Der EU Data Act im Überblick
Seit dem 12. September 2025 gilt der EU Data Act in allen Mitgliedstaaten. Die Verordnung ist Teil der EU-Datenstrategie und schafft einheitliche Regeln für die Nutzung, Weitergabe und den Zugang zu Daten aus vernetzten Produkten und digitalen Diensten. Ziel ist es, den Datenzugang zu harmonisieren, faire Bedingungen im Austausch sicherzustellen und Abhängigkeiten von Cloud-Anbietern zu verringern. Der Data Act stärkt die Rechte der Nutzer, verpflichtet Unternehmen zu fairen Vertragsbedingungen und gewährt Behörden in Ausnahmefällen Zugriffsrechte. Besonders betroffen sind Hersteller vernetzter Geräte, Software- und Cloud-Anbieter sowie deren Partner. Für Rechtsabteilungen heißt das: zentrale Pflichten mussten bereits bis September 2025 erfüllt sein – weitere Fristen stehen unmittelbar bevor.
Was bis zum 12. September 2025 umgesetzt sein sollte
Mit Ablauf dieser Übergangsfrist mussten folgende zentralen Anforderungen des EU Data Acts bereits umgesetzt werden:
- Datenzugang sicherstellen: Nutzer müssen ihre Daten kostenlos, in gängigem und maschinenlesbarem Format sowie ohne Verzögerung erhalten können. Dafür sind Exportfunktionen oder APIs einzurichten und interne Prozesse zur Prüfung und Bearbeitung von Anfragen festzulegen.
- Transparenzpflichten erfüllen: Vor Vertragsschluss ist offenzulegen, welche Datentypen anfallen, wie lange sie gespeichert werden, in welchem Format sie vorliegen und wie der Zugriff erfolgt (standardisierter „Datensteckbrief).
- Verträge prüfen und anpassen: Standardverträge, AGB und Datenlizenzvereinbarungen sind auf unfaire oder einseitige Klauseln zu prüfen und durch FRAND-konforme Data-Sharing-Addenda zu ergänzen, die Umfang, Zweck und Vergütung regeln. Einseitige Haftungsausschlüsse, unangemessene Nutzungsbeschränkungen oder Sanktionen sind zu streichen.
- Anfragenprozesse einrichten: Unternehmen müssen zentrale Anlaufstellen sowie SOPs etablieren, welche die Identitätsprüfung, Dokumentation und fristgerechte Bearbeitung von Datenanforderungen regeln.
Nächste Fristen und was jetzt wichtig ist
- September 2026 – Data Access by Design: Neue Produkte und Dienste müssen technisch so gestaltet sein, dass der Datenzugang „by design“ integriert ist. Schnittstellen oder Dashboards sind Pflicht, während Hersteller jetzt Ihre Entwicklungszyklen entsprechend anpassen sollten.
- Januar 2027 – Verbot von Wechselentgelten: Cloud- und Datenanbieter dürfen keine Wechselentgelte mehr verlangen. Rechtsabteilungen sollten Verträge prüfen und mit Exit-Klauseln ergänzen, während IT-Abteilungen technische Exit-Pläne für Datenexport und Migration entwickeln.
- September 2027 – Altverträge: Die Fairnessregeln gelten auch für ältere B2B-Verträge. Unfaire Klauseln werden unwirksam. Unternehmen sollten alle Altverträge rechtzeitig prüfen und neu verhandeln.
- Übergangsfristen: Kleinst- und Kleinunternehmen sind von vielen Pflichten ausgenommen, mittlere Unternehmen haben meist ein Jahr länger Zeit nach Überschreiten der Schwellenwerte.
Handlungsempfehlungen
Damit die Umsetzung nicht ins Stocken gerät, sollten Rechtsabteilungen jetzt strukturiert vorgehen:
- Compliance-Check nachholen: Nicht erfüllte Vorgaben zum 12. September 2025 haben höchste Priorität. Ein internes Audit oder externer Check identifiziert Lücken schnell.
- Dateninventar konsolidieren: Ein zentrales Verzeichnis aller Produkt- und Nutzungsdaten dokumentiert Entstehung, Speicherung, Formate und Verantwortlichkeiten.
- Vertragsmanagement ausbauen: Verträge mit Kunden, Partnern und Dienstleistern laufend auf Data-Act-Konformität prüfen, unzulässige Klauseln streichen und standardisierte, gegebenenfalls durch KI-gestützte Vertragsprüfung (z. B. Legal Twin Contract Insights) unterstützte Vertragsbausteine einführen.
- Technische Prozesse vorbereiten: Entwicklungsprozesse für Data-Access-by-Design anpassen und Cloud-Exit-Szenarien inkl. Testläufen zur strukturierten Datenmigration vorbereiten.
- Organisation und Schulung: Klare Verantwortlichkeiten schaffen und Teams (Vertrieb, Produktmanagement, Rechtsabteilung) schulen, um Pflichten und Abläufe einheitlich umzusetzen.
- Monitoring etablieren: Behördenpraxis, EU-Klauseln und technische Leitlinien kontinuierlich verfolgen; Verantwortliche oder Task Force sollten Updates bewerten und umsetzen.
Compliance-Fallen vermeiden: Risiken, Datenschutz und Geheimnisschutz
Auch wenn nationale Durchsetzungsmechanismen noch im Aufbau sind, sind die Vorgaben des Data Act bereits verbindlich. Verstöße können zu Klagen, Vertragsstreitigkeiten und erheblichen Bußgeldern führen. Parallel bleibt die DSGVO uneingeschränkt gültig: Personenbezogene Daten dürfen nur mit entsprechender Rechtsgrundlage übermittelt werden, Grundsätze wie Transparenz und Datenminimierung sind einzuhalten. Für sensible Unternehmensdaten gilt, dass Geheimnisschutz allein keine Auskunftsverweigerung rechtfertigt. Unternehmen sollten daher ergänzend auf NDAs und technische Schutzmaßnahmen setzen, um vertrauliche Informationen beim Datenaustausch abzusichern.
Fazit
Der Data Act markiert einen Wendepunkt im Umgang mit Daten. Wer bis September 2025 die Pflichtmaßnahmen umgesetzt hat, ist gut gestartet. Nun gilt es aber, die kommenden Fristen im Blick zu behalten. Mit rechtzeitiger Vorbereitung lassen sich Risiken minimieren und Wettbewerbsvorteile nutzen.
In den kommenden Teilen unserer Reihe geht es um kritische Vertragsklauseln, neue Chancen durch den EU Data Act – und praktische Wege zur Compliance mit Hilfe von Legal Tech.
________________________________________________________________________________________________________________________________
Mehr zum Thema: Unsere Blog-Reihe für Sie im Überblick (bald online):
- Teil 1 - EU Data Act: Warum die neue EU-Verordnung auch Ihre Arbeit verändert
- Teil 3 - Welche Vertragsklauseln mit dem EU Data Act problematisch werden – und worauf Sie achten sollten
- Teil 4 - Vom Risiko zur Chance: Wie der EU Data Act neue Möglichkeiten eröffnet
- Teil 5 - Mit Legal Tech zum Data Act Compliance Check: Wie Contract Insights unterstützt
Auszug verwendeter Quellen: