Ab dem 12. September 2025 gelten die Pflichten des Data Act, aber das Tempo der Regulierung scheint die Mitgliedstaaten zu überfordern, nicht nur in Deutschland stecken die nationalen Umsetzungsgesetze noch im Entwurfsstadium und Unternehmen bleiben mit den Pflichten allein.
Der Data Act ist das Herzstück der europäischen Datenökonomie. Er ist am 11. Januar 2024 in Kraft getreten, seine wesentlichen Bestimmungen gelten ab dem 12. September 2025. Mit ihm wird ein umfassender Rechtsrahmen geschaffen, der den Zugang zu und die Nutzung von Daten unionsweit harmonisiert.
Das Tempo bei der Digitalregulierung war in den letzten Jahren sehr hoch, von vielen wurde und wird es als zu hoch empfunden. Beim Data Act scheint dieses Tempo auch die Mitgliedstaaten zu überfordern. Mit dem Data Act entsteht ein komplexes und völlig neues Regelungswerk mit neuen Vorgaben und Pflichten. Im Mittelpunkt steht das Konzept der Nutzerzuordnung: Nutzer erhalten ein umfassendes Recht, auf die von Ihren IoT-Geräten erzeugten Daten zuzugreifen und diese auch Dritten zugänglich zu machen. Darüber hinaus schafft der Data Act Regeln für die Weitergabe von Daten an Behörden in besonderen Fällen, für faire Vertragsbedingungen bei der Datennutzung sowie für mehr Wettbewerb und Interoperabilität im Bereich von Cloud- und Dateninfrastrukturen.
Für Unternehmen sind insbesondere folgende Pflichten aus dem Data Act zentral:
- Nutzer von IoT-Produkten haben einen Anspruch auf Zugriff auf die durch die Nutzung ihrer Produkte und Services erzeugten Daten; das gilt sowohl für Endkunden als auch Industrienutzer. Für die Nutzung von Daten der Nutzer benötigen Hersteller eine Datenlizenz. Auf Verlangen der Nutzer ist zudem eine Weitergabe dieser IoT-Daten an Dritte sicherzustellen (Kapitel 2 Data Act).
- Der Data Act führt eine Art Sonder-AGB-Recht für Datenaustauschverträge ein. Vertragsklauseln, die insbesondere kleinere Unternehmen unangemessen benachteiligen, gelten künftig als unwirksam (Kapitel 4 Data Act).
- Anbieter von Cloud- und Edge-Diensten müssen Daten Portabilität gewährleisten und Lock-in-Effekte abbauen, um Wechsel und Interoperabilität zu erleichtern (Kapitel VIII Data Act).
Die EU prescht mit dem Data Act vor, die nationale Umsetzung stockt
Viele Unternehmen beschäftigen sich bereits seit zwei Jahren intensiv mit der Umsetzung des Data Acts und sind am 12. September startbereit. Anders sieht es auf der Behördenseite aus. In Deutschland, wie auch den meisten anderen Mitgliedstaaten, ist die praktische Umsetzung der durch den Data Act vorgesehenen Aufsichtsstrukturen bislang nicht abgeschlossen.
Obwohl der Data Act ab dem 12. September 2025 gilt, befindet sich das deutsche Durchführungsgesetz, das die Bundesnetzagentur (BNetzA) als zuständige Behörde vorsieht, noch im Entwurfsstadium. Zwar hat sich die BNetzA bereits bei verschiedenen Veranstaltungen an Diskussionen zum Data Act beteiligt, mangels formaler Zuständigkeit (da es noch kein deutsches Umsetzungsgesetz zum Data Act gibt), ist sie aber noch nicht zur Umsetzung und Durchsetzung befugt.
Für Unternehmen bedeutet dies: Sie müssen eine weitreichende neue und komplexe Regulierung beachten und umsetzen, ohne derzeit auf verbindliche nationale Vorgaben oder behördliche Hilfestellungen zurückgreifen zu können. Die Unsicherheit bleibt – und der Zeitdruck wächst.
Data Act Non-Compliance als Risiko ab 12. September
Dieser „Still ruht der See“-Eindruck darf nicht täuschen. Dass die Umsetzung bislang stockt ändert nichts an der rechtlichen Lage: Ab dem 12. September 2025 ist der Data Act unmittelbar anwendbar. Seine Vorgaben gelten verbindlich – unabhängig davon, ob die Aufsichtsstruktur im Mitgliedsstaat steht.
Unternehmen müssen dann insbesondere den neuen Datenzugangsrechten Rechnung tragen – Nutzer von IoT-Produkten können ab dem 12. September ihren Anspruch geltend machen, ihre Daten kostenlos, unverzüglich und in Echtzeit abzurufen oder an Dritte weiterleiten zu lassen. Es gibt zwar Schranken, aber diese müssen im Einklang mit dem Data Act ausgestaltet sein. Will ein Hersteller Nutzer-Daten eines IoT-Geräts (weiter-) verwenden, benötigt er eine Datenlizenz. Und bei alldem muss das Zusammenspiel mit Datenschutzrecht, Kartellrecht und anderen Gesetzen sichergestellt sein.
In der Anfangsphase ist nicht mit einem raschen behördlichen Durchgreifen zu rechnen. Gleichwohl bleibt das Risiko hoch: Zum einen ist privates Enforcement denkbar, zum Beispiel von Nutzern die gegen unbefugte Nutzung ihrer Daten vorgehen oder ihre Ansprüche auf Datenzugang durchsetzen. Zum anderen sind alle Sachverhalte ab September 2025 relevant, sobald Behörden künftig Verfahren aufnehmen. Verstöße können dabei empfindliche Sanktionen nach sich ziehen. Der aktuelle deutsche Referentenentwurf sieht Bußgelder von bis zu EUR 5 Millionen oder 4 % des weltweiten Jahresumsatzes vor. In anderen Mitgliedstaaten werden teilweise sogar noch höhere Obergrenzen diskutiert.
Unternehmen sollten sich daher nicht in trügerischer Sicherheit wiegen. Umso dringlicher ist es, dass der Gesetzgeber das nationale Durchführungsgesetz vorantreibt und die BNetzA Unternehmen klare Guidance sowie praxisnahe Leitlinien zur Verfügung stellt.
Auch wenn die nationale Umsetzung stockt, sollten Unternehmen die Pflichten des Data Acts kennen und umsetzen
Der Data Act ist ein Musterbeispiel für das hohe Tempo europäischer Digitalregulierung. Er ist besonders komplex, weil er eine völlig neue Materie betrifft und einen grundlegend neuen Ansatz zur Nutzung und Zuordnung von Daten einführt. Dieses Tempo überfordert nicht nur die Mitgliedstaaten, sondern wohl auch viele Marktteilnehmer.
Gleichwohl gilt: Die Regeln des Data Act gelten ab dem 12. September 2025 und ihre Einhaltung ist zwingend. Unternehmen sollten deshalb frühzeitig sicherstellen, dass sie die zentralen Compliance-Pflichten erfüllen – alles andere wäre ein erhebliches Risiko.
Mit unserer CMS Blog-Serie „#CMSdatalaw“ geben wir Ihnen einen Überblick über das Datenrecht wie z.B. den Data Act und den Data Governance Act. Den in unsere Blog-Serie einführenden Beitrag finden Sie hier. Besuchen Sie zum Datenrecht zudem gern unsere CMS Insight-Seite „Data Law“. Ergänzend ermöglicht die Videoreihe „Der Data Act Unlocked“ eine anschauliche und praxisorientierte Vertiefung zentraler Themenfelder des Data Act – von Datenzugangsrechten über Interoperabilität bis hin zu Aufsichtsstrukturen.
