Mehr Daten für alle

Andrey Popov/Adobe Stock ©

---

Im September tritt das neue Datengesetz der Europäischen Union in Kraft. Was bedeuten die neuen Vorgaben für die Unternehmen?

Von Melanie Rübartsch, IHK-Magazin 07-08/2025

Fragt man Unternehmen derzeit nach den neuesten umzusetzenden EU-Regeln, werden die meisten sofort „AI Act“ rufen. Nur ist dieses erste europäische KI-Gesetz längst nicht alles, was Brüssel der Wirtschaft aktuell an Regulatorik beschert: Bereits am 12. September 2025 tritt mit dem Data Act in Deutschland unmittelbar ein neues europäisches Datengesetz in Kraft.

Mit der Verordnung müssen sich vor allem Hersteller von vernetzten Produkten und Anbieter von damit verbundenen digitalen Diensten beschäftigen. Vereinfacht gesagt, sieht der Data Act vor, dass die Nutzer solcher Produkte – Konsumenten oder Unternehmen – das Recht haben, sämtliche beim Betrieb entstehende Daten zur Verfügung gestellt zu bekommen, sofern möglich, in Echtzeit.

IHK-Info: Webinarreihe „Data Act – Was Unternehmen jetzt wissen müssen“ ab 3. Juli 2025

Der Bayerische Industrie- und Handelskammertag (BIHK) bietet im Juli kostenfrei eine 5-teilige Webinarreihe zum Data Act für Unternehmen an, damit sich diese auf die neuen rechtlichen Vorgaben vorbereiten können. Anmeldung auf der Website zur Veranstaltung.

Der Data Act – Wie die EU die europäische Datenwirtschaft nach vorne bringen möchte
3. Juli 2025, 11 Uhr

---

Im Spannungsfeld von Data Act, Geschäftsgeheimnissen und Wettbewerb
9. Juli 2025, 13 Uhr

---

Der Data Act in der Praxis – Datenteilen & Cloud-Switching im Überblick
15. Juli 2025, 11 Uhr

---

Der Data Act und die DSGVO
22. Juli 2025, 11 Uhr

---

Data Act & Data Governance Act – neue Rahmenbedingungen für den Umgang mit Daten in Unternehmen
31. Juli, 11 Uhr

„Unternehmen müssen sich spätestens jetzt mit den neuen Pflichten auseinandersetzen. Sie sollten prüfen, inwieweit sie selbst betroffen sind, und entsprechende organisatorische und technische Prozesse etablieren“, rät Chantal Berier, Referentin Digitalpolitik bei der IHK für München und Oberbayern.

Was ist das Ziel des Data Act?
In der mehr und mehr digitalisierten Wirtschaft spielen Daten eine gewaltige Rolle. Beim Betrieb vieler Produkte und Services werden Daten erzeugt, die für verschiedene Akteure interessant sein können – Daten, die also regelrecht marktfähig sind. „Die EU möchte den Zugang zu bestimmten nutzergenerierten Daten erleichtern, um so die Datenwirtschaft in Europa voranzubringen. Dabei soll verhindert werden, dass nur die Hersteller der Produkte oder Anbieter der Datendienste Zugriff auf die Daten haben“, erläutert IHK-Expertin Berier.

Wertschöpfung gerecht verteilen

Die grundsätzliche Hoheit über die Daten soll daher zu den Nutzern der Produkte wandern, die an der Entstehung maßgeblich beteiligt sind: etwa Käufer, Mieter oder Leasingnehmer. So soll eine gerechte Verteilung der Wertschöpfung in der Datenwirtschaft gewährleistet werden und gleichzeitig die legitimen Interessen von Unternehmen und Einzelpersonen gewahrt werden, die in Datenprodukte und -dienste investieren.

Welche Produkte sind konkret betroffen?
Zum einen geht es um smarte Produkte, die mit dem Internet verbunden sind oder eine analoge Datenschnittstelle haben. Das Spektrum reicht von intelligenten Küchengeräten über Smartwatches bis hin zu Produktionsmaschinen oder landwirtschaftlichen Nutzfahrzeugen.

Betroffen sind außerdem die damit verbundenen digitalen Dienste, also alle Anwendungen, mit deren Hilfe die Daten überhaupt erzeugt, aufbereitet oder bereitgestellt werden. Der Data Act gilt dabei sowohl für B2B- als auch für B2C-Produkte, die in der EU in den Verkehr gebracht werden, also solche für Geschäftskunden wie für Endkunden.

Wer muss tätig werden?
Zum einen die Hersteller der Produkte sowie Anbieter damit verbundener Clouddienste und zum anderen die sogenannten Dateninhaber. „Letztere sind diejenigen, die die tatsächliche Verfügungsmacht über die Daten haben, weil ihre Services sie erzeugen oder verarbeiten“, erklärt Daniel Meßmer, Fachanwalt für IT-Recht und Partner bei der Münchner Kanzlei SKW Schwarz. „In vielen Fällen werden Hersteller und Dateninhaber identisch sein – etwa wenn der Hersteller auch die mit dem Produkt verknüpften Apps oder Softwares betreibt.“

Was können Produktnutzer künftig verlangen?
Vom Dateninhaber können sie fordern, dass dieser ihnen kostenlos und – soweit technisch möglich und für den Nutzer relevant – kontinuierlich die bei der Nutzung des Geräts erzeugten Daten zur Verfügung stellt. Das kann auch bedeuten, dass Geräte um bestimmte Programmierschnittstellen (APIs) ergänzt werden müssen. Eine Ausnahme gilt, wenn Nutzer auf die Daten selbst direkt an dem Gerät oder in dem damit verbundenen Dienst zugreifen können.

Daten-Beipackzettel bei Vertragsabschluss

Vor Abschluss eines Vertrags sind die Nutzer zudem unter anderem darüber zu informieren, wer Dateninhaber ist und in welcher Art und in welchem Umfang Daten erzeugt werden. Es muss also stets eine Art Beipackzettel für die Produkte erstellt werden, der diese Infos enthält.

Im September 2026 startet eine weitere Stufe des Data Act: „Produkte, die dann neu in den Verkehr gebracht werden, müssen Nutzern in bestimmten Fällen ermöglichen, direkt über das Gerät oder den damit verbundenen Dienst auf die erzeugten Daten zuzugreifen“, sagt Rechtsanwalt Meßmer. Bei vielen Geräten ist das heute bereits der Fall wie zum Beispiel bei Smartwatches mit Fitness-Apps.

Müssen sämtliche Daten zur Verfügung gestellt werden?
Es geht ausschließlich um die Rohdaten, die zum Beispiel von einem Sensor erfasst oder einer Software aufgezeichnet werden. Zudem betrifft die Vorgabe solche Daten, die vor der Weiterverarbeitung und Auswertung aufbereitet wurden, um sie verständlich und nutzbar zu machen.

Auch DSGVO beachten

„Die Schlüsse, die aus den Daten gewonnen werden, sind nicht betroffen und erst recht nicht die Modelle, mit denen Produkthersteller die Daten analysieren“, sagt Jurist Meßmer. Sind die betroffenen Daten personenbezogen, gelten zusätzlich die Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Dürfen Nutzer auch verlangen, dass die Daten an Dritte herausgegeben werden?
Ja, auch das soll möglich werden. Anwendungsfälle sind zum Beispiel, wenn der Nutzer einer Smartwatch die Uhr eines anderen Herstellers kauft und seine bislang erzeugten Daten auf das neue Gerät mitnehmen möchte. Oder wenn Daten einer Versicherung oder einem Reparaturservice bereitgestellt werden sollen. Der Dateninhaber hat dann mit diesen Dritten einen Datenlizenzvertrag abzuschließen.

Wie können Unternehmen ihre Geschäftsgeheimnisse schützen?
Zum einen müssen Daten, die Geschäftsgeheimnisse enthalten, grundsätzlich nur offengelegt werden, wenn vorher alle erforderlichen Maßnahmen getroffen wurden, um die Vertraulichkeit der Geschäftsgeheimnisse zu wahren. Dazu zählen sowohl technische und organisatorische Maßnahmen als auch Geheimhaltungsvereinbarungen, die mit dem Nutzer abgeschlossen werden.

Gleiches Produkt oder neues Produkt?

Zum anderen ist von vornherein untersagt, dass Nutzer oder Dritte die Daten verwenden, um unmittelbar Konkurrenzprodukte zu entwickeln. „Hier wird die Abgrenzung in der Praxis spannend werden“, mutmaßt Experte Meßmer. Denn generell können die Nutzer ja entscheiden, dass sie mithilfe der Daten zum Beispiel auch eigene intelligente Tools zur Analyse ihrer Geschäftsabläufe entwickeln oder eigene Algorithmen trainieren. Die Frage wird sein, wann es sich dann um gleiche Produkte handelt und wann um neue.

Müssen Verträge angepasst werden?
Ja, denn Hersteller und Dateninhaber können nach den Regeln des Data Act künftig nicht mehr selbst über die Daten bestimmen. Sie müssen sich die Nutzungsrechte an den durch ihre vernetzten Produkte generierten Daten vom Nutzer ausdrücklich einräumen lassen. „Das kann entweder über vertragliche Regeln geschehen oder über Häkchenlösungen auf Webseiten – vergleichbar mit Datenschutzeinwilligungen“, sagt Meßmer.

Die EU arbeitet im Übrigen derzeit an unverbindlichen Mustervertragsklauseln, die den Datenzugang und die Datennutzung für beide Seiten fair regeln sollen. Sie sollen nach den Plänen der EU-Kommission möglichst zeitnah nach Inkrafttreten des Data Act, bestenfalls noch im September 2025, veröffentlicht werden.

6 Tipps, welche Schritte Unternehmen jetzt ergreifen sollten

Es ist sinnvoll, zügig ein Projektteam zusammenzustellen, das aus Produkt-, IT- sowie Rechtsexperten besteht. Das Team sollte unter anderem:

• genau prüfen, ob und welche vernetzten Produkte oder Anwendungen das Unternehmen anbietet und
• welche Daten diese Produkte oder verbundenen Dienste konkret sammeln,
• sicherstellen, dass die Firma die Daten auf Anfrage technisch dem jeweiligen Nutzer zuordnen und individuell ausleiten kann,
• einen internen Prozess für eingehende Anfragen aufsetzen und konkrete Ansprechpartner im Unternehmen definieren,
• klären, dass personenbezogene Daten nur an die betroffenen Personen weitergegeben werden beziehungsweise dass für die Weitergabe an Dritte eine Rechtsgrundlage nach der DSGVO besteht,
• vertragliche Regelungen oder rechtssichere Lösungen aufsetzen, um bei der Produktnutzung erzeugte Daten weiterhin nutzen zu dürfen und um Geschäftsgeheimnisse zu schützen.

Unternehmen sind aber auch Nutzer von Daten. Sie sollten sich daher auch mit den Chancen beschäftigen, die sich ihnen durch den Data Act bieten – etwa wenn sie als Käufer oder Mieter vernetzter Produkte selbst neue Datenzugangsrechte durch den Data Act erlangen.

Was sollten Unternehmen noch wissen?
Der Data Act regelt auch den Wechsel zwischen Datenverarbeitungsdiensten, zum Beispiel Clouddiensten, um sogenannte Lock-in-Effekte aufzulösen. Dabei sieht er vor, dass Datenverarbeitungsdienste bestimmte technische, vertragliche sowie organisatorische Vorgaben einhalten, um eine nahtlose Datenübertragbarkeit zu ermöglichen.

IHK-Info: Ratgeber und FAQ zum Data Act

Detaillierte Informationen zu allen Rechten und Pflichten des neuen Gesetzes gibt der IHK-Ratgeber zum Data Act.

Die EU-Kommission hat zudem einen umfangreichen Fragen-und-Antworten-Katalog zur Umsetzung des Data Act erstellt, der laufend aktualisiert wird.