Auswirkungen auf Hersteller und Anbieter
Nach Art. 3 Abs. 1 Data Act müssen vernetzte Produkte so konzipiert und hergestellt werden und verbundene Dienste müssen so konzipiert und erbracht werden, dass die Produktdaten und verbundenen Dienstdaten – einschließlich der für die Auslegung und Nutzung dieser Daten erforderlichen relevanten Metadaten – standardmäßig für den Nutzer einfach, sicher, unentgeltlich in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format und, soweit relevant und technisch durchführbar, direkt zugänglich sind.
Auswirkungen auf Dateninhaber
- Datenbereitstellungspflichten
Der EU-Gesetzgeber möchte die Datennutzung in der EU ankurbeln. Dazu sollen bestehende „Datensilos“ durch Datenzugangsrechte aufgebrochen werden. Dateninhaber müssen Nutzern bestimmte Daten unverzüglich, einfach, sicher, unentgeltlich, in einem umfassenden, gängigen und maschinenlesbaren Format und – falls relevant und technisch durchführbar – in der gleichen Qualität wie für den Dateninhaber kontinuierlich und in Echtzeit bereitstellen. Damit droht nicht nur ein Geheimnisabfluss. Auch der Marktwert bestimmter Daten dürfte sinken. - Notwendigkeit einer Datenlizenz
Der Data Act sieht zudem das Erfordernis einer Datenlizenz vor: Wer bestimmte nicht-personenbezogene Daten verwenden möchte, benötigt eine Zustimmung der jeweiligen Nutzer. Andernfalls drohen neben Bußgeldern womöglich auch noch Schadensersatzansprüche der sog. Nutzer.
Auswirkungen auf die Lieferkette
Vor Abschluss von Kauf-, Miet- oder Leasingverträgen über vernetzte Produkte sowie Verträge über verbundene Dienste müssten dem Nutzer zahlreiche Pflichtinformationen bereitgestellt werden. Die Umsetzung dieser Anforderungen erfordert entsprechende organisatorische und vertragliche Maßnahmen innerhalb der jeweiligen Lieferkette.
Auswirkungen auf Cloud -Provider
Der Data Act greift auch direkt in die Geschäftsmodelle von Cloud-Providern ein. Sogenannte „Datenverarbeitungsdienste“ werden zum Abbau von vorkommerziellen, gewerblichen, technischen, vertraglichen und organisatorischen Wechselbarrieren und -entgelten verpflichtet, um damit einem Vendor Lock-in ihrer Kunden entgegenzuwirken. Der Data Act schreibt zahlreiche vertragliche Mindestbestimmungen vor, insbesondere sollen Kunden jederzeit mit einer Kündigungsfrist von max. zwei Monaten den Anbieterwechsel starten können. Das hat erhebliche Auswirkungen auf die rechtliche und kommerzielle Gestaltung von SaaS-Verträgen und anderen Cloud-Verträgen.
Paradigmenwechsel für EU-Datenwirtschaft
War der Data Act ursprünglich als Innovationsförderer angedacht, erweist er sich in der Praxis immer mehr als Innovationsbremse. Auf der rechtlichen Ebene bereitet das Zusammenspiel des Data Act insbesondere mit der DSGVO, dem Schutz von Geschäftsgeheimnissen erhebliches Kopfzerbrechen. Zudem sind zentrale Begriff und Anforderungen des Data Act tatbestandlich noch derart unklar, dass sie ohne umfassende Konkretisierung kaum rechtssicher angewandt werden könnten. Auf der technischen Ebene besteht eine zentrale Herausforderung darin, eine trennscharfe Zuordnung von Daten und Datennutzungsbefugnissen insb. zu konkreten Nutzern und Dateninhabern vorzunehmen und Mehrfachzuordnungen angemessen aufzulösen. Gleichzeitig bieten die Regelungen des Data Act aber neue Wertschöpfungsmöglichkeiten und sogar Wettbewerbsvorteile. Wer den Data Act frühzeitig mitdenkt, ist der Konkurrenz womöglich einen Schritt voraus. Wer ihn ignoriert, gefährdet das eigene Geschäftsmodell.
Umsetzungsplan
Nahezu jedes Unternehmen, das Daten erhebt, austauscht, verarbeitet oder kommerzialisiert, ist potenziell vom Data Act betroffen. Trotz der kurzen Umsetzungsfristen unterschätzen viele Adressaten des Data Act bislang die anstehenden Herausforderungen. Angesichts des ambitionierten Zeitplans ist zügiges Handeln geboten. Aitava hilft Ihnen, vorbereitet zu sein. Als Thought Leader geben wir Ihnen entscheidende Impulse.
- Schritt 1: Requirements Engineering
Der Data Act ist leider mit hoher Auslegungsunschärfe behaftet. Er lässt sich also nicht ohne Weiteres umsetzen, sondern muss erst „aufgebohrt“ und in fachliche Requirements „übersetzt“ werden. Hierbei geht es nicht allein um eine juristische Auslegung. Vielmehr sind oftmals auch operative Risikoentscheidungen zu treffen, um eine unternehmenseinheitliche Auslegung der Tatbestände und Rechtsfolgen zu erreichen. - Schritt 2: Bestandsaufnahme und Gap-Analyse
Der Schlüssel zur Umsetzung des Data Act liegt in der smarten Datengovernance. Daher muss zunächst ein genaues Bild des Ist-Zustands geschaffen werden. Dazu müssen die relevanten und geplanten Datenflüsse, Systeme, Produkte, Dienste und Geschäftsprozesse und bestehende Schnittstellen erfasst werden. Sodann folgt ein Abgleich zwischen Soll- und Ist-Situation, um die konkreten Deltas ableiten zu können. - Schritt 3: Tatbestand entkommen
Im Idealfall lässt sich die Anwendung des Data Act auf die eigenen Produkte und Dienste vermeiden. Der eilige EU-Gesetzgeber hat Lücken in Kauf genommen hat, woraus sich Gestaltungsmöglichkeiten ergeben. Dies betrifft etwa:- Technische Gestaltungen, z.B. Entwicklungsfokus auf Sekundärdaten, die vom Data Act nicht erfasst werden
- Organisatorische Gestaltungen, z.B. Vereinbarung von AV-Verträgen nach Art. 28 DSGVO zur Vermeidung der Eigenschaft als Dateninhaber
- Rechtliche Gestaltungen, z.B. „Flucht“ ins vorrangige Datenschutzrecht zur Vermeidung von Datenzugangsansprüchen
- Schritt 4: Abarbeitungsplan
Bis grundsätzlich 12.09.2025 sind die Anforderungen des Data Act umzusetzen. Der Fokus sollte zunächst auf den Must-Haves liegen, darunter:- Umgang mit Datenzugangsansprüchen Dritter (inkl. Abwehr mit Geheimnis- und Datenschutz)
- Notwendigkeit von Datenlizenzen beim eigenen Umgang mit betroffenen Daten
- Informationspflichten in der Lieferkette
- Anpassung von Standardverträgen an Art. 13, 25 DA
- Anforderungen an access by design in der Herstellung und Entwicklung (Umsetzung bis 12.09.2026)
- Schritt 5: Prozesse automatisieren
Wer nachhaltige Effizienz will, muss die Anforderungen des Data Act als Geschäftsprozesse verstehen:- Automatisierter Umgang mit Datenzugangsverlangen
- Etablierung von unternehmensweiten Frameworks, um den Data Act in künftigen Projekten „by default“ umzusetzen.
- Umsetzung von Schnittstellen, um Datenflüsse zu aggregieren und zu optimieren, auch im Zusammenhang mit anderen regulatorischen Anforderungen (z.B. DSGVO, AI Act).
Nutzen Sie die Expertise von Aitava, um die Herausforderungen des Data Act zu meistern. Wir verstehen uns als Thought Leader und unterstützen zahlreiche namhafte Unternehmen laufend bei Datenschutz- und Datengovernance-Projekten. Bei der Umsetzung des Data Act können wir auf umfassende Expertise und bewährte Strategien zurückgreifen. Aitava durchdringt die Komplexität und hilft Ihnen, die neuen Regelungen des Data Act genau zu verstehen und nachhaltig umzusetzen.