Data Act 2025: Pflichten & Fristen für Unternehmen
Ein Bericht der EcomTask ©
Ein Bericht der EcomTask ©
Ein Bericht der EcomTask ©
Ab dem 12. September 2025 tritt der EU-Data Act in weiten Teilen in Kraft. Für Unternehmen bedeutet das neue Pflichten im Umgang mit Daten, klare Regeln zur Bereitstellung und Nutzung sowie verbindliche Vorgaben für Cloud-Wechsel und Interoperabilität. Ziel ist es, Nutzerrechte zu stärken, Datenflüsse transparenter zu machen und Abhängigkeiten von Anbietern zu reduzieren. Wer vernetzte Produkte oder digitale Dienste anbietet, sollte sich jetzt intensiv vorbereiten, um rechtliche Risiken zu vermeiden und Wettbewerbsvorteile zu sichern.
Welche Unternehmen betroffen sind
Der Data Act betrifft alle Anbieter von vernetzten Produkten und verbundenen Diensten, die während der Nutzung Daten erzeugen. Dazu zählen beispielsweise Maschinen mit Telemetrie-Modulen, Fahrzeuge mit Konnektivität, Medizintechnik oder smarte Endgeräte. Auch Cloud- und Edge-Provider in der EU fallen unter die Vorgaben.
Betroffen sind nicht nur die Hersteller, sondern auch Dienstleister, die mit diesen Produkten gekoppelte Services anbieten. Der Act regelt außerdem, wie Daten an Dritte weitergegeben werden dürfen, wie Vertragsbedingungen gestaltet sein müssen und welche Mindeststandards bei Interoperabilität einzuhalten sind. Unternehmen, die diese Punkte nicht beachten, laufen Gefahr, gegen europäisches Recht zu verstoßen – mit möglichen Bußgeldern oder Einschränkungen beim Marktzugang.
Zentrale Pflichten ab 12. September 2025
Unternehmen müssen ab Herbst 2025 zahlreiche konkrete Vorgaben umsetzen.
Eine Kernpflicht betrifft den Zugang zu Daten: Nutzer erhalten kostenfrei, schnell und in maschinenlesbarem Format Zugriff auf die „readily available data“ ihrer Produkte oder Dienste. Das kann sowohl als Exportdatei (z. B. CSV oder JSON) als auch per Echtzeit-Streaming erfolgen.
Auf Wunsch müssen Unternehmen dieselben Daten auch direkt an einen vom Nutzer benannten Dritten weitergeben – beispielsweise an einen Wartungsdienstleister. Gatekeeper-Plattformen nach dem Digital Markets Act sind hiervon ausgeschlossen, die Pflicht richtet sich primär an Empfänger in der EU.
Weitere Pflichten umfassen:
Vorvertragliche Transparenz: Kunden müssen vor Kauf oder Vertragsabschluss über Art, Format und Verfügbarkeit der Daten informiert werden.
Fairness (FRAND-Prinzip): Verträge zur Datenweitergabe müssen fair, angemessen und nicht-diskriminierend gestaltet sein.
Schutz vor unfairen B2B-Klauseln: Einseitige oder übermäßig restriktive Vertragsbedingungen sind unwirksam.
Behördenzugriff: In Notfällen oder bei öffentlichem Interesse dürfen Behörden Daten anfordern, wobei enge Grenzen und Fristen gelten.
Cloud/Edge-Wechsel: Anbieter müssen technische und organisatorische Voraussetzungen schaffen, um Kunden den Wechsel zu anderen Services zu ermöglichen – Gebühren werden bis Anfang 2027 vollständig abgeschafft.
Schutz vor unrechtmäßigem Drittlandzugriff: Cloud-Anbieter müssen organisatorische und technische Maßnahmen ergreifen, um EU-Daten vor unzulässigen Zugriffen aus Drittländern zu schützen.
Interoperabilität: Schnittstellen und Daten müssen so gestaltet sein, dass ein einfacher Austausch möglich ist.
Smart Contracts: Wer automatisierte Verträge für Datenteilung nutzt, muss Sicherheits- und Auditfunktionen einbauen.
Fristen und Übergangsregelungen
Neben dem Startdatum am 12. September 2025 sieht der Data Act weitere gestaffelte Fristen vor. Ab dem 12. September 2026 gilt eine Designpflicht: Neue Produkte und Dienste müssen den Datenzugang von Beginn an berücksichtigen.
Ab dem 12. Januar 2027 dürfen Cloud-Anbieter keine Switching-Gebühren mehr verlangen, was den Anbieterwechsel erheblich erleichtert. Ein Jahr später, am 12. September 2027, weitet sich das Verbot unfairer B2B-Klauseln auch auf bestehende Altverträge aus.
Für Unternehmen bedeutet das, dass sie nicht nur kurzfristig handeln müssen, sondern auch eine langfristige Strategie entwickeln sollten. Wer seine Prozesse frühzeitig anpasst, kann Übergangsfristen optimal nutzen und vermeidet teure Nachbesserungen.
Umsetzung in der Praxis
Die Umsetzung des Data Act erfordert ein strukturiertes Vorgehen. Zunächst sollten Unternehmen prüfen, ob sie mit ihren Produkten oder Services unter den Anwendungsbereich fallen. Für betroffene Unternehmen empfiehlt es sich, ein zentrales Dateninventar aufzubauen: Hier wird dokumentiert, welche Daten entstehen, in welchem Format sie vorliegen, wie lange sie gespeichert werden und wie sie bereitgestellt werden können.
Wichtig ist außerdem, Prozesse für Nutzeranfragen klar zu definieren. Dazu gehören eine zentrale Kontaktstelle, transparente Abläufe und Service-Level, die schnelle Reaktionen sicherstellen. Unternehmen sollten zudem prüfen, wie sie Geschäftsgeheimnisse schützen können – etwa durch NDAs, technische Zugriffskontrollen oder Pseudonymisierung.
Ein weiterer zentraler Punkt ist die Vertragsgestaltung. Bestehende Verträge müssen überprüft und ggf. durch Data-Sharing-Addenda ergänzt werden. Dort sollten Zweck, Umfang, Formate, Vergütung und Streitbeilegung geregelt sein. Auch ein klarer Cloud-Exit-Plan sollte in die Verträge integriert werden, damit Kunden reibungslos den Anbieter wechseln können.
Data Act und DSGVO im Zusammenspiel
Der Data Act verändert nicht die Vorgaben der Datenschutz-Grundverordnung. Sobald personenbezogene Daten betroffen sind, gilt weiterhin die DSGVO – einschließlich Rechtsgrundlage, Zweckbindung, Transparenz und Rechte der Betroffenen.
Der Data Act ergänzt diese Regelungen vielmehr: Er erweitert die Datenportabilität auf nicht-personenbezogene Gerätedaten und regelt die direkte Weitergabe an Dritte. Unternehmen müssen deshalb sicherstellen, dass beide Rechtsrahmen ineinandergreifen. Ein sauber dokumentiertes Dateninventar hilft, Konflikte zu vermeiden und Compliance nachzuweisen.
Chancen für Unternehmen
Auch wenn die neuen Pflichten zunächst nach mehr Bürokratie klingen, bietet der Data Act Chancen. Wer frühzeitig Transparenz schafft und Datenzugang professionell organisiert, stärkt das Vertrauen von Kunden und Geschäftspartnern. Gleichzeitig lassen sich neue datenbasierte Geschäftsmodelle entwickeln, wenn Unternehmen strukturierte und verlässliche Datenflüsse anbieten.
Zudem reduziert ein sauberer Cloud-Exit-Plan Abhängigkeiten von einzelnen Anbietern und eröffnet mehr Flexibilität. So wird der Data Act auch zu einem Treiber für Innovation und Wettbewerb. Unternehmen, die jetzt handeln, sichern sich langfristig Vorteile und reduzieren rechtliche Risiken.
Zusammenfassung
Der Data Act tritt am 12. September 2025 in Kraft und bringt für viele Unternehmen neue Pflichten: Datenzugang für Nutzer, Weitergabe an Dritte, faire Vertragsbedingungen, Cloud-Portabilität und mehr Interoperabilität. Fristen bis 2027 schaffen Übergänge, erfordern aber vorausschauendes Handeln. Wer Betroffenheit prüft, ein Dateninventar aufbaut, Prozesse und Verträge anpasst und Cloud-Strategien entwickelt, erfüllt nicht nur die gesetzlichen Anforderungen, sondern gewinnt auch Wettbewerbsvorteile.
Lass uns gemeinsam darüber sprechen, wie du DSGVO-konform KI in deine bestehenden Prozesse integrieren kannst. Buche dir ein 30-minütiges Gespräch mit uns – wir schauen ganz unverbindlich gemeinsam auf deine Prozesse.
👉🏼 Jetzt kostenloses Strategiegespräch vereinbaren!
FAQ:
1. Ab wann gilt der Data Act für Unternehmen?
Die Hauptpflichten treten am 12. September 2025 in Kraft. Weitere Fristen folgen 2026 und 2027.
2. Welche Daten müssen Unternehmen bereitstellen?
Bereitzustellen sind alle „readily available data“ in maschinenlesbarem Format, möglichst ohne Verzögerung und auf Wunsch auch an Dritte.
3. Welche Rolle spielt die DSGVO beim Data Act?
Die DSGVO bleibt maßgeblich für personenbezogene Daten. Der Data Act regelt vor allem den Zugang zu nicht-personenbezogenen Daten und deren Weitergabe.
4. Was bedeutet FRAND im Zusammenhang mit Daten?
FRAND steht für faire, angemessene und nicht-diskriminierende Vertragsbedingungen. Datenweitergabe darf kostenbasiert vergütet werden, muss aber transparent und fair sein.
5. Müssen Unternehmen ihre Cloud-Verträge anpassen?
Ja, Cloud-Anbieter müssen Switching ermöglichen und bis 2027 alle Gebühren dafür abschaffen. Verträge sollten Exit-Pläne und klare Exportmöglichkeiten enthalten.
Ab dem 12. September 2025 tritt der EU-Data Act in weiten Teilen in Kraft. Für Unternehmen bedeutet das neue Pflichten im Umgang mit Daten, klare Regeln zur Bereitstellung und Nutzung sowie verbindliche Vorgaben für Cloud-Wechsel und Interoperabilität. Ziel ist es, Nutzerrechte zu stärken, Datenflüsse transparenter zu machen und Abhängigkeiten von Anbietern zu reduzieren. Wer vernetzte Produkte oder digitale Dienste anbietet, sollte sich jetzt intensiv vorbereiten, um rechtliche Risiken zu vermeiden und Wettbewerbsvorteile zu sichern.
Welche Unternehmen betroffen sind
Der Data Act betrifft alle Anbieter von vernetzten Produkten und verbundenen Diensten, die während der Nutzung Daten erzeugen. Dazu zählen beispielsweise Maschinen mit Telemetrie-Modulen, Fahrzeuge mit Konnektivität, Medizintechnik oder smarte Endgeräte. Auch Cloud- und Edge-Provider in der EU fallen unter die Vorgaben.
Betroffen sind nicht nur die Hersteller, sondern auch Dienstleister, die mit diesen Produkten gekoppelte Services anbieten. Der Act regelt außerdem, wie Daten an Dritte weitergegeben werden dürfen, wie Vertragsbedingungen gestaltet sein müssen und welche Mindeststandards bei Interoperabilität einzuhalten sind. Unternehmen, die diese Punkte nicht beachten, laufen Gefahr, gegen europäisches Recht zu verstoßen – mit möglichen Bußgeldern oder Einschränkungen beim Marktzugang.
Zentrale Pflichten ab 12. September 2025
Unternehmen müssen ab Herbst 2025 zahlreiche konkrete Vorgaben umsetzen.
Eine Kernpflicht betrifft den Zugang zu Daten: Nutzer erhalten kostenfrei, schnell und in maschinenlesbarem Format Zugriff auf die „readily available data“ ihrer Produkte oder Dienste. Das kann sowohl als Exportdatei (z. B. CSV oder JSON) als auch per Echtzeit-Streaming erfolgen.
Auf Wunsch müssen Unternehmen dieselben Daten auch direkt an einen vom Nutzer benannten Dritten weitergeben – beispielsweise an einen Wartungsdienstleister. Gatekeeper-Plattformen nach dem Digital Markets Act sind hiervon ausgeschlossen, die Pflicht richtet sich primär an Empfänger in der EU.
Weitere Pflichten umfassen:
Vorvertragliche Transparenz: Kunden müssen vor Kauf oder Vertragsabschluss über Art, Format und Verfügbarkeit der Daten informiert werden.
Fairness (FRAND-Prinzip): Verträge zur Datenweitergabe müssen fair, angemessen und nicht-diskriminierend gestaltet sein.
Schutz vor unfairen B2B-Klauseln: Einseitige oder übermäßig restriktive Vertragsbedingungen sind unwirksam.
Behördenzugriff: In Notfällen oder bei öffentlichem Interesse dürfen Behörden Daten anfordern, wobei enge Grenzen und Fristen gelten.
Cloud/Edge-Wechsel: Anbieter müssen technische und organisatorische Voraussetzungen schaffen, um Kunden den Wechsel zu anderen Services zu ermöglichen – Gebühren werden bis Anfang 2027 vollständig abgeschafft.
Schutz vor unrechtmäßigem Drittlandzugriff: Cloud-Anbieter müssen organisatorische und technische Maßnahmen ergreifen, um EU-Daten vor unzulässigen Zugriffen aus Drittländern zu schützen.
Interoperabilität: Schnittstellen und Daten müssen so gestaltet sein, dass ein einfacher Austausch möglich ist.
Smart Contracts: Wer automatisierte Verträge für Datenteilung nutzt, muss Sicherheits- und Auditfunktionen einbauen.
Fristen und Übergangsregelungen
Neben dem Startdatum am 12. September 2025 sieht der Data Act weitere gestaffelte Fristen vor. Ab dem 12. September 2026 gilt eine Designpflicht: Neue Produkte und Dienste müssen den Datenzugang von Beginn an berücksichtigen.
Ab dem 12. Januar 2027 dürfen Cloud-Anbieter keine Switching-Gebühren mehr verlangen, was den Anbieterwechsel erheblich erleichtert. Ein Jahr später, am 12. September 2027, weitet sich das Verbot unfairer B2B-Klauseln auch auf bestehende Altverträge aus.
Für Unternehmen bedeutet das, dass sie nicht nur kurzfristig handeln müssen, sondern auch eine langfristige Strategie entwickeln sollten. Wer seine Prozesse frühzeitig anpasst, kann Übergangsfristen optimal nutzen und vermeidet teure Nachbesserungen.
Umsetzung in der Praxis
Die Umsetzung des Data Act erfordert ein strukturiertes Vorgehen. Zunächst sollten Unternehmen prüfen, ob sie mit ihren Produkten oder Services unter den Anwendungsbereich fallen. Für betroffene Unternehmen empfiehlt es sich, ein zentrales Dateninventar aufzubauen: Hier wird dokumentiert, welche Daten entstehen, in welchem Format sie vorliegen, wie lange sie gespeichert werden und wie sie bereitgestellt werden können.
Wichtig ist außerdem, Prozesse für Nutzeranfragen klar zu definieren. Dazu gehören eine zentrale Kontaktstelle, transparente Abläufe und Service-Level, die schnelle Reaktionen sicherstellen. Unternehmen sollten zudem prüfen, wie sie Geschäftsgeheimnisse schützen können – etwa durch NDAs, technische Zugriffskontrollen oder Pseudonymisierung.
Ein weiterer zentraler Punkt ist die Vertragsgestaltung. Bestehende Verträge müssen überprüft und ggf. durch Data-Sharing-Addenda ergänzt werden. Dort sollten Zweck, Umfang, Formate, Vergütung und Streitbeilegung geregelt sein. Auch ein klarer Cloud-Exit-Plan sollte in die Verträge integriert werden, damit Kunden reibungslos den Anbieter wechseln können.
Data Act und DSGVO im Zusammenspiel
Der Data Act verändert nicht die Vorgaben der Datenschutz-Grundverordnung. Sobald personenbezogene Daten betroffen sind, gilt weiterhin die DSGVO – einschließlich Rechtsgrundlage, Zweckbindung, Transparenz und Rechte der Betroffenen.
Der Data Act ergänzt diese Regelungen vielmehr: Er erweitert die Datenportabilität auf nicht-personenbezogene Gerätedaten und regelt die direkte Weitergabe an Dritte. Unternehmen müssen deshalb sicherstellen, dass beide Rechtsrahmen ineinandergreifen. Ein sauber dokumentiertes Dateninventar hilft, Konflikte zu vermeiden und Compliance nachzuweisen.
Chancen für Unternehmen
Auch wenn die neuen Pflichten zunächst nach mehr Bürokratie klingen, bietet der Data Act Chancen. Wer frühzeitig Transparenz schafft und Datenzugang professionell organisiert, stärkt das Vertrauen von Kunden und Geschäftspartnern. Gleichzeitig lassen sich neue datenbasierte Geschäftsmodelle entwickeln, wenn Unternehmen strukturierte und verlässliche Datenflüsse anbieten.
Zudem reduziert ein sauberer Cloud-Exit-Plan Abhängigkeiten von einzelnen Anbietern und eröffnet mehr Flexibilität. So wird der Data Act auch zu einem Treiber für Innovation und Wettbewerb. Unternehmen, die jetzt handeln, sichern sich langfristig Vorteile und reduzieren rechtliche Risiken.
Zusammenfassung
Der Data Act tritt am 12. September 2025 in Kraft und bringt für viele Unternehmen neue Pflichten: Datenzugang für Nutzer, Weitergabe an Dritte, faire Vertragsbedingungen, Cloud-Portabilität und mehr Interoperabilität. Fristen bis 2027 schaffen Übergänge, erfordern aber vorausschauendes Handeln. Wer Betroffenheit prüft, ein Dateninventar aufbaut, Prozesse und Verträge anpasst und Cloud-Strategien entwickelt, erfüllt nicht nur die gesetzlichen Anforderungen, sondern gewinnt auch Wettbewerbsvorteile.
Lass uns gemeinsam darüber sprechen, wie du DSGVO-konform KI in deine bestehenden Prozesse integrieren kannst. Buche dir ein 30-minütiges Gespräch mit uns – wir schauen ganz unverbindlich gemeinsam auf deine Prozesse.
👉🏼 Jetzt kostenloses Strategiegespräch vereinbaren!
FAQ:
1. Ab wann gilt der Data Act für Unternehmen?
Die Hauptpflichten treten am 12. September 2025 in Kraft. Weitere Fristen folgen 2026 und 2027.
2. Welche Daten müssen Unternehmen bereitstellen?
Bereitzustellen sind alle „readily available data“ in maschinenlesbarem Format, möglichst ohne Verzögerung und auf Wunsch auch an Dritte.
3. Welche Rolle spielt die DSGVO beim Data Act?
Die DSGVO bleibt maßgeblich für personenbezogene Daten. Der Data Act regelt vor allem den Zugang zu nicht-personenbezogenen Daten und deren Weitergabe.
4. Was bedeutet FRAND im Zusammenhang mit Daten?
FRAND steht für faire, angemessene und nicht-diskriminierende Vertragsbedingungen. Datenweitergabe darf kostenbasiert vergütet werden, muss aber transparent und fair sein.
5. Müssen Unternehmen ihre Cloud-Verträge anpassen?
Ja, Cloud-Anbieter müssen Switching ermöglichen und bis 2027 alle Gebühren dafür abschaffen. Verträge sollten Exit-Pläne und klare Exportmöglichkeiten enthalten.
Die ersten Schritte zur AI-Automatisierung
Die ersten Schritte zur AI-Automatisierung
Die ersten Schritte zur AI-Automatisierung
Vereinbare jetzt deinen Termin und sichere dir ein maßgeschneidertes Automatisierungskonzept für dein Unternehmen! Hast du bereits eine konkrete Idee? Dann melde dich unverbindlich zu unserem Onboarding an und erhalte dein kostenloses Konzept. Noch unsicher? Kein Problem – starte einfach mit unserem kurzen Quiz und finde heraus, welche Lösung am besten zu deinem Unternehmen passt!
Vereinbare jetzt deinen Termin und erhalte ein maßgeschneidertes Automatisierungskonzept für dein Unternehmen!
Hast du schon eine Idee? – Melde dich unverbindlich zu unserem Onboarding an und erhalte ein kostenloses Konzept!
AI Powered
24/7 verfügbar
Lifetime updates