I. Einordnung, Anwendungsbereich, Geltung

Der Data Act (VO (EU) 2023/2854, „DA“) ist seit 12. September 2025 EU-weit anwendbar und bildet zusammen mit dem Data Governance Act die erste Säule der EU-Datenstrategie. Er schafft harmonisierte Regeln für fairen Datenzugang und -nutzung, insbesondere für Daten aus vernetzten Produkten und verbundenen Diensten (IoT). Adressat*innen sind ua Hersteller und Anbieter, Nutzer*innen, sowie Anbieter von Cloud-Diensten.

Zeitlich gestaffelte Pflichten: Die meisten Pflichten gelten somit seit 12.9.2025. Produkt-Design-Pflichten („Access by design“) greifen erst für ab 12.9.2026 in Verkehr gebrachte neue vernetzte Produkte. Für Cloud-Switching-Entgelte ist eine Reduktion vorgesehen; ab 12.1.2027 sind Wechselentgelte grundsätzlich unzulässig. Die Pflichten zur Vertragsgestaltung (missbräuchliche Vertragsklauseln im B2B-Verhältnis, Kapitel IV)  gelten für Neuverträge, für Altverträge erst ab dem 12.9.2027, sofern diese unbefristet (oder zumindest bis 11.1.2034) laufen.

II. Zentrale Inhalte

1. Nutzer*innen-Zugangsrechte & Grenzen

Kern des Data Act sind Zugangsrechte zu Daten, die bei der Nutzung eines vernetzten Produktes oder eines verbundenen Dienstes (zB Smartwatch oder vernetzte Industriegeräte) generiert werden. Dieser Zugang besteht direkt „by design“ oder auf Verlangen (auch an Dritte nach Wahl der Nutzer*in, zB Reparaturbetriebe). Grenzen bestehen bei Sicherheitsanforderungen und Geschäftsgeheimnissen; für letztere ist ein abgestuftes Einwendungssystem vorgesehen. Sie können in Ausnahmefällen die Herausgabe verhindern, wenn trotz Maßnahmen „mit hoher Wahrscheinlichkeit“ ein schwerer wirtschaftlicher Schaden droht.

Nutzungsverträge: Der Dateninhaber darf die Daten nur auf der Grundlage eines Vertrags mit der Nutzer*in nutzen (zB zur Verbesserung der Funktion des vernetzten Produkts).

DSGVO bleibt unberührt: Der DA schafft keine eigene Rechtsgrundlage für die Übermittlung personenbezogener Daten; es bedarf daher einer gesonderten Prüfung gem Art 6 (ggf Art 9) DSGVO. In Frage kommen insb Vertragserfüllung (Art 6 Abs1 lit b DSGVO), berechtigtes Interesse (Art 6 Abs1 lit f DSGVO) sowie die Einwilligung der betroffenen Person (Art 6 Abs1 lit a DSGVO). Das Auskunftsrecht gem Art 15 DSGVO und das Recht auf Datenübertragbarkeit gem Art 20 DSGVO werden durch den Data Act funktional ergänzt.

Abbildung: Veranschaulichung des Datenzugangs und der Datenverwendung nach dem DA. Research Institute

Abbildung: Veranschaulichung des Datenzugangs und der Datenverwendung nach dem DA. Research Institute CC BY 4.0

2. Vertragsfairness (B2B): Neue Klauselkontrolle

Bestimmte missbräuchliche, einseitig auferlegte Klauseln zu Datenzugang/-nutzung, Haftung und Rechtsbehelfen sind nicht bindend.

3. B2G-Zugang bei „außergewöhnlicher Notwendigkeit“

Öffentliche Stellen können Daten bei öffentlichem Notstand oder zur Erfüllung gesetzlicher Aufgaben im öffentlichen Interesse verlangen (im letzteren Fall grundsätzlich gegen angemessene Vergütung); offengelegte Geschäftsgeheimnisse gelten dann aber nicht als „Open Data“.

4. Cloud-Wechsel & Interoperabilität

Anbieter von Datenverarbeitungsdiensten müssen Nutzenden den Wechsel (gleichartiger Anbieter/On-Prem/Multi-Cloud) technisch, vertraglich und wirtschaftlich ermöglichen.

5. Mustervertragsklauseln

Die Kommission wird unverbindliche Mustervertragsklauseln für den Datenzugang und die Datennutzung bereitstellen, insb

  • Bedingungen für eine angemessene Gegenleistung für die Bereitstellung von Daten,
  • Bedingungen für den Schutz von Geschäftsgeheimnissen,
  • Standardvertragsklauseln für Verträge über Cloud-Computing.

Bislang gibt es nur einen Entwurf der Expert*innen-Arbeitsgruppe.

III. Durchsetzung

Behörden & Sanktionen: Mitgliedstaaten müssen zuständige Behörde(n) benennen und wirksame, verhältnismäßige, abschreckende Sanktionen vorsehen. Für Verstöße gegen die Datenzugangspflichten kann die Datenschutzbehörde innerhalb ihres Zuständigkeitsbereichs Geldbußen im DSGVO-Rahmen verhängen.

Österreich – Stand 23.9.2025: Mit dem Datenzugangsgesetz (DZG) wurde im Sommer zwar der DGA umgesetzt. Für den Data Act fehlt aber derzeit noch ein Begleitgesetz und damit eine konkrete Anlaufstelle.

IV. Kurz-Fazit

Der DA verteilt die Macht über Daten neu: Nutzer*innen erhalten effektive Zugangs- und Weitergaberechte, Cloud-Lock-ins werden abgebaut, B2B-Vertragsasymmetrien korrigiert. Die DSGVO bleibt maßgeblich, dh keine Datenverarbeitung ohne Rechtsgrundlage. Bei risikobehafteten Sharing-Szenarien bedarf es uU einer Datenschutz-Folgenabschätzung, Privacy-by-Design für Schnittstellen. Für AT sind Behörden- und Sanktionsdetails noch ausständig; dennoch gilt: Verträge, Prozesse, und Technologien DA-konform gestalten, sonst drohen aufsichts- und zivilrechtliche Konsequenzen (inkl DSGVO-Bußgeldrahmen). Alle Akteure sollten daher ihre konkrete Rolle im Sinne des Data Acts kennen und sich entsprechend vorbereiten.

V. Nähere Informationen finden sich in unserem ATLAWS: https://wiki.atlaws.eu/index.php/Data_Act_(DA)

Autorin

Dr. Mirjam Tercero ist promovierte Juristin mit Spezialisierung im IT-Recht. Sie verfügt über vielfältige Berufserfahrungen und ist seit 2024 als Senior Researcher und Senior Consultant im Research Institute – Digital Human Rights Center tätig, wo sie derzeit insbesondere zum Einsatz von Cloud-Diensten forscht und berät.

Wir bieten Consulting mit der gesamten Expertise unserer Forschung. Research Institute