/

23. Januar 2026

EU Data Act für Unternehmen: Pflichten, Maßnahmen und Risiken

Der EU Data Act schafft ein europaweit einheitliches Regelwerk für den Zugang, die Nutzung und die Weitergabe von Daten aus vernetzten Produkten und verbundenen digitalen Diensten. Ziel der Verordnung ist es, Datenfairness zu stärken, Wettbewerbshemmnisse abzubauen und neue datenbasierte Geschäftsmodelle zu ermöglichen. Für Unternehmen bedeutet das neue rechtliche Pflichten, tiefgreifende technische und organisatorische Anpassungen sowie erhebliche Compliance-Risiken bei Nichtbeachtung.

Dieser Artikel richtet sich an Unternehmen aller Größen und erläutert praxisnah, wann sie vom EU Data Act betroffen sind, welche Maßnahmen erforderlich sind und welche Konsequenzen bei Nichteinhaltung drohen.

Ab wann gilt der EU Data Act?

Der EU Data Act ist bereits in Kraft und seit dem 12. September 2025 grundsätzlich anwendbar. Die tatsächliche Betroffenheit und der Umfang der Pflichten hängen jedoch von der Rolle des jeweiligen Unternehmens ab. Nicht alle Verpflichtungen greifen automatisch für jedes Unternehmen oder jedes Produkt zur gleichen Zeit.

Besonders relevant sind Übergangsregelungen und Stichtage, etwa für neue vernetzte Produkte, für bestehende Vertragsverhältnisse oder für Cloud-Dienste, bei denen der Anbieterwechsel schrittweise erleichtert werden muss. Unternehmen sollten den Data Act daher nicht als einmaliges Projekt verstehen, sondern als fortlaufendes Compliance- und Transformationsvorhaben.

Wann sind Unternehmen vom EU Data Act betroffen?

Unternehmen sind vom EU Data Act betroffen, sobald sie eine oder mehrere Rollen im Datenökosystem einnehmen. Typische Konstellationen sind:

Hersteller vernetzter Produkte, die Geräte oder Maschinen mit digitaler Konnektivität in der EU in Verkehr bringen, zum Beispiel Industrieanlagen, Fahrzeuge, Smart-Home-Produkte, Medizingeräte oder Wearables.

Anbieter verbundener digitaler Dienste, etwa Apps, Plattformen oder Cloud-Services, die funktional mit einem vernetzten Produkt zusammenhängen, zum Beispiel Monitoring-, Analyse- oder Wartungsdienste.

Dateninhaber, also Unternehmen, die faktisch oder rechtlich die Kontrolle über die durch die Nutzung eines Produkts oder Dienstes erzeugten Daten ausüben.

Datenempfänger oder Drittanbieter, die auf Anweisung eines Nutzers Zugriff auf diese Daten erhalten, um eigene Services anzubieten.

Anbieter von Cloud-, Edge- oder Datenverarbeitungsdiensten, die Daten speichern, verarbeiten oder auswerten und künftig einen einfachen Anbieterwechsel ermöglichen müssen.

Auch Unternehmen außerhalb der EU können betroffen sein, wenn sie Produkte oder Dienstleistungen in der EU anbieten oder Daten von Nutzern innerhalb der EU verarbeiten. Der Anwendungsbereich ist damit bewusst weit gefasst.

Welche Daten sind vom Data Act erfasst?

Der EU Data Act bezieht sich auf Daten, die durch die Nutzung vernetzter Produkte und verbundener Dienste entstehen. Dazu zählen insbesondere Sensor-, Telemetrie- und Betriebsdaten, Nutzungs- und Ereignisdaten, Leistungs-, Diagnose- und Wartungsdaten sowie Umgebungsdaten.

Enthalten diese Daten personenbezogene Informationen, gelten zusätzlich die Vorgaben der DSGVO. Der Schutz von Geschäftsgeheimnissen und IT-Sicherheit bleibt ebenfalls ein zentrales Anliegen, darf jedoch nicht dazu führen, dass der gesetzlich vorgesehene Datenzugang faktisch verhindert wird.

Zentrale Pflichten für Hersteller und Serviceanbieter

Hersteller vernetzter Produkte und Anbieter verbundener digitaler Dienste müssen Nutzern den Zugang zu den von ihnen erzeugten Daten ermöglichen. Dieser Zugang muss verständlich, nutzbar und diskriminierungsfrei ausgestaltet sein.

Auf Verlangen des Nutzers sind die Daten zudem an einen vom Nutzer benannten Dritten weiterzugeben. Dies kann beispielsweise ein unabhängiger Wartungsdienstleister oder ein Analyseanbieter sein.

Bereits vor Vertragsabschluss müssen transparente Informationen bereitgestellt werden, etwa darüber, welche Daten erzeugt werden, wie der Zugriff erfolgt, ob Daten weitergegeben werden können und welche technischen oder wirtschaftlichen Bedingungen gelten.

Neue vernetzte Produkte müssen so gestaltet sein, dass der Datenzugang technisch vorgesehen ist. Datenzugang wird damit zu einer Frage des Produktdesigns und der Systemarchitektur.

Gleichzeitig sind angemessene technische und organisatorische Maßnahmen zum Schutz von Geschäftsgeheimnissen, zur Missbrauchsvermeidung und zur Gewährleistung der IT-Sicherheit umzusetzen.

Pflichten für Dateninhaber und Datenempfänger

Dateninhaber müssen Daten zu fairen, angemessenen und nichtdiskriminierenden Bedingungen bereitstellen. Verträge dürfen Nutzerrechte auf Datenzugang und Datenweitergabe nicht aushöhlen oder faktisch unmöglich machen. Besonders kritisch sind übermäßige Haftungsklauseln, unverhältnismäßige Entgelte oder technische Zugangsbeschränkungen.

Datenempfänger dürfen erhaltene Daten ausschließlich zu den vereinbarten Zwecken nutzen. Sie sind verpflichtet, die Vertraulichkeit zu wahren, angemessene Sicherheitsmaßnahmen umzusetzen und datenschutzrechtliche Anforderungen einzuhalten.

Besondere Pflichten für Cloud- und Datenverarbeitungsdienste

Anbieter von Cloud- und Datenverarbeitungsdiensten müssen den Wechsel zu anderen Anbietern erleichtern. Dazu gehören transparente Wechselbedingungen, unterstützte Datenformate, klare Fristen und der Abbau technischer und vertraglicher Lock-in-Effekte.

Ziel ist es, Kunden einen realistischen Anbieterwechsel zu ermöglichen, ohne dass dieser mit unverhältnismäßigen Kosten, Datenverlusten oder langen Ausfallzeiten verbunden ist.

Empfohlene Maßnahmen zur Umsetzung des EU Data Act

Unternehmen sollten zunächst ihre eigene Betroffenheit systematisch analysieren und klären, welche Rollen sie im Datenökosystem einnehmen. Darauf aufbauend empfiehlt sich die Erstellung eines strukturierten Datenkatalogs.

Technisch sind sichere Datenzugangs- und Weitergabeprozesse zu etablieren, etwa über APIs oder Nutzerportale. Organisatorisch sollten klare Verantwortlichkeiten definiert und interne Prozesse für Nutzeranfragen geschaffen werden.

Rechtlich sind Verträge, AGB und vorvertragliche Informationen zu überprüfen und anzupassen. Schulungen für relevante Abteilungen wie IT, Produktmanagement, Vertrieb und Recht sind ebenfalls sinnvoll.

Konsequenzen bei Nichteinhaltung

Die Durchsetzung des EU Data Act erfolgt durch nationale Behörden. Bei Verstößen drohen behördliche Anordnungen, Bußgelder, Zwangsgelder sowie zivilrechtliche Ansprüche von Kunden oder Geschäftspartnern.

Besonders kritisch sind kurzfristige Umsetzungsanordnungen, die technische Änderungen oder Prozessanpassungen unter Zeitdruck erfordern. Zusätzlich können Reputationsschäden und Wettbewerbsnachteile entstehen, etwa bei Ausschreibungen oder in Partnernetzwerken.

Fazit

Der EU Data Act ist für Unternehmen weit mehr als eine rechtliche Formalie. Er beeinflusst Produktdesign, IT-Architektur, Vertragsgestaltung und Geschäftsmodelle. Unternehmen, die frühzeitig handeln, reduzieren Compliance-Risiken und schaffen gleichzeitig die Grundlage für neue datenbasierte Services und Partnerschaften. Wer den Data Act strategisch angeht, kann aus regulatorischen Anforderungen einen echten Wettbewerbsvorteil entwickeln.

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte wird keine Haftung übernommen. Für eine rechtlich verbindliche Bewertung wird die Beratung durch qualifizierte Fachpersonen empfohlen

Aus der gleichen Kategorie

Warum eigene Websites Hotels & Maklern mehr Kunden bringen

Mehr Direktkunden durch spezialisierte Websites: Warum Hotels und Makler auf eigene digitale Plattformen setzen sollten

/

13. Februar 2026

Lohnt sich Amazon FBA 2026 noch? Chancen, Risiken & Tipps

Lohnt sich Amazon FBA 2026 noch? Chancen, Risiken und worauf Verkäufer jetzt achten müssen

, ,

/

6. Februar 2026

Was kostet es, eine Unternehmenswebsite erstellen zu lassen? - website erstellen lassen berlin

Was kostet es, eine Unternehmenswebsite erstellen zu lassen? Preise und typische Fehler

,

/

31. Januar 2026

EU Data Act für Unternehmen – Pflichten, Maßnahmen & Risiken - website erstellen lassen berlin

EU Data Act für Unternehmen: Pflichten, Maßnahmen und Risiken

/

23. Januar 2026

Website rechtssicher betreiben: Impressum, DSGVO, Cookies, Analytics & Barrierefreiheit - website erstellen lassen berlin

Rechtssicher als Websitebetreiber: Welche Pflichten gelten wann – von Impressum bis Google Analytics

, ,

/

16. Januar 2026

E-Rechnung 2025/2026: Regeln, Pflichten, Ausnahmen für Selbstständig - website erstellen lassen berlin

E-Rechnung in Deutschland: Regeln, Pflichten, Ausnahmen – was Selbstständige & Unternehmer wissen müssen

,

/

2. Januar 2026

Welche Websites darf man besuchen? Was beim Surfen strafbar sein kann (Deutschland) - website erstellen lassen berlin

Welche Websites darf man besuchen? Was beim Surfen strafbar sein kann – Rechtslage, Ausnahmen & Praxis-Tipps

/

1. November 2025

Auf Unternehmen aufmerksam machen: Marketing-Strategien & SEO Tipps - website erstellen lassen berlin

Auf das eigene Unternehmen aufmerksam machen: Die besten Marketing-Strategien für mehr Reichweite, Kunden und Umsatz

/

6. Oktober 2025

CMS Vergleich: WordPress, Joomla, Drupal & mehr

Welches CMS ist das richtige? Ein umfassender Vergleich moderner Content-Management-Systeme

/

12. September 2025