaper: DORA-Informationsregister

Lest im kostenlosen Whitepaper, wie Finanzunternehmen ihre IKT-Drittdienstleister dokumentieren und überwachen sollten - inklusive Update 2025. Jetzt downloaden!

GRC-Seminare

GRC-Seminare

Du willst mit deinem Team Innovationen vorantreiben, wenn es um GRC geht? Dann buche für euch eines unserer Seminare!

Sebastian Dosch
Dein Experte für
den EU Data Act
mf Icon male

Sebastian Dosch
Enabler und Principal Consultant

Du hast Fragen zum EU Data Act oder einem anderen Regulatorik-Thema? Sebastian Dosch hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Cloud Switching

Cloud Switching im Kontext des Data Act bezeichnet den rechtlich abgesicherten Wechsel eines Kunden zwischen Anbietern von Datenverarbeitungsdiensten (insbesondere Cloud- und Edge‑Services) – entweder zu einem funktional gleichartigen Dienst eines anderen Providers, zurück ins eigene On‑Premises‑Umfeld oder parallel zu mehreren Providern zugleich, mit möglichst wenig Reibung, Zeitverlust und Kostenbarrieren.

Ziel ist es, Vendor-Lock‑in zu reduzieren und einen wettbewerblichen Markt zu fördern, indem technische, vertragliche und kommerzielle Hindernisse für den Wechsel abgebaut werden und der Wechsel "frei, schnell und flüssig" möglich wird.

×

Portabilität

Portabilität im Kontext des Data Act bedeutet, dass Nutzer Daten, die durch vernetzte Produkte und verbundene Dienste entstehen, abrufen und in anderen Diensten weiterverwenden können – und dass Anbieter technische und vertragliche Hürden für diesen Transfer abbauen müssen, insgesamt also den Zugang erleichtern.

Praktisch umfasst das die Bereitstellung der Nutzungsdaten in strukturierten, gängigen, maschinenlesbaren Formaten, damit sie ohne Einschränkungen weiterverwendet werden können.

×

Interoperabilität

Interoperabilität ist die Fähigkeit von zwei oder mehr Datenräumen oder Kommunikationsnetzen, Systemen, vernetzten Produkten, Anwendungen, Datenverarbeitungsdiensten oder Komponenten, Daten auszutauschen und zu nutzen, um ihre Funktionen auszuführen.

Dabei ist zu beachten, dass auch für Datenverarbeitungsdienste offene Interoperabilitäts-Spezifikationen und harmonisierte Normen gelten, wobei bevorzugt Funktionsäquivalenz hergestellt werden soll. Wir helfen euch dabei, die Übersicht über diese Regelungen zu behalten und insbesondere die Funktionsäquivalenz herzustellen

×

Datenaustausch und -Nutzung

Das Internet of Things (IoT) wächst stetig: Von Smart‑Home‑Geräten über Autos bis zu Apps entstehen fortlaufend Nutzungsdaten. Bisher fehlte Nutzerinnen und Nutzern oft der Zugriff, während Hersteller und Dienstleister die Daten zurückhielten.

Der Data Act schafft hier Pflichten und Chancen: datengetriebene Geschäftsmodelle und Innovation werden erleichtert bzw. ermöglicht, europäische Datenplattformen bieten strukturierten Zugang zu wertvollen Informationen, Wettbewerb wird gefördert.

Nach der Verordnung sollen Daten volatil und nutzbar werden. Dazu sind nicht nur technische Schnittstellen erforderlich, sondern vor allen Dingen auch eine ausreichende Governance, um Verantwortlichkeiten zu verteilen und korrekt und schnell reagieren zu können auf entsprechende Anfragen.

×

Digital Trust

Der Data Act leistet einen substanziellen Beitrag zu "Digital Trust", weil er Rechtsklarheit über den Zugang zu und die Nutzung von Daten schafft und Nutzer sowie Unternehmen verlässlichere Rahmenbedingungen für datengetriebene Geschäftsmodelle erhalten.

Er stärkt einen fairen, wettbewerblichen Datenmarkt, indem er Nutzern von vernetzten Produkten den Zugriff auf ihre Nutzungsdaten ermöglicht und klare Regeln für deren Weitergabe an Dritte setzt.
Zentral für digitales Vertrauen sind hier an erster Stelle die Vorgaben zu den Datenverarbeitungsdiensten (Cloud/Edge): Der Data Act adressiert Lock‑in‑Risiken und ermöglicht Cloud‑Switching durch Interoperabilitäts- und Portabilitätsanforderungen, sodass Wechsel zwischen Anbietern technisch und vertraglich erleichtert werden.

×

Finanz- und Gesundheitsbranche

Der EU-Data Act wirkt funktions- statt sektorspezifisch: Entscheidend ist die Rolle im Datenökosystem (wer Daten erzeugt, verarbeitet, bereitstellt oder wirtschaftlich verwertet), nicht die Branche allein.
Unternehmen der Finanz- sowie der Gesundheitsbranche unterschätzen ihre Betroffenheit, weil sie sich primär als Leistungserbringer statt als Datenanbieter verstehen.

Banken, Versicherer und FinTechs mit ihren digitalen Kundendiensten sind daher vom Data Act gleichermaßen betroffen wie Hersteller vernetzter Medizinprodukte, Anbieter von Health-Apps und Telemedizin-Plattformen.

In beiden Branchen gelten die Pflichten aus dem Data Act zusätzlich zu bestehenden Regelwerken wie z. B. DORA und DSGVO oder MDR* und EHDS**. Der Data Act erweitert den Datenzugang - er ersetzt also keine Datenschutz- oder Produktsicherheitsanforderungen. Für eine effiziente und wirksame Umsetzung ist daher das kohärente Ineinandergreifen der verschiedenen Regelungen von zentraler Bedeutung.

* EU-Medizinprodukteverordnung (MDR) – Verordnung (EU) 2017/745
** European Health Data Space (EHDS) – Verordnung (EU) 2025/327

×

Betroffene

Betroffener im Verständnis des Data Acts:

  • Dateninhaber, also eine natürliche oder juristische Person, die nach dem Data Act, nach geltendem Unionsrecht oder nach nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts berechtigt oder verpflichtet ist, Daten – soweit vertraglich vereinbart, auch Produktdaten oder verbundene Dienstdaten – zu nutzen und bereitzustellen, die sie während der Erbringung eines verbundenen Dienstes abgerufen oder generiert hat (Art. 2 Ziff. 13 Data Act).
  • Datenempfänger, also eine natürliche oder juristische Person, die zu Zwecken innerhalb ihrer gewerblichen, geschäftlichen, handwerklichen oder beruflichen Tätigkeit handelt, ohne Nutzer eines vernetzten Produktes oder verbundenen Dienstes zu sein, und dem vom Dateninhaber Daten bereitgestellt werden, einschließlich eines Dritten, dem der Dateninhaber auf Verlangen des Nutzers oder im Einklang mit einer rechtlichen Verpflichtung aus anderem Unionsrecht oder aus nationalen Rechtsvorschriften, die im Einklang mit Unionsrecht erlassen wurden, Daten bereitstellt (Art. 2 Ziff. 14 Data Act).
  • Datennutzer, also eine natürliche oder juristische Person, die ein vernetztes Produkt besitzt oder der vertraglich zeitweilige Rechte für die Nutzung des vernetzten Produkts übertragen wurden oder die verbundenen Dienste in Anspruch nimmt (Art. 2 Ziff. 12 Data Act).
×

Datenverarbeitungsdienste

Bei der Betrachtung, wie sich die Umsetzung der Anforderungen aus dem Data Act auf die Datenverarbeitungsdienste auswirken, berücksichtigen wir insbesondere folgende Aspekte:

  • Anbieterwechsel (Switching)
  • Betrieb (Leistungserbringung)
  • Datenzugang und Datenweitergabe (Portabilität)
  • Fristen
  • Gebührenabbau (Wechselentgelte, Umgang mit etwaigen Mindestabnahmen etc.)
  • Risikovorsorge
  • Technische Interoperabilität (APIs, Schnittstellen, Standards etc.)
  • Überwachung (Einhaltung der Anforderungen)
  • Verwendung der EU-Mustervertragsklauseln für den Datenaustausch (MCT)  sowie der -Standardvertragsklauseln für den Wechsel zwischen Datenverarbeitungsdiensten (SCC)
×

Außergewöhnlicher Bedarf im Verständnis des Data Act

Europäische Behörden dürfen nicht ohne Weiteres von Unternehmen die Herausgabe von Daten verlangen. Dazu muss ein außergewöhnlicher Bedarf festgestellt werden:
Hierzu gehören 

  • zum einen Notfälle, aber auch 
  • Fälle, in denen Statistiken erstellt müssen oder 
  • Fälle, in denen der öffentlichen Stelle keine anderen Mittel zur Erlangung dieser Daten zur Verfügung stehen.

Die Behörden sind hier durch den Data Act an zahlreiche Formvorschriften gebunden, die sämtlich erfüllt sein müssen, um das Datenbereitstellungsverlangen zu rechtfertigen. Auch wenn die Daten gegebenenfalls bereits an eine andere europäische Behörde übermittelt worden sind, greift die Verpflichtung zur Herausgabe nicht.

Ausgleich für die Datenherausgabe in öffentlichem Interesse

Die Behörde muss ggf. nach dem folgenden Schema einen Ausgleich erbringen:

Ausgleich für die Datenherausgabe
×

Schutz nicht-personenbezogener Daten

Nicht-personenbezogene Daten sind solche, "die keine personenbezogenen Daten" sind – wobei die Definition der personenbezogenen Daten sich nach der DSGVO richtet:

"Personenbezogene Daten" sind demnach alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

×

Datenraum

Ein Datenraum vereint relevante Dateninfrastrukturen und Governance-Rahmenbedingungen, um die Zusammenführung und gemeinsame Nutzung von Daten zu erleichtern (vgl. hierzu das aktuelle Arbeitsdokument der EU-Kommission über gemeinsame europäische Datenräume / Stand März 2026)

×

Wesentliche Anforderungen an intelligente Verträge

Anbieter entsprechender Anwendungen müssen folgende wesentliche Anforderungen an intelligente Verträge sicherstellen:

  • Robustheit und Zugangskontrolle, um Funktionsfehler zu vermeiden und Manipulation durch Dritte zu verhindern
  • Mechanismen zur sicheren Beendigung von Transaktionen
  • Datenarchivierung und Datenkontinuität
  • Übereinstimmung mit den Bedingungen einer entsprechenden Datenweitergabe-Vereinbarung

 

×

Beteiligte

Zu den im Rahmen der Qualitätsprüfung einzubindenden Rollen und Funktionen gehören erfahrungsgemäß u.a. Verantwortliche im Unternehmen für

  • Business Continuity Management
  • Detection und Crypto Management 
  • Betrieb und Entwicklung 
  • Datenschutz
  • Informationssicherheit
  • IT‑Security
  • Recht 
  • Risikomanagement
×

Data Act

Die Datenverordnung*, häufig unter dem Namen Data Act zitiert, ist am 12. September 2025 EU-weit direkt anwendbares Recht geworden.

Der Data Act macht einheitliche Vorgaben für Unternehmen, die ihre vernetzten Produkte und verbundene Dienste in der EU anbieten. Für Pflichten zur Gestaltung dieser Produkte und Dienste besteht noch eine Übergangsfrist bis zum 12. September 2026.

*Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 (Datenverordnung) 

Data Act
×

Deutsches Durchführungsgesetz zum Data Act

Über den aktuellen Stand des Gesetzgebungsverfahrens zum Gesetz zur Durchführung des Data Acts* kann man sich beim Bundesministerium für Digitales und Staatsmodernisierung erkundigen.

* Gesetz zur Durchführung der Verordnung (EU) 2023/2854 des Europäischen Parlaments und des Rates vom 13. Dezember 2023 über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung sowie zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie (EU) 2020/1828 

×

Data Governance Act

Der Daten-Governance-Rechtsakt* ist eine europäische Verordnung, die am 23. Juni 2022 in Kraft getreten ist und für seine Geltung keiner weiteren Umsetzung durch die EU-Mitgliedstaaten bedarf. Nach einer Übergangsfrist entfaltet er seit dem 24. September 2023 volle Geltung. 

Die Verordnung soll gemeinsame europäische Datenräume in einem Binnenmarkt für Daten zur rechtskonformen Verwendung von Daten aus der EU und aus Drittländern unabhängig von dem Ort der Speicherung schaffen.

*Verordnung (EU) 2022/868 des Europäischen Parlaments und des Rates vom 30. Mai 2022 über europäische Daten-Governance und zur Änderung der Verordnung (EU) 2018/1724 (Daten-Governance-Rechtsakt)

×

Quellen und Materialien zum Data Act

Data Act Wortlaut:
eur-lex.europa.eu/legal-content/DE/TXT/

mit Berichtigungen:
eur-lex.europa.eu/legal-content/DE/TXT/PDF/

Deutsches Durchführungsgesetz:
bmds.bund.de/service/gesetzgebungsverfahren/gesetz-zur-durchfuehrung-des-data-act