EU Data Act 2025 – Neue Pflichten für Unternehmen in Deutschland
Juni 2025
By
Axiom Law
Der EU Data Act ist eine Verordnung der EU, die den fairen Zugang zu Daten sowie deren Nutzung erleichtern und fördern soll. Ziel ist es, das Potenzial von Daten besser auszuschöpfen und Innovationen gezielt zu fördern. Derzeit gilt eine Übergangsfrist – ab dem 12. September 2025 wird die Datenverordnung jedoch in allen Mitgliedstaaten unmittelbar geltendes Recht. Hier erfahren Sie mehr über die wichtigsten Regelungen – und wie Axiom Unternehmen, die vom Gesetz betroffen sind, bei der Umsetzung unterstützen kann.
Was ist der EU Data Act?
Der EU Data Act regelt den fairen Zugang zu Daten sowie deren Nutzung, insbesondere aus vernetzten Geräten im Internet of Things (IoT). Das EU-Datengesetz soll sicherstellen, dass Nutzerinnen und Nutzer sowie Unternehmen – insbesondere kleine und mittlere Betriebe – Daten aus vernetzten Maschinen und Cloud-Anwendungen einfacher nutzen können. Eine einheitliche Datenstruktur, etwa durch den Einsatz von Unified Namespaces, soll die technische Umsetzung erleichtern.
Die EU-Datenverordnung wurde am 27. November 2023 vom Rat der Europäischen Union beschlossen und ist am 11. Januar 2024 in Kraft getreten. Nach einer Übergangsfrist gilt sie ab dem 12. September 2025 verbindlich in allen Mitgliedstaaten der EU.
Einordnung & Ziel des EU Data Acts
Der EU Data Act ist eine zentrale Säule der europäischen Datenstrategie. Ziel des EU-Datengesetzes ist ein fairer, transparenter und innovationsfördernder Datenmarkt.
Warum ein Data Act?
Der Data Act EU regelt erstmals umfassend, wie Daten zwischen Unternehmen, Nutzer*innen und Behörden geteilt werden dürfen. Damit soll ein wettbewerbsfähiger europäischer Datenmarkt entstehen, der Innovationen fördert und die Kontrolle über eigene Daten stärkt.
Dabei verfolgt das EU-Datengesetz folgende Kernziele:
- Zugang zu IoT-Daten: Nutzende vernetzter Produkte erhalten mehr Kontrolle und können Daten an Dritte weitergeben.
- Vertragliche Fairness: Schutz vor unfairen Klauseln, besonders für KMU.
- B2G-Zugang: In Krisenfällen müssen Unternehmen relevante Daten an Behörden weitergeben.
- Cloudwechsel: Anbieter müssen einfache Wechselbedingungen schaffen.
- Interoperabilität: Die EU kann Standards für Datenformate und Schnittstellen vorgeben.
Der Anwendungsbereich des EU Data Acts ist breit gefasst: Er betrifft nahezu alle smarten Geräte, vernetzten Maschinen und digitalen Dienste. Das Gesetz legt fest, wer Daten unter welchen Bedingungen nutzen darf – unter Wahrung der wirtschaftlichen Interessen derjenigen, die die Daten bereitstellen.
Mit dem Fokus auf nicht-personenbezogene Daten ergänzt der EU Data Act die Datenschutz-Grundverordnung und stärkt so die Datensouveränität in Europa. Dadurch soll er fairen Wettbewerb, digitale Innovation und einen sicheren, funktionierenden Binnenmarkt für Daten fördern.
Abgrenzung zur DSGVO und anderen EU-Verordnungen
Der Data Act gilt ergänzend zur DSGVO. Beide Regelungen sind gleichzeitig zu beachten, wenn personenbezogene und nicht-personenbezogene Daten gemeinsam verarbeitet werden. Die DSGVO hat nur dann Vorrang, wenn konkrete Regelungskonflikte entstehen.
Wichtige Klarstellungen zur Abgrenzung:
- Die DSGVO hat nicht in jedem Fall Vorrang vor dem Data Act.
- Der Data Act enthält eigene Regelungen, die sich unter bestimmten Voraussetzungen auch auf personenbezogene Daten beziehen.
- In bestimmten Fällen spezifiziert und ergänzt der Data Act die DSGVO.
- Eine Verarbeitung personenbezogener Daten bedarf weiterhin einer eigenen Rechtsgrundlage.
- Der Data Act schafft keine eigene datenschutzrechtliche Rechtsgrundlage.
Die Verarbeitung personenbezogener Daten im Rahmen des Data Act muss immer im Einklang mit der DSGVO erfolgen. Oft ist eine Einwilligung erforderlich – alternativ kann auch eine andere gesetzliche Grundlage der DSGVO greifen, je nach Zweck der Verarbeitung. Unternehmen müssen bei der Anwendung des Data Act datenschutzrechtliche Vorgaben sorgfältig prüfen.
Der Data Act ergänzt den EU Data Governance Act: Während letzterer den freiwilligen Datenaustausch regelt, schafft der Data Act verbindliche Vorgaben für die Datennutzung. Zusammen stärken beide Regelwerke den europäischen Datenbinnenmarkt und fördern eine sichere, faire Datenverwertung.
Relevante Regelungen für Unternehmen
Kapitel II des EU Data Act enthält zentrale Vorschriften für Unternehmen im B2C- und B2B-Bereich. Im Mittelpunkt stehen die Datenweitergabe an Verbraucher*innen und der Datenaustausch zwischen Unternehmen. Ziel ist es, Transparenz zu schaffen und den Zugang zu Daten zu erleichtern. Damit sollen faire Wettbewerbsbedingungen im europäischen Binnenmarkt geschaffen werden.
Auswirkungen auf Cloud-Anbieter
Das EU-Datengesetz stärkt den Wettbewerb auf dem Cloud-Markt und schützt Unternehmen vor einseitigen Vertragsklauseln. Bei außergewöhnlichem öffentlichen Interesse – etwa in Krisensituationen – erhalten Behörden einen klar geregelten Zugang zu relevanten Daten. Der Schutz vor Zugriffen aus Drittländern wird durch Sicherheitsvorkehrungen garantiert. Zudem sorgt das Gesetz für Interoperabilität, damit Daten nahtlos zwischen Sektoren, EU-Ländern und Dienstanbietern fließen können.
Pflichten für Dateninhaber und Datenverarbeiter
Der Data Act verpflichtet Dateninhaber und Datenverarbeiter, Nutzer*innen umfassende Zugangsrechte zu IoT-Daten zu gewähren. Vor Vertragsabschluss müssen Nutzende über Art, Umfang und Zugriffsmöglichkeiten informiert werden. Eine Weitergabe an Dritte ist nur unter klar definierten Bedingungen zulässig – insbesondere nicht, wenn die Daten zur Entwicklung konkurrierender Produkte verwendet werden sollen. Hersteller müssen IoT-Produkte ab 2026 so gestalten, dass Nutzer*innen einfach auf ihre Daten zugreifen können („Access by Design“).
Personenbezogene Daten fallen dabei wie bereits erwähnt weiterhin unter die DSGVO. Vor der Weitergabe ist zu prüfen, ob dies erlaubt ist. Datenschutz hat Vorrang und erfordert oft eine Rechtsgrundlage oder Einwilligung. Der Schutz von Geschäftsgeheimnissen wird durch technische und organisatorische Maßnahmen sichergestellt.
Öffentliche Stellen dürfen Daten in Notfällen anfordern, etwa bei Katastrophen, mit klaren Zweck- und Zeitbegrenzungen. Hersteller und Verkäufer müssen Nutzer*innen zudem vor Vertragsschluss über die Datenverarbeitung und Zugangsrechte informieren.
Rechtliche Herausforderungen und Chancen
Der EU Data Act schafft neue rechtliche Rahmenbedingungen für den Umgang mit Daten in Europa. Dementsprechend stellt er Unternehmen bei der Anpassung von Verträgen, der Wahrung von Datensouveränität und bei Haftungsfragen auch vor organisatorische und regulatorische Herausforderungen. Gleichzeitig bieten sich Chancen für Innovation und fairen Wettbewerb durch klare Regeln zur Datenweitergabe und -nutzung.
Anpassung bestehender Vertragsstrukturen
Der Data Act EU verlangt, dass bei der Datenweitergabe Verträge ohne einseitige oder unfaire Klauseln abgeschlossen werden. Datenanbieter müssen faire, angemessene und nicht diskriminierende Bedingungen gewährleisten (FRAND für fair, reasonable and non-discriminatory). Verhandlungsprotokolle sind empfehlenswert, um die Nachvollziehbarkeit und Verhandelbarkeit zu dokumentieren.
Wichtig sind Anpassungen bei:
- Datenlizenz- und Datennutzungsverträgen: Festlegung von Datenumfang, Formaten, Sicherheit und Haftung
- SaaS-Verträgen: Berücksichtigung rechtlicher Risiken und des Datenexports
- AGB: Transparente Regeln zu Datenzugriff und Weitergabe ohne ungültige Klauseln
- Cloud-Service-Verträgen: Unterstützung für Datenmigration und Self-Service-Tools
- Kooperationsverträgen: Klare Regeln zu Zugriffsrechten und Datensicherheit
Die EU-Kommission stellt Musterklauseln bereit, die als Vorlage für Vertragsgestaltungen genutzt werden können. Die vertragliche Gestaltung ist entscheidend für die erfolgreiche Umsetzung des Data Acts.
Fragen der Datensouveränität und Haftung
Der EU Data Act fördert den freien Datenfluss innerhalb der EU und gewährleistet zugleich, dass der Datenschutz eingehalten wird. Er stärkt die Kontrolle von Unternehmen und Behörden über ihre Daten und schützt diese vor Missbrauch durch Dritte.
Wichtige Aspekte sind:
- Einheitliche Regeln zur Datennutzung und zum Datenzugang
- Schutz der Privatsphäre gemäß DSGVO
- Förderung der Interoperabilität für besseren Datenaustausch
Die Einhaltung der Vorschriften ist wichtig, da Verstöße zu hohen Bußgeldern und persönlicher Haftung der Geschäftsführer führen können. Eine frühzeitige Compliance-Strategie sowie klare Prozesse sind daher unerlässlich.
Interne Governance und technische Umsetzbarkeit
Unternehmen sollten frühzeitig prüfen, welche Rolle sie im Rahmen des EU Data Acts einnehmen und ihre jeweiligen Pflichten kennen. Dazu gehört:
- Analyse der vorhandenen Dateninfrastruktur
- Sicherstellung, dass Produkte und Dienste Datenzugang ermöglichen („Access by Design“)
- Vertragsüberarbeitungen zur Minimierung rechtlicher Risiken
- Schulung der Mitarbeitenden zu neuen Regelungen
- Implementierung technischer Compliance-Lösungen, um Datenverarbeitung rechtssicher zu dokumentieren
Ein strukturiertes Vorgehen fördert die rechtssichere Umsetzung der Vorgaben und reduziert Haftungsrisiken.
Wie Projektjurist*innen von Axiom unterstützen können
Die Projektjurist*innen von Axiom begleiten Unternehmen mit ihrer rechtlicher Expertise und unterstützen sie so aktiv wie flexibel bei der Umsetzung des EU Data Acts. Ihre Rechtsabteilung stößt beispielsweise bei der Vertragsprüfung, Anpassung von Geschäftsbedingungen und Entwicklung von Compliance-Strategien an ihre personellen Grenzen?
Wenn Sie Projektjurist*innen von Axiom engagieren, sind diese innerhalb von Tagen und so lange einsatzbereit, wie Sie es benötigen – egal ob wenige Wochen oder mehrere Jahre. Dadurch kann Ihr Unternehmen vorhandene Risiken minimieren und die neuen Anforderungen des Data Acts in all seinen Anwendungsbereichen effizient umsetzen.
Vorteile der Zusammenarbeit mit Projektjurist*innen von Axiom:
- Sofort einsatzbereit
- Flexible Laufzeiten
- Erstklassige Jurist*innen mit umfangreichen Branchenwissen und unternehmerischem Denken
- Aktiver Support
- 90% unserer Kunden bewerten die Jurist*innen von Axiom als gleichwertig oder besser als Anwält*innen von Kanzleien
Fazit
Der EU Data Act schafft einheitliche, rechtsverbindliche Regeln für den Umgang mit nicht-personenbezogenen Daten in der EU und stärkt damit die Datensouveränität. Er fördert die Datenverfügbarkeit, den fairen Zugang sowie die Interoperabilität über Branchen und Ländergrenzen hinweg.
Unternehmen sind gefordert, ihre Vertragsstrukturen, Produkte und Datenprozesse an die neuen Anforderungen anzupassen. Wer frühzeitig mit der Umsetzung beginnt, reduziert Compliance-Risiken, vermeidet Sanktionen und nutzt die Potenziale des digitalen Datenmarktes gezielt.
Juristische Expertise – wie sie Axiom bietet – ist dabei ein zentraler Erfolgsfaktor. Wir unterstützen Unternehmen kurzfristig und mit flexiblen Projektlaufzeiten bei der Anpassung von Cloud-, IoT- und Lizenzverträgen sowie der Einhaltung der FRAND-Prinzipien. Der Data Act EU bietet damit nicht nur Herausforderungen, sondern auch zahlreiche Chancen für datengetriebene Geschäftsmodelle in Europa.
FAQs
1. Welche Unternehmen sind vom EU Data Act betroffen?
Der Data Act gilt für Unternehmen, die Daten innerhalb der EU erzeugen, speichern oder weitergeben. Besonders betroffen sind Anbieter von Cloud-Diensten, IoT-Geräten und Datenplattformen.
2. Wie unterscheidet sich der Data Act von der DSGVO?
Die DSGVO schützt personenbezogene Daten und die Privatsphäre. Der Data Act regelt den fairen Zugang zu nicht-personenbezogenen Daten und deren Nutzung, um Innovation und Wettbewerb zu fördern.
3. Was bedeutet der Data Act für Cloud- und IoT-Anbieter?
Cloud- und IoT-Anbieter müssen Kund*innen einen einfachen Zugriff auf Daten ermöglichen und technische Schnittstellen für den Datenexport bereitstellen. Zudem gelten neue Wechsel- und Kündigungsregeln.
4. Müssen bestehende Verträge angepasst werden?
Ja, bestehende Verträge sollten auf Data Act-Konformität geprüft und angepasst werden. Insbesondere sind Datenlizenz- und Cloud-Verträge relevant, um faire und transparente Bedingungen sicherzustellen.
5. Wie kann Axiom bei der Umsetzung unterstützen?
Axiom bietet kurzfristig und flexibel juristische Beratung und Unterstützung bei Vertragsgestaltung, Compliance-Konzepten und Mitarbeiterschulungen. So helfen wir Unternehmen, die rechtssichere Umsetzung des EU Data Acts zu gewährleisten. Unsere Projektjurist*innen sind in wenigen Tagen einsatzbereit und übernehmen bei Belastungsspitzen und personellen Engpässen wichtige Aufgaben in der Rechtsabteilung. Die Laufzeit kann sich – je nach Bedarf – auf wenige Wochen oder mehrere Jahre belaufen.
Veröffentlicht von
Axiom Law
Related Content
EU AI Act – Was Unternehmen in Deutschland jetzt wissen müssen
EU AI Act: Neue Anforderungen für Unternehmen bei KI-Nutzung. Überblick über Pflichten, Risiken und Umsetzung der Compliance.
DORA-Verordnung – Was der Digital Operational Resilience Act für Unternehmen in Deutschland bedeutet
Digital Operational Resilience Act: Was Unternehmen in Deutschland beachten müssen. Überblick über Pflichten, Risiken und rechtssichere Umsetzung.
Corona-Krise: So stellen Sie Ihre Rechtsabteilung gut auf
Axiom hat eine Checkliste für Rechtsabteilungen aufgestellt, mit aktuellen und künftigen Aufgaben in der Corona-Krise.